Des agents russes ont « infiltré des systèmes d’informations critiques en France, en attendant de frapper le jour J »

2023, plus inquiétant que 2022. L’ANSSI, la sentinelle cyber de l’État français, a dévoilé ce 27 février son panorama annuel de la menace cyber. Si l’invasion de l’Ukraine par la Russie a mobilisé l’essentiel des forces du Kremlin cette année-là, les hackers du renseignement ont de nouveau pris l’Europe et la France en cible dernièrement.

« Les acteurs étatiques affiliés à la Russie sont plus que jamais de retour. On a constaté des infiltrations sur des infrastructures critiques, sans actions particulières derrière », déclare Vincent Strubel, le directeur général de l’ANSSI. « Ils agissent comme des espions, ils ne font rien, si ce n’est vérifier qu’ils sont toujours installés. Ils attendent de frapper le jour J, où on leur donnera des instructions. Cela peut être avec des wiper (des logiciels malveillants pour détruire les données), ou même une destruction physique en jouant avec les paramétrages d’une infrastructure. C’est des choses que l’on a vues en Ukraine. »

« Un ciblage croissant de groupes de réflexion (think tanks) et d’instituts de recherche »

De manière générale, les experts en cyber alertent sur l’espionnage, « la menace qui a, à nouveau, le plus impliqué les équipes de l’ANSSI », peut-on lire dans le rapport. « Cette constante témoigne des moyens humains, financiers et techniques mis en œuvre par des acteurs étatiques et privés pour collecter des informations stratégiques, industrielles ou à caractère personnel sur les réseaux français. L’année a notamment été marquée par la recrudescence d’attaques réalisées au moyen de modes opératoires associés publiquement au gouvernement russe contre des organisations situées en France. »

En plus des administrations et des industries sensibles, l’ANSSI note cette année « un ciblage croissant de groupes de réflexion (think tanks), d’instituts de recherche et d’entreprises de la base industrielle et technologique de défense (BITD). Les attaquants visent des organisations travaillant dans des domaines stratégiques ou celles qu’ils considèrent comme proches de l’État français. Ces attaques ne se limitent pas au territoire métropolitain : en 2023, l’ANSSI a traité la compromission d’un système d’information situé dans un territoire ultramarin au moyen d’un mode opératoire d’attaque associé publiquement à la Chine ».

Une hausse des cyberattaques cybercriminelles

La guerre entre la Russie et l’Ukraine a créé quelques remous dans le milieu du cybercrime, divisant de nombreux malfaiteurs, d’origines russes, mais aussi bien souvent, de nationalité ukrainienne. Les gangs de ransomware se sont restructurés en 2023 et relancé la machine.

Dans son rapport, l’agence constate que « le nombre total d’attaques par rançongiciel portées à la connaissance de l’ANSSI est supérieur de 30 % à celui constaté sur la même période en 2022. Cette recrudescence, également constatée par la section de lutte contre la cybercriminalité du parquet de Paris, rompt avec la diminution du nombre d’attaques par rançongiciel observée par l’agence dans son précédent Panorama de la cybermenace. »

Les PME et les collectivités territoriales représentent encore près d’un tiers des cibles.

Le directeur général de l’ANSSI se veut néanmoins optimiste pour l’avenir et les futurs Jeux olympiques, un enjeu majeur de cybersécurité. « On se prépare intensément, les organes de l’État, tous les partenaires impliqués passent par des exercices critiques », affirme Vincent Strubel.

Impossible aussi de ne pas évoquer la récente opération des forces de l’ordre contre le groupe de cybercriminels le plus redouté, Lockbit. « Elles permettent de diminuer la pression, on sait que de nombreux responsables sont encore en liberté, mais s’attaquer à leur infrastructure permet de souffler, le temps qu’ils se relancent », reconnait le directeur général. Va-t-on (enfin) passer une année 2024 à l’abri de Lockbit ?