L’agence de cybersécurité américaine, le CISA, a décelé un groupe de hackers lié au Kremlin dans le réseau d’un satellite privé américain. Les pirates y étaient installés depuis des mois.

La cyberguerre ne fait pas forcément de bruit, mais les batailles continuent dans l’ombre. Un réseau privé de satellite américain a été infiltré par un groupe de hackers russe, suspecté de travailler pour Moscou. Des chercheurs du CISA, l’Agence de cybersécurité américaine, ont travaillé sur cette cyberattaque, détaillée lors d’une conférence et retranscrite par le média Cyberscoop le 16 décembre 2022.

Le nom de l’entreprise n’a pas été communiqué et peu de détails ont été divulgués, tant les attaques contre les satellites posent un problème en termes de sécurité nationale. Certains clients du fournisseur de communication étaient issus des secteurs d’infrastructures critiques des États-Unis. Puisque l’infiltration était silencieuse, on conclut naturellement à un spyware, un logiciel malveillant espion, destiné à dérober des données. Plus grave, encore, les pirates étaient installés depuis des mois dans le réseau, estiment les spécialistes du gouvernement américain.

Les satellites sont rarement utilisés pour la connexion internet aujourd’hui — on leur préfère les câbles depuis longtemps — en revanche, ils sont toujours nécessaires pour de nombreux usages professionnels, la géolocalisation ou encore la télévision.

Une branche du renseignement russe

MJ Emanuel, une analyste du CISA a déclaré lors de l’évènement Cyberwarcon que toutes les pistes mènent au groupe de hackers russes Fancy Bear, aussi nommé APT 28. Ce collectif, considéré comme une branche du GRU, les renseignements russes, frappe régulièrement des cibles sensibles en Europe et aux États-Unis. Ils sont à l’origine de la fuite des emails du parti démocrate en 2016 en pleine campagne présidentielle ou encore de la cyberattaque faisant cesser la diffusion la chaîne TV5 Monde.

Le logo des fancy bear, un collectif identifié par l'entreprise en cyber Crowd Strike. // Source : Crowd Strike
Le logo des Fancy Bear, un collectif identifié par l’entreprise en cyber Crowd Strike. // Source : Crowd Strike

L’erreur du fournisseur attaqué a été d’utiliser les mêmes identifiants pour les comptes ordinaires ainsi que pour les comptes « d’urgence », ouvrant la porte aux pirates à des données plus sensibles.

Une première attaque contre un satellite de la société Viasat a eu lieu dès le soir de l’invasion de l’Ukraine le 24 février. Le réseau lié à l’appareil était mystérieusement tombé en panne. Le 10 mai 2022, l’Union européenne, les États-Unis ainsi que le Royaume-Uni ont officiellement accuser les autorités russes d’avoir mené cette cyberattaque. Malgré leur importance, les satellites sont encore mal sécurisés et vulnérable au cyberespionnage, alertent de nombreux experts en cyber.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.