L’ANSSI a publié un rapport inquiétant concernant de multiples cyberattaques contre des entités françaises en provenance de pirates russes connus sous les noms d’APT28 ou Fancy Bear. Les renseignements militaires russes ont déployé plusieurs campagnes d’attaques, passées à travers les mailles du filet, dans le but d’espionner les intérêts français.
Les conclusions de l’ANSSI révèlent un ciblage et une compromission d’entités française au moyen du mode opératoire d’attaque (MOA) APT28, en particulier depuis 2021. Le groupe malveillant a entrepris des campagnes de collecte de renseignements stratégiques en France, mais également dans le reste de l’Europe, l’Ukraine et l’Amérique du Nord. Cela s’inscrit notamment dans un contexte de guerre déclenchée par la Russie contre l’Ukraine en 2022 et d’espionnage visant non seulement l’Ukraine, aussi les pays de l’OTAN et l’Union Européenne.
Des modes opératoires agressifs mais discrets
Le Centre de Coordination des Crises Cyber (C4) confirme, au vu des rapports publiés, les analyses des infrastructures et les éléments qui découlent des traitements d’incidents, l’existence de plusieurs chaînes de compromission. L’étude de l’évolution des techniques, tactiques et procédures (TTP) a montré que les cybercriminels ont lancé des campagnes d’hameçonnage contre des messageries web, des attaques par force brutes ainsi que l’exploitation des vulnérabilités tout en cherchant un accès persistant sur les systèmes d’informations.
Concrètement, les victimes ont reçu par mails des fichiers qui ont créé des portes ouvertes ainsi que des liens redirigeant vers de fausses pages de connexion comme Yahoo, Outlook ou encore Zimbramail, permettant de voler leurs identifiants.
Afin de garantir au maximum leur discrétion, ils ont attaqué des équipements en bordure des systèmes d’informations peu supervisés. Autre point qui peut expliquer en partie pourquoi ils passent à travers les mailles du filet, c’est que Fancy Bear utilise des infrastructures infogérées prête à l’emploi et peu onéreuses comme les services VPN, les messageries temporaires ou encore les services d’hébergements gratuits qui sont très utilisés et tout à fait légitimes. Cela rend plus difficile leur repérage.
Les victimes en France
En France, les victimes concernent des entités ministérielles, des collectivités territoriales, des administrations ainsi que plusieurs secteurs sensibles tels que le Base industrielle et technologique de défense (BITD), l’aérospatial, l’économie et la finance et celui de la recherche et des groupes de réflexions.
La diplomatie française a déclaré dans un communiqué qu’elle « condamne avec la plus grande fermeté » ces attaques répétées et rappelle que le groupe APT28 n’en est pas à ses premiers essais : ce MOA a déjà tenté de compromettre les élections françaises de 2017 en piratant la messagerie de la campagne présidentielle d’Emmanuel Macron. Il a aussi été à l’origine du sabotage de la chaîne TV5Monde en 2015.
Fait notable, c’est la première fois que la France nomme directement la Russie responsable de ces attaques et s’en indigne ouvertement : « Ces activités déstabilisatrices sont inacceptables et indignes d’un membre permanent du Conseil de sécurité des Nations unies. Elles sont par ailleurs contraires aux normes des Nations unies en matière
de comportement responsable des États dans le cyberespace, auxquelles la Russie a souscrit. »
Camille Suard
