Comment Moscou et Washington combattent les cybercriminels?

19.07.2022 

Dans un article précédent Observateur Continental a entamé un débat sur le fait que la coopération internationale est devenue un facteur clé pour lutter de manière efficace contre ces nouvelles menaces venant de la cybercriminalité. Malgré le conflit en Ukraine et les sanctions importantes contre la Russie, l’enjeu est d’avoir une collaboration diplomatique entre Washington et Moscou sur ce terrain sensible, une collaboration qui avait déjà débuté entre les deux puissances. 

La capture des pirates REvil a montré que les Etats-Unis et la Russie peuvent travailler ensemble pour lutter contre les menaces numériques. Cependant, la poursuite de la coopération dans ce domaine dépend de la manière dont les relations russo-américaines survivent à la crise actuelle du système de sécurité européen même si Observateur Continental rappelait que Joe Biden et Vladimir Poutine ont convenu d'entamer des consultations sur la cybersécurité, signalant l’importance de la coopération internationale.

Dans le courant du moisde Janvier 2022, le FSB, en collaboration avec le Département des enquêtes du ministère de l'Intérieur, a arrêté 14 personnes accusées d'être impliquées dans le groupe REvil. Pour rappel, il s'agit d'un groupe de pirates qui s'était notamment fait remarquer pour avoir fait chanter un sous-traitant d'Apple et diffusé des documents confidentiels. L'opération en Russie a été menée après la demande des forces de l'ordre américaines qui ont transmis à leurs collègues russes des informations sur l'implication du groupe dans des attaques de rançongiciels contre des entreprises étrangères, notamment américaines. Selon le rapport officiel, les forces de l'ordre ont réussi à établir la composition complète du groupe et à le liquider.

Les cybercriminels de REvil ont fait partie d' une famille de ransomwares connue depuis 2019. Les créateurs du logiciel malveillant ont utilisé un modèle de rançongiciel en tant que service, le louant à des partenaires en échange d'une part des bénéfices. Les attaquants ont exigé une rançon de leurs victimes pour décrypter les données, et les ont, également, fait chanter avec des informations volées .

Le problème des rançongiciels s'est aggravé ces dernières années, lorsqu'au lieu d'attaquer des utilisateurs individuels, les pirates de rançongiciels se sont tournés vers de grandes structures: entreprises privées, établissements médicaux et éducatifs, agences gouvernementales. Le montant de la rançon a atteint des dizaines de millions. de dollars.

Cette tendance s'est d'abord manifestée aux Etats-Unis et en Europe occidentale, mais ne s'y est pas limitée. En 2021, par exemple, une attaque de ransomware a perturbé un port en Afrique du Sud pendant plusieurs jours, au Brésil les ministères des finances et de la santé en ont été victimes, et en Thaïlande, ce fut Bangkok Airways. Bien qu'il n'y ait pas eu de cas très médiatisés en Russie depuis longtemps, on estime que le nombre de ces crimes a plus que triplé en 2021.

REvil a gagné en notoriété après une série d'attaques très médiatisées: en 2020, le cabinet américain d'avocats s'occupant des célébrités, Grubman Shire Meiselas & Sacks, est devenu la victime. Des pirates ont divulgué certains des documents liés au travail des avocats de Lady Gaga et ont menacé d'en publier sur Donald Trump (bien qu'il ne soit pas client du cabinet). En mars 2021, l'équipementier informatique Acer a été attaqué par le groupe de pirates.

Mais, le véritable objectif de REvil concernait l'été 2021. Le 2 juin, le FBI a nommé le groupe en question responsable de l'attaque contre le plus grand producteur de viande JBS. Un mois plus tard, les pirates ont exigé une rançon de Kaseya, un fabricant de logiciels d'administration à distance. A ce stade, dans le contexte de la menace que les ransomwares avaient commencé à représenter pour les infrastructures sensibles américaines, l'administration Biden avait fait de leur lutte une priorité de sécurité nationale comparable en importance aux opérations de lutte contre le terrorisme. 

La voie diplomatique. Dans leur première réaction à l'opération contre REvil, les Etats-Unis ont salué les efforts de la Russie pour lutter contre les cybercriminels, dont parmi lesquels, selon les Américains, se trouve le responsable de l'attaque contre Colonial Pipeline bien qu'un autre groupe, DarkSide, en soit à l'origine. La Maison Blanche a attribué le succès à la diplomatie de Joe Biden et au lancement du dialogue russo-américain sur la cybersécurité. Il s'agit d'un groupe d'experts bilatéral qui a été formé après le sommet de Genève en juin 2021. Sa création était un exploit en soi. Avant cela, pendant plusieurs années, il n'y avait eu quasiment aucun contact sur le thème de la sécurité de l'information entre Moscou et Washington, sans parler de la coopération pratique qui s'est développée jusqu'au début des années 2010.

Pour les Etats-Unis, le sujet principal des consultations était précisément le sujet des rançongiciels tandis que la partie russe préconisait un dialogue plus large. L'attention portée à ce processus a, également, été maintenue au plus haut niveau. Une semaine après l'attaque de Kaseya en juillet, Joe Biden, lors d'une conversation avec Vladimir Poutine, a appelé la Russie à combattre activement les groupes opérant depuis son territoire et causant des dommages aux Etats-Unis et d'autres pays.

