Tout indique que la Russie est derrière le piratage du Parti démocrate

Tôt le matin du 14 juin, le Washington Posta révélé que des « hackeurs du gouvernement russe » avaient piraté le réseau du Comité national démocrate (CND). Des espions étrangers avaient accédé à l'ensemble de la base de données du CND sur Donald Trump quelques semaines avant la convention républicaine. Hillary Clinton aqualifié l'attaque d'inquiétante.

Près de deux mois plus tôt, en avril, le CND avait remarqué des anomalies dans ses réseaux informatiques. Début mai, il a fait appel à CrowdStrike, une société de cybersécurité spécialisée dans la prévention des cyberattaques. Après le déploiement de leurs outils dans le matériel informatique du CND, CrowdStrike a découvert « deux adversaires sophistiqués ». Ces adversaires étaient connus dans l'industrie de la cybersécurité en tant qu'APT 28 et APT 29. L'abréviation APT signifie advanced persistent threat (« menace avancée persistante ») — traduction en langage courant : des espions.

CrowdStrike a relié les deux groupes aux « puissants et hautement compétents services de renseignement du gouvernement russe ». APT 29, soupçonné d'être le Service fédéral de sécurité de Russie (FSB), avait accès au réseau du CND depuis l'été 2015, peut-êre avant. APT 28, qui serait la direction générale des services du renseignement des Forces armées russes, s'était introduit dans le réseau des démocrates en avril 2016 et avait probablement provoqué l'investigation. CrowdStrike n'a pas trouvé de preuve de collaboration entre les deux services de renseignement dans les réseaux du CND ni d'indice montrant que l'un était au courant de la présence de l'autre..

C'est gros. Le Parti démocrate accuse non pas une mais deux équipes d'espions à la solde de Vladimir Poutine d'aider Donald Trump à faire du tort à Hillary Clinton. Le Parti républicain, après tout, a déjà fraternisé avec la Russie. Les démocrates ont décidé de rendre l'affaire publique.

Le CND savait qu'il devait fournir des preuves solides pour soutenir cette accusation. Comme l'article du Washington Post ne donnait pas assez de précisions, CrowdStrike a produit un rapport technique, publié plus tard dans la matinée. La société de cybersécurité a prudemment dévoilé les « superbes » techniques prétendument utilisées pour chaque intrusion : les logiciels russes installés étaient furtifs, ils pouvaient détecter des antivirus locaux et d'autres systèmes de protection, les outils étaient paramétrables au moyen de fichiers cryptés, ils étaient persistants, les auteurs ont utilisé une infrastructure d'exploitation élaborée. Donc, CrowdStrike affirmait avoir techniquement surpassé les deux groupes espions.

Le jour suivant, la nouvelle s'est propagée comme une traînée de poudre.

Le 15 juin, un blogue Wordpress st sorti de nulle part. Puis, très vite, un compte Twitter, @GUCCIFER_2. Le premier billet portait le titre : « Les serveurs du CND ont été piratés par un hackeur solitaire ». Le message qu'on voulait passer : Ils n'ont pas été piratés par les services du renseignement russes. Le mystérieux auteur virtuel a affirmé avoir fourni des « milliers de fichiers et de courriels » à WikiLeaks et s'est moqué de la société de cybersécurité : « Je pense que les clients de CrowdStrike devraient réévaluer les compétences de la compagnie », avant d'ajouter : « Fuck CrowdStrike!!!!!!!!! »

En plus des insultes, Guccifer 2.0 a commencé à publier des documents piratés sur un blogue Wordpress et des sites d'échanges de fichiers, en plus de fournir « quelques-uns des milliers de documents » à deux sites de nouvelles américains, The Smoking Gun et Gawker. D'autres médias grand public ont relayé l'information et publié des centaines d'articles révélant les fruits de la recherche du Parti démocrate sur l'opposition, révélant les arguments préparés pour contrer le candidat républicain : « Trump est vide de contenu », « c'est un mauvais homme d'affaires », « il devrait être nommé misogyne en chef ». La liste de ceux qui ont donné au parti a aussi été dévoilée, avec des coordonnées personnelles et des données financières.

