C'est un rapport de la société de sécurité informatique finlandaise F-Secure, rendu public en septembre dernier, qui met les activités informatiques de groupes de hackers supposés agir depuis la Russie aux devants de la scène. La presse internationale et les publications spécialisées consacrent de larges espaces à cette étude qui « met en lumière les agissements d'un groupuscule de hackers, surnommé Dukes, qui officierait pour Vladimir Poutine depuis sept ans », rapporte http://tempsreel.nouvelobs.com, indiquant en effet que « ce groupe de hackers a infecté des milliers d'ordinateurs dans le monde, surtout en Occident, afin de mener des opérations de renseignement en sous-main pour le gouvernement de Vladimir Poutine ». De son côté, le site spécialisé 01net.com, dédié aux nouvelles technologies, souligne que ce groupe d'informaticiens russes utilise « des outils sophistiqués pour siphonner les ordinateurs de ministères, d'ambassades, d'industriels de défense, de think tanks politiques et de trafiquant de drogue », tout en précisant que sa sphère d'action est « un peu partout dans le monde, mais surtout dans le Caucase, en Europe et aux Etats-Unis. » Les experts de la société de sécurité F-Secure se sont penchés sur de nombreux aspects de ce dossier pour tenter de faire accréditer la thèse de l'origine russe et, bien plus, de l'implication des pouvoirs publics, particulièrement le gouvernement et les services de renseignement russes. Ils ont ainsi passé au peigne fin, durant de nombreuses années, une série de programmes malveillants, les malwares qu'ils considèrent avoir été initiés par ce groupe de hackers russes, notamment « MiniDuke, CosmicDuke, OnionDuke, CozyDuke ». Ils ont également travaillé sur une série d'attaques informatiques menées sur les Etats-Unis, la Tchétchénie, l'Ukraine et d'autres pays en Europe pour tenter de trouver les recoupements nécessaires à leurs hypothèses. En matière d'ingénierie informatique mise à contribution durant ces attaques, les spécialistes de la société de sécurité finlandaise ont constaté que la technique « adoptée par les Dukes consiste à envoyer des e-mails piégés à des cibles bien précises », note tempsreel.nouvelobs.com, avant d'ajouter qu'au sein de ces fichiers envoyés, « se dissimule un arsenal d'espions numériques avec, en vrac, un keylogger (qui enregistre tout ce qui est tapé au clavier), un aspirateur de mots de passe, un logiciel pour prendre le contrôle à distance de la machine, etc. » Le journaliste de ce blog estime par ailleurs que le niveau technique en œuvre n'est pas des plus poussés. Les hackers n'utilisent pas de failles inédites (on parle de 0-day, soit les failles qui n'ont pu être corrigées), préférant emprunter des chemins déjà connus et bien plus faciles à reproduire. Sur le terrain de la guerre en Tchétchénie, les auteurs du rapport de F-Secure ont relevé l'usage d'un logiciel PinchDuke, révélé en 2008, avec lequel le groupe de hackers russes « ciblait par exemple les combattants tchétchènes, en les infectant via de faux sites censés soutenir leur cause », relève ce même site qui poursuit indiquant que durant « les deux années suivantes, le bout de code malveillant a également été utilisé pour infiltrer des agences gouvernementales en Pologne, en République tchèque et en Géorgie. » Plus récemment, le conflit opposant la Russie à l'Ukraine et à une bonne partie des puissances occidentales semble également avoir été le théâtre d'actions du groupe de spécialistes en sécurité informatique russe. La presse spécialisée parle en effet d'un envoi massif de courriers électroniques à des cibles supposées être impliquées dans ce conflit dans lequel les hackers auraient injecté un gentil logiciel espions appelé CosmicDuke. « Ce charmant logiciel est un voleur, qui permet à ses créateurs de recevoir des captures d'écran régulières de la machine, des listes d'identifiants et mots de passe, des clés de cryptage », indique tempsreel.nouvelobs.com en ajoutant qu'apparemment, et d'après l'étude de F-Secure, « le code cosmique a notamment récupéré un courrier du Premier ministre ukrainien, et une lettre de l'ambassade des Paays-Bas en Ukraine » En dépit des indications techniques recueillies par les « limiers » de F-Secure, se pose la question de savoir comment en sont-ils arrivés à la conclusion de l'implication directe de la Russie dans cette histoire. En lisant le compte rendu de leur étude, le site 01net.com est en effet catégorique : « Les Dukes forment un groupe de cyberespionnage très organisé et confortablement financé, à la solde du gouvernement russe. C'est peut-être même un département des services secrets russes. » De son côté, Artturi Lehtiö, chercheur chez F-Secure, enfonce le clou en avançant sur http://tempsreel.nouvelobs.com : « Nos recherches approfondissent les liens entre les logiciels malveillants et les tactiques utilisées dans ces attaques, sur ce que nous croyons être des ressources et des intérêts russes. Tous les signes pointent vers un parrainage de la Russie. » Le site s'appuie sur une partie du rapport de la société F-Secure