L'impossible vérité sur le piratage du Parti Démocrate et les hackers russes

Publié en décembre 2016 par plusieurs services américains de sécurité (FBI, CIA, DNI, DHS, US-CERT), le rapport était d'abord et surtout un produit dérivé des conclusions de CrowdStrike et de Fire Eye, firmes spécialisées dans la cybersécurité et l'expertise informatique. Ce document évoque " ", décrit quelques fondamentaux de la guerre d'information une activité cyber malicieuse russe , et compile des signatures de made in Russia génériques, des , des fuseaux horaires, des adresses IP et des services Web (Tor, Google, Dropbox, Yahoo!) couramment utilisés par des hackers et des spammers du monde entier... et connus depuis belle lurette par les experts en sécurité informatique qui avaient hâte d'analyser de véritables " indicateurs de compromission " ( malwares ) caractérisant précisément la cyberattaque botnets l'intrusion et attribuant incontestablement celle-ci à des hackers russes. indicators of compromise

En d'autres termes, le renseignement américain révèle les marques et modèles d'armes utilisées et modifiées pour le crime mais ne peut fournir des preuves balistiques incriminant les tireurs.

Ainsi, le malware X-Agent utilisé dans plusieurs opérations de piratage ( , , ) est présenté dans le rapport Grizzly Steppe comme une récente fabrication des hackers russes (alias APT28 : partenaire potentiel du GRU, service russe de renseignement militaire) et donc comme un élément de preuve à leur encontre. FancyBear

Or, un malware " lâché dans la jungle numérique " par son développeur est très souvent partagé, dérivé, personnalisé et réutilisé à volonté par d'autres champions du code. Depuis 2015, X-Agent en versions iOS/Android/Windows et constitue une matière première pour les industries de la cybersécurité : expertise informatique, édition d'antivirus, lutte informatique, etc.

En-deça des affirmations du renseignement américain, les hackers russes - agissant sous la houlette supposée du renseignement russe (FSB, SVR, GRU) - ont eu recours à des malwares génériques et à des tactiques classiques de pour pénétrer les serveurs d'un Parti Démocrate très peu regardant sur sa sécurité informatique, et exposé en première ligne au hacker débutant ou au cybercriminel en quête de données sensibles... et revendables au plus offrant.

Un mode opératoire trop exclusif et une signature trop particulière nuiraient à un anonymat " à ciel ouvert ". Il vaut mieux emprunter et reconfigurer une Kalachnikov et un Glock bon marché plutôt que des armes rares ou spécialises, ceci afin de donner du fil à retordre aux enquêteurs et de faire jaser experts, journalistes, blogueurs et commissions parlementaires.

Pourtant, les agences de renseignement américaines - notamment la NSA - disposent de capacités extraordinaires offrant une visibilité large, profonde et dynamique sur les réseaux informatiques (la preuve par l'affaire Snowden ou le ), en particulier sur ceux russes et chinois. Leurs outils peuvent reconstituer les trajets des données dérobées sur les serveurs du Parti Démocrate jusqu'à Wikileaks (aucunément mentionné dans le rapport Grizzly Steppe !) via les hackers russes. Toutefois, ces agences - et leurs homologues de par le monde - tiennent par-dessus tout au secret de leurs procédés, de leurs modes opératoires, de leurs relais techniques ou humains et de leurs connaissances. Une élection houleuse et quelques hackers russes n'en valent pas la chandelle. En effet, le rapport Grizzly Steppe ne livre aucune information technique afin "
de ne pas révéler des sources ou méthodes qui pourraient mettre en péril notre capacité à collecter des renseignements essentiels dans le futur " (sic).

Pourquoi le FBI, autorité de police judiciaire dotée des moyens du renseignement et pourvue d'une Cyber Division et de Computer Forensic Labs dignes de ce nom, externalise-t-il l'expertise informatique aux firmes privées Crowdstrike et Fire Eye (sous contrat avec le Parti Démocrate) ? La cybersécurité d'une élection et des partis politiques n'est-elle pas un enjeu critique de sécurité publique et nationale ?