Guccifer 2.0 a aussi affirmé qu'il avait remis un nombre indéterminé de documents contenant des « programmes, stratégies, plans contre des députés, rapports financiers, etc. » à WikiLeaks. Deux jours plus tard, WikiLeaks rendait public 88 gigaoctets de fichiers cryptés. Ce dossier, que Julian Assange pouvait déverrouillé tout simplement en tweetant un code, contenait le cache du CND. Le 13 juillet, près d'un mois après l'annonce du piratage, les hackeurs ont transmis certains fichiers exclusivement à The Hill, un média de Washington qui couvre le Congrès des États-Unis, et ont plus tard rendu publics les fichiers originaux.

Le 22 juillet, tout juste après la nomination officielle de Trump et avant le début de la Convention nationale démocrate, WikiLeaks a publié plus de 19 000 courriels du CND avec plus de 8000 pièces jointes. « J'ai envoyé des courriels, j'ai publié des fichiers sur mon blogue », a répondu Guccifer par message privé, quand on lui a demandé s'il avait transmis des fichiers à Julian Assange. Deux jours plus tard, le 24 juillet, Debbie Wasserman Schultz, présidente du Comité national démocrate, donnait sa démission. L'extraordinaire piratage et les fuites dans la presse ont aidé à évincer la présidente d'un puissant parti politique américain et menacé de faire dérailler la convention démocrate.

Cette tactique et son succès remarquable changent la donne : l'exfiltration de documents d'une organisation politique par un service de renseignement est légitime. Des pays européens ont aussi recours à cette pratique. Par contre, déguiser l'exfiltration et la publication de documents possiblement manipulés en hacktivisme indépendant dépasse une limite à ne pas franchir et crée un dangereux précédent : un pays autoritaire qui tente dans le secret, mais sans intermédiaire, de saboter les élections d'un autre pays.

***

Jusqu'à quel point la preuve est-elle solide? Et qu'est-ce que tout ça signifie?

Les preuves reliant des opérations secrètes russes à la brèche du CND sont très solides. Le 20 juin, deux sociétés de cybersécurité, Mandiant (filiale de FireEye) et Fidelis, ont confirmé les conclusions de CrowdStrike : les services de renseignement russes ont en effet piraté l'organisation d'Hillary Clinton. Les preuves qui relient les brèches aux groupes identifiés sont solides : des outils, des méthodes, des infrastructures et même des clés de cryptage utilisés et réutilisés.

Par exemple, en mars dernier, pour se faire passer pour la société qu'a engagé le CND pour gérer son réseau, MIS Department, les auteurs de l'attaque ont enregistré un nom de domaine (avec une coquille) : misdepatrment.com. Ils ont ensuite lié ce faux domaine à une adresse IP — 45.32.129.185 — depuis longtemps associée à APT 28.

L'une des plus solides preuves liant le GRU au piratage du CND est l'équivalent d'empreintes digitales identiques trouvées dans deux édifices cambriolés : une adresse réutilisée — 176.31.112.10 — codée en dur dans un morceau de logiciel malveillant trouvé à la fois dans les serveurs du CND et ceux du Parlement allemand après une brèche. L'agence de sécurité allemande BfV avait identifié les auteurs : le service de renseignement russe. L'infrastructure à la base du faux domaine de MIS Department a aussi été reliée à la brèche allemande grâce à un second élément, un certificat SSL identique.

Les preuves permettant de relier Guccifer 2.0 aux services russes ne sont pas aussi solides, mais la probabilité d'une opération de diversion — une fausse bannière, dans le jargon — est très forte. Les services de renseignement et les professionnels de la cybersécurité savaient depuis longtemps que ces fausses bannières étaient de plus en plus communes : notamment, le piratage de TV5 Monde en avril 2015, a d'abord été revendiqué par le mystérieux CyberCaliphate, un groupe prétendument lié au groupe État islamique. Deux mois plus tard, les autorités françaises ont relié le groupe APT 28 à l'origine de cette brèche. Mais le cas de la diversion contre le CND est le plus détaillé et le plus important jusqu'à maintenant. Les techniques sont aussi stupéfiantes que le contexte stratégique.

