Washington déclassifie des documents sur les cyberattaques de la Russie
Elles étaient attendues.
Mais ce n'est pas tout. Barack Obama a également ordonné des sanctions contre des organisations et des personnalités travaillant pour les services secrets russes. Sont notamment concernés le FSB et le GRU, qui est le service de renseignement militaire de la Russie, ainsi que trois entreprises accusées d'avoir fourni un soutien matériel au GRU pour ses attaques informatiques.
À cette première riposte, qui devrait se prolonger dans les jours et les semaine à venir, avec des opérations probablement « cyber » qui ne seront pas divulguées au public, le président des États-Unis a annoncé que la publication par le FBI et le département de la sécurité intérieure « d'informations techniques déclassifiées sur les cyber-activités des services de renseignement civils et militaires russes ».
D'après Barack Obama, ces données doivent « servir les défenseurs des réseaux aux USA et à l'étranger à identifier, détecter et contrer la campagne mondiale menée par la Russie dans le domaine des cyber-activités malveillantes ». C'est le centre américain de réponse d'urgence aux menaces sur la sécurité informatique (US-CERT) qui s'est chargé de publier la documentation relative aux Russes.
« Le 7 octobre 2016, le département de la sécurité intérieure et le bureau du directeur du renseignement national ont publié une déclaration commune sur les vulnérabilités en matière de sécurité électorale », écrit l'US-CERT. « Le département a publié un rapport d'analyse conjoint attribuant ces faits à la cyber-activité malveillante de la Russie, désignée sous le nom de Grizzly Steppe »
En octobre, les deux organismes avaient directement pointé du doigt Moscou, estimant que les opérations contre le scrutin n'auraient pas pu avoir lieu sans le feu vert des plus hautes autorités du pays. « Au regard de l’étendue et de la sensibilité de ces tentatives, seuls les plus hauts gradés des officiels russes ont pu autoriser ces activités ». Et en Russie, rien de sérieux ne se passe sans que Vladimir Poutine ne soit au courant.
Les documents mis en ligne par l'US-CERT présentent le mode opératoire attribué aux services secrets russes et à leurs soutiens, les différents noms de code qu'ils emploient, les adresses IP qu'ils utilisent, notamment celles situées en dehors de la Russie pour couvrir leurs traces, les domaines mis à contribution encoure les signatures de logiciels malveillants.
Ces éléments censés démontrer l'activisme agressif de la Russie sont accompagnées de diverses recommandations techniques destinées aux administrateurs de réseau et aux directeurs des systèmes d'information pour qu'ils s'exposent moins aux accès frauduleux et aux tentatives de récupération de données sensibles. Certaines sont très classiques, à l'image du conseil donné de garder son système à jour.
Pour les professionnels de l'IT, cette documentation ne sera pas de trop pour sécuriser les réseaux et les systèmes.
Toutefois, des voix se sont récemment manifestées pour faire part de leur agacement à propos de cette publication, jugée par certains experts comme trop superficielle et, surtout, arrivant un peu trop tard alors que plusieurs travaux menés par des sociétés privées pointaient déjà la responsabilité russe dans diverses opérations de cyber attaques, comme celle ayant ciblé TV5 Monde ou l'agence mondiale antidopage.
https://twitter.com/JZdziarski/status/814660101172817920