Cybersécurité : qu’attendre de la nouvelle entente entre États-Unis et Russie

Le 5 mars dernier, lors de son allocution télévisée, le président de la République, Emmanuel Macron, l’affirmait : « la Russie du président Poutine […] organise des attaques numériques contre nos hôpitaux pour en bloquer le fonctionnement ». 

Il est tentant de voir là une référence à la cyberattaque contre le Centre Hospitalier Sud-Francilien, fin août 2022, qui avait impliqué l’enseigne de ransomware LockBit 3.0. Et cela d’autant plus que son opérateur, Dmitry Yuryevich Khoroshev, aussi connu sous le pseudonyme de LockBitSupp, est un ressortissant russe. Mais est-ce bien suffisant ? Pas nécessairement.

Le petit monde du rançongiciel est à la fois très opaque et très fluide : les acteurs passent d’un pseudo à l’autre (et en utilisent différents à la fois) tout en changeant d’enseignes, voire en travaillant pour plusieurs en même temps. RansomHub, chez qui sont partis des fidèles de LockBit à la suite de l’opération judiciaire Cronos, en 2024, ne manque pas de l’accepter avec ses affidés les plus pointus.

En fait, même si certains acteurs de cet écosystème se connaissent dans le monde physique, parfois même de longue date, il n’est jamais pleinement sûr qu’ils sachent à un instant donné avec qui ils officient.

Combinées, cette fluidité et cette opacité laissent la voie ouverte à toutes les manipulations et tous les retournements. Quid, par exemple, d’agents étatiques qui se feraient passer pour un courtier en accès initiaux afin de « guider » la main de pentesters à leur insu ?

Ainsi, quand LockBitSupp s’attache à assurer ne pas avoir de liens avec un quelconque service de renseignement russe, peut-être est-il sincère. Mais cela n’implique pas qu’il ait raison. Peut-être ignorait-il ainsi que son affidé fidèle beverley n’était autre qu’Aleksandr Ryzhenkov, un homme de confiance de Maksim Yakubets, le chef d’Evil Corp, qui avait cherché à établir des contacts au sein des plus hauts niveaux des services de renseignement russes.

Notre récente enquête sur tramp, leader de l’enseigne Black Basta, suggère en outre que l’identité réelle d’un bon nombre d’acteurs du rançongiciel est largement connue des deux côtés de l’Atlantique, par les forces de l’ordre comme des services de renseignement. Tramp, alias Oleg Y. Nefedov, pensait avoir des appuis haut placés. Peut-être n’avait-il que des officiers traitants en contact.

Et puis il faut probablement compter avec nos propres biais : comment imaginer une simple motivation crapuleuse pour une cyberattaque contre un hôpital ? Ça semble monstrueux, et y voir une motivation autre, politique, peut être aisé. Mais c’est, hélas, négliger l’incroyable degré de déshumanisation de certains cybercriminels. Les propos tenus par certains arnaqueurs suivis par Micode pour une vidéo diffusée en mai 2023 en donnent un aperçu glaçant.

Accessoirement, le top 5 des pays touchés par les cybercriminels est finalement assez stable depuis quatre ans. Nous le constatons mois après mois depuis plus de quatre ans. D’aucuns pourraient être tentés d’y voir un agenda politique. Il y a probablement plus banal : l’opportunité que représentent des pays aisés dont les organisations ne se protègent globalement pas assez bien. 

Dans un entretien accordé à notre confrère Martin Untersinger, du Monde, Vincent Strubel, patron de l’Agence nationale de la sécurité des systèmes d’information (Anssi), ne dit pas autre chose. 

Il relève ainsi que la Russie combine « des acteurs étatiques – les services de renseignement (le GRU, le FSB et le SVR) – et des groupes du crime organisé, notamment du rançongiciel ». Pour Vincent Strubel, « ces derniers ne sont sans doute pas aux ordres des autorités, mais sont souvent russophones et localisés en Russie et, pour certains, mélangent les genres entre le rançongiciel et l’espionnage. On peut donc s’interroger sur leur cohabitation avec le pouvoir russe ». Et de ne pas oublier une « myriade d’“hacktivistes” prorusses, qui ont été très actifs pendant les JO de Paris ».

Mais alors, quelles perspectives pour le futur proche ? Personnellement, je m’interroge moins sur une éventuelle réorientation des cybercriminels dans le choix de leurs victimes que sur l’évolution de la coopération judiciaire (et dans le renseignement) avec les États-Unis. À voir même si des sanctions à l’égard de certains acteurs ne seront pas levées…