Les partenaires privés du gouvernement fédéral, parfois trop soucieux d'améliorer leur notoriété, peuvent également être victimes et vecteurs de désinformation. Afin de consolider la thèse d'une implication du GRU dans le piratage du Parti Démocrate, CrowdStrike l'usage par Fancy Bear du malware X-Agent dans la dérivation d'une app Android, ensuite dédiée à la géolocalisation d'artilleurs de l'armée ukrainienne par des rebelles du Donbass et leurs alliés officieux de l'armée russe.

D'où ce système d'équations à zéro inconnue, conformément aux conclusions de CrowdStrike :

Fancy Bear + X-Agent + Parti Démocrate = GRU

Fancy Bear + X-Agent + Donbass = GRU

Quelques semaines plus tard, l'expert en cybersécurité Jeffrey Carr toute la désinformation entourant la narration de Crowdstrike au sujet de Fancy Bear et son X-Agent en Ukraine.

En réalité, des firmes de cybersécurité et d'expertise informatique telles que CrowdStrike et Fire Eye réservent les juteux détails techniques à leurs meilleurs clients qui sont le gouvernement fédéral et les grandes ou moyennes entreprises abonnées à leurs solutions intégrales (audit, veille & alerte sécurité, investigation, etc), et ce, afin de protéger leurs secrets industriels et de préserver leur compétitivité. Les commissions parlementaires et le grand public sont consolés avec des faisceaux d'indices, des white papers, des brochures conviviales, et des noms de codes à la sauce cyberpunk : Grizzly Steppe, APT28, APT29, FancyBear, CozyBear...

Ces divers handicaps informationnels et stratégiques n'ont certainement pas échappé à l'oeil de Moscou. Washington aura beau aboyer et menacer, la Russie ne fera que nier ou se taire, faute de preuves solides et irréfutables. Néanmoins, gardons à l'esprit que le hacking est un sport international pratiqué par tous contre tous à des fins de documentation, d'espionnage, de surveillance, de planification stratégique/tactique, avec des coûts et risques relativement faibles. Il revient à chaque puissance de passer pour un acteur neutre, bienveillant et/ou protecteur, de garder autant que possible le silence sur ses innovations, ses vulnérabilités, ses mésaventures et ses exploits... et d'endosser avec brio le rôle de la victime.

Au final, la synthèse du renseignement américain sur le piratage du Parti Démocrate a été dépouillée de sa substance à cause de contraintes stratégiques et d'inerties industrielles imprégnant les enjeux de cybersécurité, et a suscité encore plus de mystères, d'incertitudes et de spéculations. Il a également pâti de la médiocre et tonitruante communication de l'administration sortante Obama, de divergences mineures entre agences de renseignement (" minor disagreements among intelligence officials about the agency's assessement"), des antécédents de la CIA ( ingérences électorales à l'étranger , armes de destruction disparition massive en Irak), et ne pouvait revivre qu'à travers un imbroglio d'agendas politiques.

L'élection de Donald Trump et la crise post-électorale aux Etats-Unis doivent-elles pour autant à la main invisible de Vladimir Poutine ? Les succès électoraux de mouvements populistes ou ultra-conservateurs en Europe - peu ou prou eurosceptiques et favorables à un rapprochement avec la Russie - relèvent-ils forcément d'une longue et basse œuvre de Moscou ? L'Occident prêterait-il trop de super-pouvoirs au maître du Kremlin, aux médias et aux hackers venus du froid ?

Entre course à l'information-spectacle, batailles d'égos, guerres d'influence et confrontation géostratégique, la vérité est ailleurs.

" Tout ce que nous voyons est un secret d'Etat. Si c'est une illusion, c'est un secret d'Etat. Et même si ça ne marche pas, et que ça ne marchera jamais, c'est un secret d'Etat. Et si c'est un mensonge du début à la fin, alors c'est le plus grand des secrets d'Etat. "|John le Carré, La Maison Russie