Le « yoba face » laissé sur la page daccueil de SyTech par le groupe de hackers

Russie : spectaculaire fuite de données au sein des services secrets

Le piratage d'un sous-traitant du FSB par le groupe 0v1ru$ révèle, entre autres, un plan pour dé-anonymiser le réseau Tor.

Panique à Moscou : le tout-puissant FSB, le service de renseignement russe, a été piraté. Selon Forbes, qui publiait un article complet sur le sujet le 20 juillet dernier, l’attaque aurait eu lieu une semaine plus tôt, le 13 juillet. 0v1ru$, l’opaque groupe de hackers qui a revendiqué l’attaque sur Twitter, ne s’est pas directement frotté à la sécurité de la Loubianka (la forteresse moscovite qui abrite le QG du FSB), préférant viser l’un de ses sous-traitants, SyTech.

Le groupe aurait dérobé près de 7,5 téraoctets d’informations confidentielles avant de signer son attaque en affichant un emoji synonyme de trolling, "yoba face", sur la page d’accueil de SyTech. Selon l’antenne de la BBC en Russie, cette attaque constituerait "la plus grosse fuite de données de l’histoire du renseignement russe", sans pour autant dévoiler de secret d’État.

Publicité

Après son attaque, 0v1ru$ a rapidement transmis les données volées à un autre groupe de hackers plus large, dénommé Digital Revolution, qui s’est ensuite chargé de disséminer ces informations aux médias et utilisateurs des réseaux sociaux. À Moscou, raconte la BBC, on s’étrangle de cette nouvelle fuite, la seconde en deux ans : en 2018, Digital Revolution avait attaqué un autre sous-traitant du renseignement russe, Quantum.

"Nautilus", "Mentor", "Reward"…

Ces 7,5 téraoctets de données piochés sur les serveurs de SyTech révèlent l’existence d’une dizaine de projets du FSB. Ces projets portent sur quatre grands thèmes. Le programme "Nautilus" facilite l’extraction automatique de vastes volumes de données (ou scraping) de certaines plateformes du Web social comme Facebook, LinkedIn ou MySpace (!).

"Nautilus-S" et "Reward" permettent le ciblage et l’espionnage d’utilisateurs spécifiques sur les réseaux d’échange de fichiers peer-to-peer (P2P), comme les réseaux torrent, ou d’internautes en théorie protégés par des systèmes d’anonymisation en ligne, comme le navigateur Tor. Cette volonté de dé-anonymisation, qui pourrait avoir de graves conséquences sur la communauté du dark web, n’a rien de nouveau, rappelle Forbes : le FSB y travaille depuis 2012 via l’institut de recherche russe Kvant. Enfin, le programme "Mentor", affirme The Next Web, est conçu pour la surveillance des e-mails d’entreprises russes.

Publicité

Au-delà des programmes de surveillance du Web mondial, la Russie travaille également à sécuriser et compartimenter son réseau national. En ligne de mire : la séparation de l’Internet russe du reste du World Wide Web, annoncée par Moscou en février dernier. Le 1er mai dernier, Vladimir Poutine signait ainsi la loi sur un Internet souverain, qui permettra à terme l’installation d’une sorte de "bouton off" géant capable de fermer brutalement le réseau local en cas de cyberguerre. Le test grandeur nature devait avoir lieu au printemps, avec l’accord des fournisseurs d’accès (FAI) russes, mais se fait encore attendre.

Si la fuite de documents révélés par Digital Revolution est volumineuse, elle ne fait au fond que confirmer l’existence de programmes cyber du FSB déjà connus depuis plusieurs années, sans préciser lesquels ont été depuis abandonnés. Au-delà de la valeur intrinsèque de ces informations, l’attaque de SyTech rappelle que le maillon faible de la cybersécurité des agences de renseignement réside souvent dans leur chaîne de sous-traitance, de la Russie aux États-Unis. Coïncidence : le 19 juillet, Harold T. Martin, ancien sous-traitant de la NSA, était condamné à neuf ans de prison pour avoir dérobé et stocké des documents confidentiels de l’agence de renseignement américaine chez lui, pendant plusieurs années.

Par Thibault Prévost, publié le 22/07/2019

Copié

Pour vous :