L’actualité américaine est rythmée ces dernières semaines par diverses révélations des services secrets concernant la responsabilité russe dans les attaques informatiques contre le camp démocrate. Les versions divergent, et il est encore difficile d’établir les responsabilités : néanmoins, nous avons tenté de clarifier les informations dont nous disposons.

En 2002, Joseph C. Wilson, ancien diplomate américain, débute une enquête sur l’armement nucléaire de l’Irak. Pour trouver les fameuses preuves de l’armement irakien, il se rend au Nigéria, où l’uranium destiné au pays du Golfe est censé se trouver. Il ne trouve alors aucune preuve des allégations qui sont fournies par les services américains et britanniques. Il écrit en juillet 2003 dans le New York Times l’article désormais historique : Ce que je n’ai pas trouvé en Afrique.

Colin Powell reconnaîtra également ses torts : en 2011, il demandait encore au Pentagone des réponses sur les fausses informations transmises par les services secrets américains concernant les armes irakiennes. L’histoire connaît la suite : les gouvernements américain et britanniques avaient manifestement connaissance de l’invalidité des informations des services, et la guerre a quand même eu lieu.

Drôle de manière d’introduire sur un problème qui n’a visiblement aucun lien avec celui-ci, nous le concédons, mais en matière d’information, le précédent créé par la guerre en Irak nous oblige à une mesure particulière lorsqu’il s’agit d’informations directement sourcées par les services secrets américains. Nous n’y voyons pas là du conspirationnisme, mais seulement la reconnaissance d’un fait simple : les services d’intelligence ont un jeu à jouer dans la diplomatie et leur meilleure carte est l’information.

Or, aujourd’hui et depuis les cyberattaques contre le parti Démocrate, le débat américain est rythmé par des révélations des services secrets et du FBI concernant l’implication de l’État russe dans une cyberguerre menée par Moscou pour soutenir la candidature de Donald Trump. Une candidature implacablement plus proche des intérêts de Poutine que celle d’Hillary Clinton.

Les révélations de la CIA et de la NSA

Ce jeudi, c’est NBC News qui révèle que les services secrets, qui surenchérissent sur le sujet depuis quelques semaines, ont connaissance d’un lien direct entre Vladimir Poutine et les personnes ayant menées les attaques contre le comité national démocrate (DNC). Le média indique que sa source est un officiel des renseignements américains. Nous ne savons donc pas s’il s’agit de la CIA ou de la NSA ou d’une autre agence, mais la source explique avoir « un haut niveau de confiance » dans la théorie selon laquelle le président russe a une part de responsabilité directe dans les cyberattaques.

Deux autres sources également anonymes expliquent à NBC clairement que les agences ont découvert suffisamment d’élément pour établir un lien entre le chef d’état et les groupes de hackers à l’origine des attaques.

poutine

Pour les officiels du renseignement, les objectifs de Poutine sont alors multiples. Il y a bien sûr une vengeance quasi personnelle du chef d’État contre l’ancienne secrétaire d’État Clinton qui a toujours eu des mots très durs à l’égard du pays. Mais selon les renseignements, l’objectif politique russe devient plus global : il s’agirait alors de montrer la corruption qui gangrènerait la démocratie américaine et ainsi écorner l’image et l’honneur américain.

Pour Moscou, les attaques permettent de révéler des faiblesses de la démocratie américaine et également d’entacher les alliés internationaux des américains. Les officiels expliquent : « [le souhait de Moscou] est de diviser les alliés clefs des États-Unis en mettant en avant l’image d’autres pays qui n’ont pas besoin de l’Amérique pour être des leaders mondiaux crédibles. »

Or, il ne fait aucun doute au vu de la structure des pouvoirs russes que si les cyberattaques ont été menées par des groupes liés aux services secrets russes, les plus hautes sphères de l’État russe en ont été nécessairement informées. La proximité de Vladimir Poutine avec ses services et l’autorité qu’il a sur ceux-ci n’est plus à démontrer.