Les métadonnées des documents transmis aux médias sont peut-être les plus révélatrices : un des documents a été modifié à l'aide de paramètres russes par un utilisateur nommé Феликс Эдмундович. Ce nom de code fait référence au fondateur de la police politique soviétique, Tchéka, en l'honneur duquel une statue a été érigée devant les quartiers du KGB pendant l'ère soviétique. Les auteurs de la brèche ont commis d'autres erreurs : un des documents contenait des hyperliens de messages d'erreurs en alphabet cyrillique, conséquence de la modification d'un fichier avec un ordinateur qui utilise le russe. Après la divulgation de cette erreur, les hackeurs ont retiré l'information en alphabet cyrillique des métadonnées et utilisé des noms d'utilisateur créés à partir de noms d'autres régions du monde, confirmant ainsi leur erreur.

« Je déteste qu'on m'associe à la Russie », nous a dit Guccifer 2.0. La personne derrière le clavier a ensuite ajouté que Guccifer 2.0 était roumain, comme le Guccifer original, un célèbre hackeur. Mais quand on lui a demandé d'expliquer en roumain comment il a réussi son piratage, il n'a montré qu'une faible connaissance de la langue. L'anglais de Guccifer 2.0 était aussi pauvre, mais, dans des échanges ultérieurs, il s'est grandement amélioré quand il était question de politique, mais pas sujets techniques : ce qui laisse croire qu'une équipe se cache derrière le pseudonyme.

D'autres éléments éveillent les soupçons. Curieusement, Guccifer 2.0, dès le début, a affirmé non seulement qu'il avait piraté le réseau du CND, mais aussi qu'il n'y avait pas eu deux groupes russes en même temps sur le réseau. Il est pourtant courant de voir plusieurs pirates entrer dans un même réseau attrayant et mal protégé. Néanmoins, Guccifer 2.0 a affirmé avec assurance, mais sans fournir de preuves, que le hackeur avait agi seul. Une insistance qui semble avoir pour but de blanchir la Russie. La disponibilité de Guccifer 2.0 auprès des journalistes a aussi surpris, car ce n'est pas habituel.

L'acharnement et les multiples erreurs de Guccifer 2.0 sont typiques de la prise de risques du GRU et de la mentalité de temps de guerre qui prédomine dans les services de renseignement russes. Ce services se voient comme des instruments d'action directe au service d'une Russie fragile, assiégée par l'Occident et en particulier par les États-Unis.

***

L'opération correspond bien à la doctrine militaire actuelle en Russie, appelée « guerre de nouvelle génération » ou « doctrine Gerasimov », du nom de Valery Gerasimov, l'actuel chef d'État-major des forces armées russes. Dans cette approche, ce qui constitue une cible ou une stratégie militaire est moins limité

Les diversions et la désinformation en font partie intégrante, tout comme le camouflage et la dissimulation, note l'analyste israélien Dima Adamsky dans une vaste étude de l'évolution de la stratégie russe publiée en novembre dernier. La bataille de l'information, selon lui, est au centre de la guerre de nouvelle génération. Ce sont des « composantes technologiques et psychologiques conçues pour manipuler l'image de l'adversaire, désinformer et influencer les décisions d'individus, d'organismes, de gouvernements et de la population. »

L'opération Guccifer 2.0 semble être créée et exécutée dans le cadre de cette vaste bataille de l'information. Avec d'importantes conséquences.

D'abord, l'opération n'est pas terminée. Les espions russes ont mis la main sur un grand nombre de fichiers du Comité national démocrate. APT 29, le groupe soupçonné d'être le FSB, a prolongé l'accès aux courriels, échanges, pièces jointes et autres éléments. Des groupes russes ciblent la campagne d'Hillary Clinton depuis au moins octobre 2015. Guccifer 2.0, dans un courriel envoyé à The Smokin Gun, a même affirmé détenir « quelques documents secrets de l'ordinateur personnel qu'utilisait Hillary Clinton quand elle était secrétaire d'État ». On ne sait si cette information est vraie ni si tous les documents ayant fait l'objet de la fuite ont été exfiltrés au moyen de la brèche du réseau du CND. Trois semaines plus tard, le 5 juillet, l'agent du FBI James Comey a estimé qu'il était « possible que des individus hostiles aient eu accès au compte de courriels personnel d'Hillary Clinton ». Il est probable que les hackeurs du CND en conservent ou regagnent l'accès. De plus, Guccifer 2.0 s'est maintenant établi en tant que source de documents piratés. Une escalade est à prévoir.

