Qui est derrière la cyberattaque contre des ministères allemands?

ESPIONNAGE Différents groupes de hackers proches des services de renseignement russes sont soupçonnés d’en être à l’origine…

O. P.-V.

— 

Vladimir Poutine et Angela Merkel, photographiés le 7 juillet 2017 à Hambourg.
Vladimir Poutine et Angela Merkel, photographiés le 7 juillet 2017 à Hambourg. — ODD ANDERSEN / AFP
  • Fancy Bears et Snake sont deux des groupes de hackers russes suspectés d'avoir attaqué l'Allemagne par voie informatique.
  • Cette cyberattaque aurait démarré courant 2016 et est toujours en cours selon les autorités allemandes.
  • Elle aurait cherché à rester furtive, dans une logique d'espionnage entre Etats.

Qui donc se cache derrière la cyberattaque contre les ministères de la Défense et des Affaires étrangères allemands ? L’agence Deutsche Presse-Agentur, qui l’a révélée, l’attribue à un groupe de hackers russe, APT28, aussi appelé Fancy Bears, soupçonné d’être l’auteur d’une médiatique attaque contre TV5 Monde en 2015, et d’être impliqué dans l’ingérence russe au cours de la campagne présidentielle américaine ou encore le piratage du site d’En Marche ! durant la campagne française 2017.

>> A lire aussi : Allemagne: La cyberattaque contre le gouvernement est «toujours en cours»

Le journal allemand Der Spiegel, ainsi que DPA dans un second temps, s’est plutôt orienté sur la piste d’un autre groupe russe nommé Snake, également connu sous les noms de Turla et Uruburos. L’hypothèse d’une attaque de hackers en lien avec le pouvoir russe est donc mise en avant, bien que le Kremlin a démenti être impliqué. 20 Minutes fait le point sur cette attaque d’une ampleur inédite.

La piste russe est-t-elle crédible ?

Attribuer une cyberattaque avec certitude est techniquement très compliquée, voire impossible, surtout dans le cas présent : « On est devant une logique d’attaque en profondeur, explique Nicolas Arpagian, directeur scientifique de l’Institut National des Hautes Études de la Sécurité et de la Justice (Inhesj) et auteur d’un Que Sais-Je ? sur La Cybersécurité. Ce n’est pas de l’agitprop, le but est de laisser le moins de trace possible. »

Le ministre allemand de l’Intérieur Thomas de Maizière a décrit « une attaque techniquement ambitieuse et préparée depuis longtemps ». « L’infection initiale remonterait à 2016, c’est une logique de renseignement avec un agenda long », poursuit Nicolas Arpagian.

Vladimir Poutine, le 19 octobre 2016, rencontre Angela Merkel à la Chancellerie à Berlin.
Vladimir Poutine, le 19 octobre 2016, rencontre Angela Merkel à la Chancellerie à Berlin. - STEPHANE DE SAKUTIN / AFP

Loïc Guézo, administrateur du Club de la sécurité de l’information français (Clusif), confirme la nature de cette attaque qui « a cherché à rester furtive afin d’exfiltrer des données intéressantes dans la durée ». Pour le spécialiste, c’est « clairement de l’espionnage d’Etat ». Et qui assume totalement pratiquer ce que ses représentants militaires appellent « guerre hybride », un mix de guerre « classique » entre armées et de cyberguerre ? La Russie.

« Ce sont les centres névralgiques de la politique institutionnelle allemande qui sont visés », ajoute Nicolas Arpagian, le Bundestag, le parlement allemand, étant également attaqué. Que cette attaque soit du fait de Fancy Bears ou Snake, dans les deux cas, il s’agit de groupes « aux activités alignés sur la politique gouvernementale russe, qui pratiquent ce type d’attaques contre des pays de l’Ouest depuis au moins 5 ans », dit Loïc Guézo.

>> A lire aussi : Présidentielle: Qui est «Fancy Bear», ce groupe de hackers qui s'invite dans la campagne politique française?

La Russie, piste très crédible donc. « L’objectif était de collecter de l’info de la manière la plus indolore possible, en général afin de connaître les agendas et marges de manœuvres des interlocuteurs dans les négociations internationales en cours », poursuit le directeur scientifique de l’Inhesj.

Pourquoi l’Allemagne ne l’a pas annoncé avant ?

Angela Merkel avait prévenu fin 2016, dans la foulée d’une attaque contre Deutsche Telekom, que ce type de cyberattaques « appartient désormais au quotidien et nous devons apprendre à y répondre ». Dans le cas présent, le gouvernement allemand a été contraint de communiquer du fait des révélations de médias du pays, alors que les services de renseignements avaient été avertis de l’attaque le 19 décembre « par les renseignements d’un pays ami », selon la radio rbb et DPA.

Une stratégie du silence qui a poussé le député Vert Constantin von Notz, membre de la commission de contrôle des services secrets, a qualifié de « totalement inacceptable » le fait que les Allemands en soient informés par la presse.

« Le fait d’en parler poussera l’assaillant à changer son mode opératoire, puisqu’il sait qu’il a été démasqué », justifie Loïc Guézo. Forcé par ces révélations, le pouvoir allemand tente donc de reprendre la main en accusant directement le Kremlin : « Ils veulent jouer la transparence auprès des citoyens désormais. En mettant l’opinion publique dans le coup, il y a une forme d’avertissement officiel, voire une volonté de faire monter la température avec la Russie », conclut Jean-Philippe Bichard, journaliste et fondateur de cyberisques.com.