Au début d’octobre 2021, la Russie et les Etats-Unis ont tenu une série de réunions sous forme d'experts et ont convenu de rétablir la coopération dans le cadre du traité d'entraide judiciaire en matière pénale datant de 1999, y compris l'envoi de documents sur des groupes de pirates informatiques spécifiques, tels que REvil, même si au départ, comme le mentionne ZDNet «la Russie n'a pas été invitée à participer à la mise en place d'une alliance internationale contre les cybermenaces emmenée par Washington». Le média spécialisé dans les nouvelles de technologie précise, en effet, que «bien que les responsables russes n'aient pas participé à la réunion, un porte-parole de la Maison blanche a déclaré que les Etats-Unis étaient en discussion avec la Russie par l'intermédiaire du groupe d'experts Etats-Unis-Kremlin, dirigé par la Maison blanche et créé par Joe Biden et Vladimir Poutine».

L'échange d'informations était le problème le plus difficile. Les autorités russes n'ont pas apprécié le fait que les Etats-Unis aient publiquement, sans utiliser de canaux de communication fonctionnels, exigé la punition de certains pirates informatiques, dont les activités à Moscou ont été apprises par les médias. A son tour, la communauté du renseignement américain discute depuis plusieurs semaines des données pouvant être partagées avec la Russie. Les doutes étaient liés à l'expérience passée infructueuse de coopération avec la Russie dans ce domaine.

De plus, en avril 2021, avec l'introduction de nouvelles sanctions, les Etats-Unis ont accusé le FSB de collaborer et d'aider les cybercriminels. Néanmoins, c'est l'envoi d'informations aux Etats-Unis sur les noms et les activités des pirates qui a apparemment joué un rôle clé dans l'opération contre REvil.

Dans le même temps, la Russie n'est pas le seul partenaire des Etats-Unis dans la lutte contre les ransomwares. L'administration Biden cherche à rassembler autour d'elle un groupe d'Etats partageant les mêmes idées qui contreraient cette menace par divers moyens, du diplomatique au militaire. En octobre, les Etats-Unis ont organisé une réunion virtuelle de 30 pays dans le cadre de l'Initiative anti-ransomware, à laquelle ni la Russie ni la Chine n'étaient invitées. On a vite appris que les Etats-Unis, avec un groupe de pays, avaient mené leur propre cyber-opération contre REvil. En novembre, Europol a annoncé l'arrestation de cinq membres présumés du groupe. Et aux Etats-Unis, un citoyen ukrainien, qui est détenu en Pologne, et un citoyen russe Evguéni Polianine ont été accusés de l'attaque contre Kaseya (on ne sait pas s'il faisait partie des membres de REvil arrêtés maintenant).

Contexte politique. La méfiance et les différences politiques entre les Etats font clairement le jeu des cybercriminels. La faible coopération des forces de l'ordre permet aux gangs de se soustraire à leurs responsabilités. En ce sens, l'opération contre REvil, en tant que premier résultat tangible du dialogue russo-américain, est un pas dans la bonne direction. Une coopération plus poussée pourrait être développée, par exemple, dans la lutte contre le blanchiment des fonds volés par les cybercriminels. La Russie est intéressée par une action conjointe contre l'infrastructure utilisée pour les grandes attaques cybercriminelles auxquelles les banques russes ont été confrontées l'année dernière.

Cependant, il y a peu de raisons de faire des prévisions optimistes. La poursuite du dialogue dans le cadre du groupe bilatéral nécessitera probablement un élargissement de l'ordre du jour. La partie russe pourra raisonnablement affirmer que l'opération contre REvil montre que la Russie est prête à répondre aux demandes américaines, ce qui signifie que des mesures réciproques sont également nécessaires de la part des Américains. Moscou souhaite que la discussion sur la cybersécurité inclue non seulement la lutte contre les rançongiciels, mais aussi les risques de cyberattaques dans le domaine militaire, la possibilité de conclure un accord pour prévenir les cyberincidents et les menaces sur les infrastructures critiques de la Russie. Du côté américain, la volonté d'inclure ces sujets ne s'est pas encore fait sentir, mais si le dialogue se poursuit dans un format unilatéral, il peut vite s'épuiser.

Mais, le principal obstacle peut être les problèmes de sécurité non plus dans le cyberespace, mais dans le monde «hors ligne». L'absence de progrès dans les négociations de la Russie avec les Etats-Unis et l'Otan et les perspectives d'aggravation du conflit en Ukraine poussent tous les autres sujets à la périphérie. Si la crise actuelle n'est pas résolue par la diplomatie, alors la coopération dans le domaine de la lutte contre les cybermenaces ne vaut guère la peine d'être envisagée. De plus, la confrontation peut également s'intensifier dans cet environnement. Lors de la conférence de presse de Joe Biden après les résultats de la première année de sa présidence, il a annoncé une éventuelle cyber-réponse aux actions de la Russie dans le cyberespace contre l'Ukraine: «S'ils [les Russes] continuent à utiliser des [cyberattaques], eh bien, nous pouvons répondre de la même manière, avec le cyber». 

Pierre Duval 

Les opinions exprimées par les analystes ne peuvent être considérées comme émanant des éditeurs du portail. Elles n'engagent que la responsabilité des auteurs

Abonnez-vous à notre chaîne Telegram: https://t.me/observateur_continental