Drapeau russe

Ces déclarations viennent alourdir le bilan dressé par le New York Times et le Washington Post qui ont tout deux dévoilé à quelques jours d’intervalles des articles particulièrement étayés, en se fondant sur des nombreuses sources dans les renseignements, sur l’implication russe dans les attaques.

Le premier à paraître est celui du WaPo : il fait état d’un document qui « fait consensus dans les services secrets » sur l’implication russe, comme l’aurait rapporté un officiel des agences aux sénateurs américains durant des entretiens classés secrets défenses. Les journalistes auraient ainsi eu accès à la fameuse phrase prononcée devant les sénateurs : « C’est l’analyse de la communauté du renseignement d’estimer que le but poursuivi ici par la Russie était de favoriser un candidat au dépend des autres, donc d’aider Trump à être élu. »

Enfin, la longue enquête du New York Times finit de planter le décor : les service secrets ont bel et bien décidé de sortir de leur silence. Au cours du fastidieux travail de Eric Lipton, David E. Sanger et Scott Shane, le NYT va réunir des dizaines de témoignages provenant de différents centres de renseignements qui, pour la première fois, semblent d’accord pour incriminer la Russie.

Pour les services, les éléments trouvés que rapportent partiellement le journal, montrent que l’attaque contre les mails de John Podesta était menée par Fancy Bear, un groupe de hackers russes liés au GRU (le renseignement militaire russe). Il était probablement responsable du piratage de TV5 Monde en 2015. La seconde attaque, contre le comité démocrate, était, elle, menée par Cozy Bear, un autre groupe rattaché aux pouvoirs russes. Selon CrowdStrike, Cozy Bear avait pénétré les serveurs des démocrates en 2015 et avait gardé depuis la main mise sur les données.

Ce qu’en disent les experts de la cybersécurité

Afin de soutenir ces accusations, CrowdStrike, et plusieurs experts, ainsi que les sources de renseignements avancent diverses preuves et signatures appartenant probablement aux deux groupes. Pour CBS, les hackers ont laissé leurs empreintes dans leurs attaques, ce qui se traduirait par un modus operandi commun à d’autres attaques russes effectuées par le passé. Encore une fois, c’est un officiel du renseignement qui explique au média : « Nous comprenons comment les groupes de pirates utilisent Internet pour attaquer. Le motif et le point de départ utilisés auparavant par les Russes est identique à ceux utilisés pour attaquer le DNC. » Le langage plutôt obscure de la source de CBS ne permet pas tout à fait d’établir de sérieuses preuves.

hacker-computer

C’est alors qu’intervient l’Associated Press qui grâce à Michael Buratowski de Fidelis Cybersecurity, parvient à avancer les premières preuves (et qui demeurent aujourd’hui parmi les seules dont nous disposons) de l’origine russe des attaques : les IP des hackers sont localisées en Russie, les claviers utilisés pendant les attaques sont configurés en russe, et les manifestations d’une activité se font toujours à des heures où il fait jour en Russie (décalage horaire oblige). Enfin, la complexité de l’attaque montre que peu de groupes seraient en mesure de la lancer selon l’expert.

Maintenant, en mettant de côté les affirmations des services secrets dans divers médias, si nous récapitulons les éléments révélés par les experts et par l’enquête du NYT, nous pouvons dresser la liste suivante d’éléments incriminant la Russie :

  1. Le malware trouvé dans les ordinateurs du comité démocrate est programmé pour communiquer à l’adresse IP de Fancy Bear. (CrowdStrike).
  2. Le faux-site créé pour faire du phishing auprès des employés démocrates est lié à l’adresse IP de Fancy Bear. (Threat Connect)
  3. Les méta-données des documents révélés par Guccifer (à la suite des attaques) montrent l’implication d’un Felix Edmundovich (écrit en cyrillique ?????? ??????????). Ce nom est celui du fondateur de la Tchéka, première police politique de l’URSS. Enfin, un autre document révélé montre que le logiciel utilisé pour son traitement était configuré en russe. (Pwn All The Things, expert en sécurité, Twitter)
  4. Les erreurs de syntaxe et de linguistique du leaker Guccifer montrent qu’il n’est pas Roumain comme il le prétend. (Motherboard)
  5. Le site DCLeaks.com qui devait servir aux révélations a été enregistré par la même personne qui a créé le site de phishing du DNC. (FireEye)
  6. De nombreux mails envoyés pour les tentatives de phishing étaient transmis par Yandex, un service moscovite. (Threat Connect)

