Les pirates russes ont frappé à l’Otan et chez Proximus: Un espionnage "tous azimuts"

Christophe Lamfalussy
20151217 - BRUSSELS, BELGIUM: Illustration picture shows a visit to NATO headquarters in Brussels, Thursday 17 December 2015. BELGA PHOTO NICOLAS MAETERLINCK
20151217 - BRUSSELS, BELGIUM: Illustration picture shows a visit to NATO headquarters in Brussels, Thursday 17 December 2015. BELGA PHOTO NICOLAS MAETERLINCK ©BELGA

Selon Trend Micro, la Belgique n’a pas été épargnée par les espions de "Pawn Storm".

Des membres du personnel de l’Otan, des diplomates belges postés à l’étranger ainsi que des clients de la messagerie belge Skynet.be (Proximus) figurent parmi les cibles du groupe de pirates informatiques qui a infiltré cette année le réseau d’Emmanuel Macron et celui du parti démocrate aux Etats-Unis, a appris "La Libre Belgique".

Les faits se sont déroulés entre 2014 et 2016, selon Feike Hacquebord, chercheur en sécurité de la firme de cybersécurité Trend Micro et auteur d’un rapport détonnant sur ce groupe qui serait lié au Kremlin, selon les agences de renseignement américaines.

Le groupe "Pawn Storm" est actif depuis 2004 selon Trend Micro (depuis 2007 selon Microsoft). Il a aussi été baptisé "Strontium", "Fancy Bear", "Sednit" ou "APT28" par d’autres firmes de cybersécurité. Le groupe pratique surtout l’hameçonnage ("phishing"), qui consiste à s’introduire dans un ordinateur par une porte dérobée afin d’y voler des données.

Récemment, le groupe semble avoir décidé d’influencer l’opinion publique en diffusant les informations volées, comme dans le raid l’an dernier contre le Comité national démocrate qui aurait eu pour but, selon la CIA, d’empêcher l’élection d’Hillary Clinton.

Des comptes Gmail

En préparant son rapport, le chercheur a découvert que ce groupe a tenté - et a peut-être réussi - de pirater les boîtes mail privées, de type Gmail, de plusieurs fonctionnaires de l’Otan en Belgique. "Je suis remonté à eux en trouvant sur leurs comptes Facebook ou LinkedIn des informations sur le fait qu’ils travaillaient à l’Otan, nous dit-il. Certains sont plutôt ouverts."

Un classique : les pirates invitaient les personnes à cliquer sur un lien corrompu, avec l’objectif d’accéder à leur ordinateur, d’y loger un maliciel et de voler des données sensibles, voire d’accéder aux correspondants de l’intéressé.

"Le fait qu’ils aient cliqué sur le lien ne signifie pas qu’ils ont été automatiquement corrompus, précise-t-il. Les antivirus peuvent contrer l’attaque. Mais il y a une fragilité quand une personne utilise son mail privé pour traiter des choses professionnelles, par exemple en transférant un mail professionnel sur son compte privé", ou vice-versa.

L’autre attaque date du 18 décembre 2015 lorsque les hackers ont enregistré une fausse page webmail-skynet.be avec l’intention d’attirer dans leurs filets des clients de haut niveau de la messagerie de Proximus. Au final, le client a l’impression d’être sur le webmail de l’opérateur, mais se trouve en fait sur le webmail des pirates.

Proximus confirme à "La Libre" cette cyberattaque. "Notre équipe CSIRT a fait fermer le faux site web en question", explique Haroun Fenaux, porte-parole de l’opérateur belge. "Dans le cadre de cette attaque phishing, il n’y avait pas d’infrastructure Proximus impliquée, donc pas de failles exploitées sur notre infrastructure Proximus. Le CSIRT surveille l’Internet pour détecter et identifier des faux sites Proximus - afin de les fermer le plus vite possible."

De son côté, le Centre pour la Cybersécurité Belgique (CCB) affirme que "pour des raisons de sécurité", il "ne peut pas communiquer sur ce genre d’affaires" , précise son porte-parole Maarten Thimpont. En février, interrogé par le "Tijd", son directeur affirmait qu’il n’y avait pas a priori d’attaques russes en Belgique mais reconnaîssait qu’une attaque pouvait lui échapper.

Selon le CCB, les Affaires étrangères belges sont la cible d’environ 130 cyberattaques par jour. En mai 2014, le réseau du département avait été mis au tapis par le virus Snake.

Un espionnage tous azimuts

Mais "Pawn Storm" semble encore plus actif. La CDU allemande, le bureau du Premier ministre turc, des journaux comme le "New York Times" ou "Hurriyet", les ministères de la Défense espagnol ou hongrois en ont été les victimes. Selon le Trend Micro, l’attaque qui avait paralysé TV5 Monde en 2015 est aussi attribuée à ce groupe, qui se présentait à l’époque comme un énigmatique "CyberCaliphate". Et des ambassades belges auraient également été visées.