orpheus26 - stock.adobe.com

Vaste opération de cyber-espionnage contre le gouvernement allemand

Des pirates se sont infiltrés sur l'un des systèmes d'information réputés les plus sécurisés du pays. Ils pourraient y avoir pris pied il y a plus d'un an. Les soupçons s'orientent vers le renseignement russe.

C’est l’agence de presse DPA qui a levé le lièvre ce 28 février : des pirates se sont infiltrés sur un système d’information ultra-sécurisé du gouvernement allemand, l’IVBB. Selon nos confrères, les attaquants « ont utilisé des maliciels pour viser des agences fédérales allemandes ». Des données ont été exfiltrées, mais l’étendue de la brèche n’est pas encore connue. Contrairement aux affirmations initiales de nos confrères de DPA, les ministères de la Défense et des Affaires étrangères ne seraient pas concernés.

La présence des intrus a été détectée au mois de décembre dernier. Mais ils sont soupçonnés de s’être infiltrés il y a en fait plus d’un an. Le ministère allemand de l’Intérieur a confirmé l’incident en assurant qu’il était désormais « confiné et sous contrôle » ; les attaquants seraient ainsi aujourd’hui « complètement » suivis et surveillés.

Pour autant, comme le relève Der Spiegel, l’attaque n’est pas pleinement stoppée : Armin Schuster, président de la commission de contrôle parlementaire, explique qu’il n’est pas possible, en l’état, de discuter publiquement des détails de l’opération sous peine de donner trop d’information aux attaquants.

En fait, depuis leur découverte, les activités des attaquants seraient suivies à la trace pour tenter d’évaluer pleinement l’ampleur de la compromission. Mais d’aucuns estimeront toutefois que si la remédiation n’est pas achevée, évoquer publiquement cette attaque revient peut-être à donner trop d’information aux attaquants…

Confusion dans l’attribution

Nos confrères de DPA assuraient initialement que le groupe APT28, aussi appelé Fancy Bear ou Sofacy, était à l’origine de l’intrusion. Mais ils ont depuis été contredits. Désormais, le suspect privilégié est le groupe Turla, également connu sous le nom d’Uroburos ou encore Snake.

Turla serait notamment à l’origine d’une opération de cyber-espionnage contre le groupe RUAG, dès 2014. C’est à cette période de G Data a présenté ses premières découvertes sur le groupe et ses outils, à commencer par le logiciel Uroburos alors décrit comme « très complexe et sophistiqué, conçu pour voler des données confidentielles ». Kaspersky avait par la suite livré des détails supplémentaires.

Le groupe Turla est soupçonné d’être lié aux services du renseignement russe. De leur côté, les autorités allemandes n’ont pas officiellement formulé d’accusation.

Aujourd’hui, outre-Rhin, le débat fait rage autour de la sécurité réelle d’un réseau, l’IVBB, qui avait été présenté comme ultra-sécurisé. Mais comme le relèvent nos confrères du Süddeutsche Zeitung, la véritable question est celle du patient zéro. Et rien ne dit qu’il ne s’agit pas simplement d’un utilisateur ayant cliqué sur la mauvaise pièce jointe.

En juin 2015, le parlement allemand avait déjà été victime d’un important piratage informatique. Devant l’ampleur de la compromission, le remplacement pur et simple des 20 000 ordinateurs du Bundestag avait été envisagé. Environ 20 Go de données avaient été exfiltrés.

Pour approfondir sur Cyberdéfense

Close