dans laquelle il est clairement indiqué « que la principale mission (du groupe des Dukes) est de collecter des renseignements pour éclairer les décisions de politique étrangère et de sécurité de la Russie. » Le premier indice est relevé dans la nature des cibles attaquées qui semblerait répondre aux « besoins d'un gouvernement qui recherche des informations relatives à la stratégie ou la sécurité d'Etat », écrit ce même site qui croit à l'existence d'une relation solide entre ce groupe et les autorités de Moscou, car, explique-t-il, « la durée des opérations, la longueur des campagnes et la bonne coordination entre elles suggèrent que ce groupe est clairement structuré et qu'il dispose d'un financement durable et bien doté ». Au delà des liens fonctionnels, les experts de F-Secure semblent avoir également tracé le chemin pour valider l'hypothèse de l'installation de ce groupe de hackers sur le terres russes. « Une série d'indices suggère que ce groupe est implanté en Russie », avance 01net.com, en arguant par le fait, ajoute-t-il, que « les chercheurs en sécurité ont trouvé des éléments linguistiques russes dans les malwares. Les dates de compilation cadrent par ailleurs avec un rythme de travail dans le fuseau horaire de Moscou. Le fait que ce groupe ait, à plusieurs reprises, réalisé des piratages presque de manière ouverte suggère qu'il est sous la protection des forces de l'ordre locales. » Plus que cela, les experts de la société de sécurité informatique finlandaise sont convaincus que « les bienfaiteurs des Dukes sont tellement puissants et tellement liés à ce groupe que celui-ci peut opérer sans crainte apparente d'être arrêté ». Autre argument avancé pour valider l'idée de l'implication de la Russie et de l'implantation de ces hackers sur le territoire russe, le fait, selon ce même site que « la localisation des cibles et le fait qu'aucune attaque n'a été jamais repérée dans l'entourage du gouvernement russe font finalement pointer le doigt vers le gouvernement de Poutine. » Chercheur à l'Institut français des relations internationales, Julien Nocetti est spécialiste de la Russie et a beaucoup écrit sur les problématiques du cyberespace et de l'internet. Sollicité par l'hebdomadaire français Nouvel Observateur pour donner un point de vue sur ce rapport, il dira qu'il est « tout à fait plausible que la Russie ait mandaté ce groupe pour du cyber-espionnage », expliquant qu'il « est plus commode pour le Kremlin de passer par une entreprise extérieure. Cela permet à l'Etat de systématiquement démentir toute implication directe, même si personne n'est dupe », ajoute-t-il sur ce même journal qui estime pour sa part que « l'objectif principal est de siphonner des données pour alimenter les services de renseignement russes. » Autre chercheur sollicité par l'hebdomadaire français le Nouvel Observateur pour ce dossier, Nicolas Arpagian, directeur scientifique du cycle sécurité numérique à l'Institut national des hautes études de la sécurité et de la justice, établissement public placé auprès du Premier ministre français. D'après lui, il serait plus prudent de « tempérer l'attribution aux autorités russes : elle ne se base (dans le rapport( que sur des éléments de présomption. Il peut aussi s'agir d'un groupe de militants, animé par une idéologie de soutien au Kremlin. » D'après lui, ce groupe de hackers est « une organisation structurée », et à partir de là, ajoute-t-il, « ils ont donc besoin d'un sponsor. Celui-ci ne fournit pas forcément des finances ou de la logistique, mais au minimum une protection pour agir en toute impunité sur le territoire. » Pour Patrick Maldre, chercheur au Centre de la cyberdéfense de l'Otan, basé en Estonie, « la Russie a fortement investi dans des capacités cyber-offensives. Le rapport de F-Secure] démontre que ses capacités sont devenues un élément important dans la promotion de ses intérêts stratégiques », rapporte tempsreel.nouvelobs.com Les observateurs sont revenus sur le contexte d'un tel développement en recherchant des éléments d'explication dans un cadre plus général du redéploiement de la puissance de la Russie. Et l'on vient à se rappeler en effet que c'est Moscou « qui a utilisé l'arme cybernétique pour la première fois en 2007, dans un conflit entre Etat », rappelle ce site qui relate l'histoire de cette attaque menée contre l'Estonie lorsque, écrit-il, « quelques hackers à la solde du gouvernement russe avaient paralysé l'ensemble de la petite République ex-soviétique en attaquant les réseaux informatiques des services publics et des banques. » Pour Julien Nocetti, la Russie « dispose aussi d'un vivier d'informaticiens de très haut niveau, formés à l'époque de l'URSS », déclare-t-il sur tempsreel.nouvelobs.com qui ajoute qu'à l'heure actuelle, « les régions de Saint-Pétersbourg et de Novossibirsk (en Sibérie) sont réputées pour abriter de nombreux hackers. La Russie est par ailleurs le point d'envoi de la plus grande part des 28 milliards de spams envoyés chaque jour dans le monde, comme le souligne le dernier rapport de la société de sécurité Symantec ».
