Cozy Bear, un groupe de hackeurs russes accusé d'avoir causé du tort au parti démocrate lors des élections présidentielles américaines en 2016 et d'être très proche du Kremlin, pensait agir sous les radars des services de renseignement occidentaux. Mais c'était sans compter le professionnalisme des Néerlandais.

Lorsque l’on songe aux pays ayant des services de renseignement particulièrement efficaces, notamment sur le plan technique, ce sont des noms comme les États-Unis, la Russie, la Chine, Israël, le Royaume-Uni ou la France qui émergent régulièrement. Il est plus rare d’entendre parler d’autres États. C’est une erreur : d’autres nations sont très compétentes, à commencer par les Pays-Bas.

C’est le quotidien néerlandais deVolkskrant qui a apporté, lors d’une longue enquête sur le sujet, un éclairage très instructif sur les capacités de l’AIVD (l’équivalent en France de la DGSE) mais aussi du MIVD (les services de renseignement du ministère de la défense, à l’image de la Direction du renseignement militaire en France) dans le domaine du piratage informatique.

AIVD
Le siège de l’AIVD.
CC FaceMePLS

Objectif : Cozy Bear

Selon les informations du journal, une équipe de hackers de haut niveau composée de 300 personnes issues de quelques services gouvernementaux des Pays-Bas, dont l’AIVD et le MIVD, a été constituée entre autres pour obtenir de précieuses informations sur Cozy Bear, un groupe de hackers suspecté d’être en lien avec le SVR, le service des renseignements extérieurs de la Russie.

Cozy Bear, aussi connu sous le nom d’APT29 (APT signifiant Advanced Persistent Threat, soit «  menace persistante avancée », en référence à un type de piratage furtif et continu, qui en général implique un État du fait de sa complexité), est considéré comme l’auteur de l’attaque contre le comité démocrate en 2015 qui a conduit à la récupération de données sensibles dans les serveurs du parti.

Mais Cozy Bear est plus généralement accusé de s’être attaqué depuis 2010 à toutes sortes de cibles, allant des gouvernement aux entreprises du secteur de l’énergie, en passant par les opérateurs télécoms. De nombreuses entités de par le monde ont été touchées, y compris aux Pays-Bas. Il y avait donc avant tout un enjeu national pour Amsterdam d’identifier les responsables de ces attaques.

Comment intervient APT29, selon Washington.

Et visiblement, cette « dream team » de hackers gouvernementaux hollandais — dont le nom un peu plus sérieux est Joint Sigint Cyber Unit, soit l’unité cyber conjointe spécialisée dans le renseignement d’origine électromagnétique — est parvenue à repérer le repaire de Cozy Bear et de s’y infiltrer pour connaître ses activités, collecter des preuves et savoir qui en est potentiellement membre.

Hasard du calendrier, le déclenchement de l’opération contre Cozy Bear survient au cours de l’été 2014. Or, c’est aussi au cours de cette période, le 17 juillet, que le vol 17 Malaysia Airlines est abattu en plein ciel par un missile tiré depuis la région de Donetsk, dans l’est de l’Ukraine, là où la Russie est accusée de créer des troubles en favorisant le ressentiment à l’égard de Kiev. 193 Néerlandais périrent.

Les hackers néerlandais ont acquis de l’information qui s’avérera plus tard vitale

L’unité aurait même réussi à pirater une caméra de sécurité pour surveiller les allées et venues dans les locaux de Cozy Bear. « Des photos sont prises de chaque visiteur. Ces images sont analysées et comparées à des espions russes connus. [Les hackers néerlandais] ont acquis de l’information qui s’avérera plus tard vitale », écrit le site deVolkskrant.

Vitale, car les Néerlandais vont finir par remarquer les projets russes pour s’attaquer d’abord au département d’État américain au mois de novembre 2014 puis interférer avec les élections présidentielles de 2016. « Les renseignements des néerlandais sont si cruciaux que la NSA a ouvert une ligne directe afin de transmettre l’information aux États-Unis dès que possible », écrit le quotidien.

NSA
Crédits : NSA

Des pros

Les Pays-Bas sont très proches des États-Unis en matière de renseignement : ils font parti de ce que l’on appelle les « Nine Eyes », une communauté dans laquelle les services secrets invités ont un partage privilégié d’informations : elle rassemble les « Five Eyes » (USA, Canada, Royaume-Uni, Australie et Nouvelle-Zélande) plus la France, le Danemark, les Pays-Bas et la Norvège.

Ce sont également des experts en matière d’infiltration : comme le pointait Télérama en 2017, la police néerlandaise a infiltré pendant un mois la plateforme Hansa, une espèce de supermarché du darknet où il était possible d’acquérir de la drogue de synthèse, des logiciels malveillants ou des cartes de crédit bancaires. Une infiltration qui a conduit au final à la fermeture du site.

Cependant, l’accès obtenu par la Joint Sigint Cyber Unit au cœur de Cozy Bear a fini par être empêché, sans que l’on ne sache bien pourquoi. Il est possible que le groupe de hackers russes ait fini par être informés que son réseau a été compromis et qu’il a fallu prendre des mesures pour chasser les intrus et boucher les accès par lesquels ils sont entrés.

moscou
APT29 se trouverait près de la Place Rouge.
CC Mariano Mantel

Fuites dans la presse

Il est possible que ce sont les commentaires des services secrets américains à la presse qui ont mis la puce à l’oreille des russes. Le Washington Post écrivait ainsi début avril 2017

« La NSA a été avertie par une agence de renseignement occidentale de l’existence de compromissions. L’allié avait réussi à pirater non seulement les ordinateurs des Russes, mais aussi les caméras de surveillance à l’intérieur de leur espace de travail. Ils surveillaient les pirates pendant qu’ils manœuvraient à l’intérieur des systèmes américains et qu’ils entraient et sortaient de l’espace de travail et étaient capables de voir des visages ».

Selon deVolkskrant, ces fuites dans la presse ont mis en colère les Néerlandais. Certains d’entre eux se sont même sentis « trahis », jugeant incompréhensible cette attitude alors que les USA ont directement bénéficié de ces informations. Depuis, relate le journal, Amsterdam se montre bien plus prudent lorsqu’il partage des informations, y compris avec les Américains. Surtout depuis l’élection de l’imprévisible Donald Trump.

Presse journal
CC Kaboom

Il n’est pas dit si les Russes ont fini par identifier l’origine du piratage de Cozy Bear mais l’article de deVolkskrant ne devrait pas tomber dans l’oreille d’un sourd à Moscou. Cela étant, il n’est pas indiqué si des représailles ont déjà eu lieu, sont en cours ou sont planifiées. En la matière, on savait déjà que les élections néerlandaises, fixées en mars 2017, devaient être visées par de la désinformation russe.

Des opérations plus offensives, à base de piratage, ne sont pas non plus évoquées. Cela dit, les Néerlandais ont vraisemblablement pris les devants, au moins pour éviter de subir les foudres des Russes sur leur système électoral. Au début de l’année 2017, quelques mois avant les fuites dans la presse américaine, Amsterdam a pris la décision d’éviter de recourir à l’électronique pour gérer ses élections législatives.

Partager sur les réseaux sociaux