Or, si toutes ces informations peuvent paraître suffisantes pour incriminer les deux groupes russes et donc la Russie, c’est en réalité plus complexe : ces éléments sont sérieux mais pas assez décisifs pour prouver une implication sincère de la Russie. Notamment car tous les experts s’accordent pour décrire les attaques comme des machineries parfaites : Threat Connect ne tarit pas d’éloges sur le modus operandi des attaquants. Alors, avec une si bonne organisation, pourquoi envoyer à des journalistes américains un document contenant dans ses méta-données le nom d’un chef soviet ? Est-ce une marque de cynisme absolu ou simplement une fausse piste ?

Le FBI sème le désordre

Si l’on s’en tient aux dires des services de renseignement, ils ont en leur possession la totalité des éléments accusant la Russie. Mais le dossier étant classé secret défense, l’opinion publique comme les médias doivent pour le moment s’en tenir à ces révélations.

FBI-1900

De plus, pour finir de semer la discorde, en dehors du consensus des services secrets, une voix dissonante se fait entendre : celle du FBI. L’agence fédérale reconnaît bel et bien la responsabilité russe mais ne souhaite pas tirer les mêmes conclusions que la CIA sur les motivations russes. Un officiel du FBI a ainsi déclaré « Il n’y pas de doute sur le fait que les efforts russes avaient une direction, mais ce qui n’est pas clair c’est leur but : il peut être spécifique ou bien un mélange d’objectifs reliés » comme le rapporte le WaPo avant d’ajouter : « Nous arrivons à des conclusions divergentes [des services de renseignement, NSA et CIA] ». En somme, le FBI remet en doute la théorie de la liaison directe entre Poutine et les hackers qui auraient voulu s’en prendre à Clinton. Et de fait, l’agence imagine que d’autres motivations que celles interprétées par les autres services de renseignement ont pu motiver les groupes de hackers.

Cette différence dans le traitement de l’information mise à disposition par les agences marque surtout une différence de méthode. Le FBI et sa tradition juridique est moins en mesure de se livrer à des théories sans fondements concrets que les services de renseignement, qui par nature, ont des sources plurielles et n’ont pas besoin de s’employer à la même rigueur qu’un organe comme le FBI. Cela n’en fait pas des plus mauvaises sources, néanmoins, ce sont deux approches qui se complètent.

Washington dans la tourmente

Politiquement, la situation devient particulièrement tendue à Washington. D’un côté, le président élu Donald Trump se refuse toujours à reconnaître la possibilité d’une attaque d’État et chercher à enterrer les rapports des renseignements et ne pas déclencher de commission d’enquête au parlement. Mais sur ce sujet, il est loin d’être majoritaire et cela, même dans son camp. Si les Démocrates poussent le Congrès à s’engager sur la question, les Républicains ne suivront pas non plus Donald Trump sur le sujet. Ajoutons, qu’Obama souhaite également y jouer sa dernière carte, malgré le temps qui commence à lui manquer.

washington-d-c-statue-sculpture-the-peace-monument-62318

Dans le fond, l’affaire est révélatrice des tensions des débuts du mandat de Trump avec l’ancien candidat McCain qui s’est personnellement engagé sur le dossier. Ce dernier, qui a le soutien de l’appareil Républicain, souhaite avec ce bras de fer montrer au président élu que ses liens avec la Russie ne seront jamais acceptés par sa majorité. Le combat pour la vérité sur l’affaire est donc loin d’être terminé, et seule une vraie déclassification des rapports pourra remettre de l’ordre dans ce qui, l’air de rien, s’apparente à une véritable guerre froide numérique.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.