Des pirates informatiques pilotés et financés par la Russie ont attaqué des millions de routeurs, de commutateurs réseaux et de pare-feux. KACPER PEMPEL / REUTERS

Entre les Etats-Unis, le Royaume-Uni et la Russie, le ton n’en finit pas de monter dans le cyberespace. Lundi 16 avril, Britanniques et Américains ont accusé Moscou d’être à l’origine d’une vaste vague d’attaques de matériels connectés à Internet. Selon le département de la sécurité intérieure américain (DHS), le FBI et le National Cyber Security Center (NCSC) britannique, des pirates informatiques pilotés et financés par la Russie ont attaqué des millions de routeurs, de commutateurs réseau et de pare-feu, et, dans certains, cas, en ont pris le contrôle.

Ces matériels ont en commun d’être des pièces cruciales de tout réseau d’administration ou d’entreprises, dont la prise de contrôle permet, au minimum, un accès aux données qui y transitent, voire, dans certains cas plus critiques, de les interrompre, de les modifier ou de préparer des attaques plus sophistiquées.

« Pas de vision exhaustive de l’attaque »

Selon les autorités américaines et britanniques ont été visés des organismes étatiques, des entreprises, des gestionnaires d’infrastructures critiques et des fournisseurs d’accès à Internet. Washington et Londres sont restés très flous quant au nombre et à la nature exacte des victimes. « Nous n’avons pas une vision exhaustive de l’ampleur de l’attaque », a reconnu Jeanette Manfra, chargée de la sécurité intérieure au département de la sécurité intérieure.

Le vocable d’« infrastructure critique » regroupe les entreprises et administrations chargées de la production d’énergie, de la distribution d’eau ou les réseaux de télécommunications. Plus original, parmi les matériels visés et éventuellement compromis figurent, selon les experts américains et britanniques, des routeurs utilisés par des particuliers, l’équivalent en plus sommaire des « box » courantes dans les foyers français.

« Les pirates pourraient se prépositionner en vue de périodes plus tendues », a déclaré lors d’une conférence téléphonique avec plusieurs journalistes Ciaran Martin, le chef du NCSC, une unité du GCHQ, le puissant service de renseignement électronique. Une fois infectés, ces matériels réseau peuvent être utilisés « pour espionner, pour dérober de la propriété intellectuelle, pour se maintenir dans les réseaux des victimes et pour construire les fondations d’attaques futures », a précisé le NCSC dans un communiqué, cité par Forbes.

Pas de lien avec les frappes en Syrie, selon la Maison Blanche

Les services spécialisés de Londres et de Washington disent traquer cette offensive depuis un an, et les signaux alarmants se multiplient depuis plusieurs mois. Pourquoi choisir cette date pour pointer Moscou du doigt, deux jours après les frappes en Syrie par les Etats-Unis, le Royaume-Uni et la France, fermement dénoncées par la Russie ?

Article réservé à nos abonnés Lire aussi Géographes et mathématiciens éclairent la cyberguerre

Rob Joyce, chargé de la cybersécurité à la Maison Blanche, a nié tout lien entre les deux événements et ne s’est pas étendu sur les éventuels indices techniques ayant convaincu ses services de l’implication directe du Kremlin. « Quand nous voyons une activité cybermalveillante, qu’elle vienne du Kremlin ou d’ailleurs, nous répliquons », a-t-il déclaré aux journalistes qui l’interrogeaient. « Nous demandons des comptes à la Russie, c’est un moment très important », a ajouté Ciaran Martin.

Les autorités britanniques et américaines ont décidé de publier simultanément une alerte technique au sujet de la vague de piratage attribuée à Moscou, un fait inédit pour une attaque en cours. Signe du caractère inédit de l’opération, des cadres de haut niveau des deux côtés de l’Atlantique ayant ainsi donné une conférence de presse commune peu avant la publication de leurs alertes.

Des lignes rouges dans le cyberespace

Cette prise de parole commune est le signe d’une volonté croissante de part et d’autre de l’Atlantique de dessiner des lignes rouges face à l’un des pays les plus offensifs sur Internet et plus généralement face à certains comportements jugés dangereux dans le cyberespace. Encore faut-il que le franchissement de ces lignes prête à conséquence.

Tout récemment, les Etats-Unis et leurs plus proches alliés, y compris le Royaume-Uni, avaient déjà accusé la Russie d’être derrière NotPetya, un virus destructeur qui a causé plus d’un milliard d’euros de dégâts. Les Etats-Unis ont aussi directement accusé la Russie d’être derrière des attaques visant à compromettre des installations énergétiques.

L’accusation tranche aussi par l’objet de l’attaque : il ne s’agit pas d’une infiltration de haut vol dans des systèmes gouvernementaux très sécurisés, mais d’une vaste campagne de prise de contrôle d’appareils (routeurs, commutateurs…) mal sécurisés mais indispensables au bon fonctionnement des réseaux internes des administrations et des entreprises, y compris les plus sensibles.

Selon les autorités américaines, les pirates ont profité de défauts criants de sécurité dans ces appareils. « [Leur] état [de sécurité] actuel, couplé à une campagne du gouvernement russe pour les exploiter, menace la sécurité et la santé économique des Etats-Unis », écrit ainsi le DHS dans son alerte.

Parmi les techniques employées par les pirates, le détournement d’un outil de Cisco, grand fabricant de commutateurs réseaux. Les équipes de sécurité du géant américain des télécommunications alertaient justement il y a quelques jours sur une faiblesse de certains de leurs produits, citant déjà l’éventuelle implication d’un Etat. Le DHS, dès l’été 2016, sonnait l’alarme concernant une potentielle attaque visant des composants de réseau.