Des parlementaires allemands sont victimes d’une campagne de cyberespionnage. D’après Der Spiegel, les adresses email de 7 élus du Bundestag (le parlement national) et de 31 élus des Landtag (les parlements locaux) ont été récemment compromises par des hackers. Les autorités soupçonnent le GRU, une branche du renseignement militaire russe, d’être à l’origine des piratages. Cette unité est régulièrement mentionnée, directement ou indirectement, dans les joutes géopolitiques attribuées à la Russie.

Le 27 mars, le porte-parole du Bundestag Frank Bergmann a expliqué à The Record Media que tous les élus touchés ont été prévenus. Il a aussi précisé que les hackers ne s’en sont pas pris à l’infrastructure informatique du Bundestag, mais qu’ils ont plutôt visé les adresses email privées des élus avec des campagnes de phishing sur-mesure. C’est un point faible des organisations : elles peuvent contrôler le niveau de sécurité des adresses professionnelles avec toutes sortes de filtres et d’outils, mais elles ne peuvent pas contrôler l’usage d’adresses personnelles, dont la protection atteint rarement un niveau suffisant pour les types de cybermenaces auxquels les députés sont confrontés.

iphone(2).jpg

Les attaques contre les députés allemands feraient partie de l’opération Ghostwriter. // Source : CCO/Flickr

Selon Der Spiegel, les hackers auraient imité l’adresse email de personnes en qui les élus avaient confiance pour mieux les piéger. Ce tour de passe-passe est relativement facile à mettre en place techniquement, mais il nécessite une collecte d’information au préalable, signe que l’attaque était ciblée, et que les hackers avaient travaillé leurs dossiers. Leur objectif final : obtenir un accès illimité aux courriels des élus pour espionner les principaux décisionnaires du pays.

Ghostwriter frappe à nouveau

Ces attaques seraient lancées dans le cadre d’une opération commanditée par le GRU, connu sous le nom Ghostwriter. Débutée en 2017, l’opération a fait l’objet de plusieurs rapports, dont un de FireEye, daté de l’an dernier. Ghostwriter œuvre pour l’agenda politique russe : en 2017, ses opérateurs avaient orchestré une campagne de désinformation en Lituanie, Lettonie et Pologne, dans l’objectif d’alimenter la méfiance contre l’OTAN. C’est d’ailleurs de cette capacité à fabriquer des fake news que l’opération tient son nom. Pour les diffuser, les hackers piratent les adresses email de responsables politiques et des comptes de réseaux sociaux très suivis. Dans son rapport, FireEye précise que les outils et tactiques employés dans le cadre de Ghostwriter varient d’une cyberattaque à l’autre, de sorte qu’il n’est pas toujours évident de déceler le lien entre elles.

Ce ne serait pas la première fois que le renseignement russe s’en prend au Bundestag. En 2015 déjà, les ordinateurs de plusieurs élus, dont celui d’Angela Merkel, étaient la cible de cyberattaques. Les hackers étaient parvenus à s’emparer de plusieurs gigaoctets de données. À la suite de l’incident, les autorités allemandes sont remontées jusqu’à Dmitri Sergeyevich Badin, un hacker affilié au GRU, qui aurait orchestré l’attaque. La justice a publié un mandat d’arrêt contre ce Russe de 30 ans en mai 2020. Ce dossier pourrait se refermer, mais les nouveaux piratages en ouvrent un autre.