Deuxièmement, les documents piratés rendus publics ne sont pas complètement fiables. Les opérations de manipulation sont faites pour manipuler. Les métadonnées montrent que les agents russes auraient modifié des documents et, dans certains cas, créé de nouveaux documents après avoir été chassés du réseau du CND le 11 juin. Par exemple, un fichier nommé donors.xls a été créé le 15 juin, probablement pour copier une liste réelle dans un nouveau document.

Même si, pour l'instant, le contenu des documents piratés ne semble pas avoir été trafiqué, la manipulation est monnaie courante dans d'autres contextes, comme les actions des web-brigades ou la distribution de fausses informations aux médias. Les manipulations subtiles (ou non) du contenu peuvent être à l'avantage de l'adversaire. Les journalistes doivent faire preuve de prudence dans le traitement de documents rendus publics par des services du renseignement, et ne devraient pas considérer ces derniers comme des sources fiables.

Troisièmement, il est peu probable que l'opération contre le CND reste l'exception. L'influence politique ainsi que la manipulation ont porté leurs fruits, du moins en partie. Les arguments du CND contre Trump formulés au moyen de la recherche ont été émoussés. Et des médias ont critiqué Hillary Clinton : un résultat satisfaisant pour une opération à peu de risques et de frais pour ses auteurs.

Autre gain : la manipulation n'a pas besoin d'être exécutée à la perfection, il suffit qu'elle sème le doute. De hauts standards journalistiques, paradoxalement, jouent en faveur du GRU, car les nouvelles sont suivies de démentis officiels du Kremlin et des doutes des experts au sujet des preuves, même les plus solides. Si d'autres services de renseignement estiment que cette opération est un succès, même modeste, d'autres tentatives d'influence sont susceptibles de se produire dans le cadre de prochaines élections, surtout en Europe.

Les démocraties, en fin de compte, ont un double désavantage. D'une part, les campagnes électorales générales et leurs organisations ad hoc représentent des cibles de choix : réseaux mal protégés et contenu explosif. D'autre part, les agences gouvernementales et des sociétés de cybersécurité ne voient pas l'intérêt de patauger dans ce qui peut vite devenir une pagaille aux lourdes conséquences politiques.

Par contre, les coupables trouveront aussi bientôt ces opérations risquées. La sécurité opérationnelle était différente dans l'espionnage traditionnel avec ses tentatives de sabotage hors ligne. L'équipe de Guccifer 2.0 a probablement sous-estimé la capacité d'analyse participative remarquable que déclencheraient ses actions : par exemple, une grande part de cette analyse, qui s'est déroulée en temps réel sur Twitter, a été l'œuvre d'un analyste chevronné utilisant le pseudonyme Pwn All The Things.

Mais l'absence de réaction politique au piratage du CND crée un dangereux précédent. Une agence étrangère, exploitant WikiLeaks et les médias, planifie et exécute avec précision une campagne politique aux États-Unis, qui peut avoir des conséquences la semaine prochaine, l'automne prochain ou la prochaine fois. Trump, ironiquement, a raison : le système est truqué.

L'inaction américaine risque maintenant de devenir une norme de facto : les campagnes électorales, aujourd'hui et à l'avenir, sont exposées au sabotage. Du sabotage qui pourrait changer l'issue d'une élection ou affaiblir la légitimité du gagnant. L'inaction risque aussi d'émousser l'effet dissuasif des réactions de la Maison-Blanche à la participation de la Corée du Nord au piratage de Sony et des inculpations d'agents chinois et iraniens par le département de la Justice des États-Unis, par exemple. Pour l'instant, les seuls pays à avoir le cran de dénoncer les opérations russes sont l'Allemagne et, dans une moindre mesure, la Suisse et la France.

Il est temps pour les États-Unis (et le Royaume-Uni) de faire leur part : en divulguant plus de preuves, en prévenant les pays derrière ces brèches des conséquences politiques, en considérant WikiLeaks comme une cible de contre-espionnage et en offrant à l'avenir une plus grande sécurité à la fois physique et numérique aux organisations électorales.

Thomas Rid est professeur au King's College de Londres. Il est l'auteur du livre Rise of the Machines, paru en juin dernier. Vous pouvez le suivre sur Twitter.