Des entités françaises visées par une cyberattaque depuis le mois de février

Dans un rapport publié lundi 6 décembre, l’Agence nationale de la sécurité des systèmes d’information (Anssi) explique avoir observé une série d’attaques par hameçonnage (phishing) ayant compromis avec succès des comptes e-mail appartenant à des entités françaises. Une fois compromis, ces comptes servaient à envoyer des courriels frauduleux à des institutions étrangères.

De la même façon, des organisations publiques françaises se sont vu adresser, toujours d’après l’Anssi, des e-mails frauduleux envoyés par des institutions étrangères supposément compromises. Selon l’Anssi, le mode opératoire de cette attaque, qui a débuté en février 2021 avant de s’intensifier à partir du mois de mai, est celui de Nobelium, un groupe de pirates informatiques qui s’est déjà rendu coupable d’attaques à l’encontre d’entités diplomatiques européennes et américaines.

Les Etats-Unis déjà visés par Nobelium
Nobelium s’est fait connaître du grand public en 2020 pour le piratage massif de l’éditeur de logiciels de gestion informatique SolarWinds. Le groupe avait alors mené une vaste opération affectant au moins huit administrations américaines.

Microsoft et les autorités américaines avaient accusé le gouvernement russe de soutenir ces pirates, ce que Moscou a formellement démenti. En avril 2021, le président américain, Joe Biden, avait toutefois imposé des sanctions financières à la Russie et expulsé des diplomates russes en raison de ce piratage.

En octobre, Microsoft avait déjà averti que le groupe Nobelium menait une nouvelle offensive contre des organisations américaines et européennes. « Cette activité récente est un nouvel indicateur que la Russie essaye de gagner un accès de long terme et systématique à divers points d’entrée de la chaîne logistique technologique et d’établir un mécanisme de surveillance – aujourd’hui ou à l’avenir – de cibles intéressant le gouvernement russe », écrivait alors Tom Burt, vice-président de Microsoft chargé de la sécurité clients, dans un billet de blog.

Désigner pour envoyer un message
La France, contrairement à certains de ses alliés et notamment les Etats-Unis, n’a jamais formellement attribué une cyberattaque à un pays. Mais la mention du nom technique d’un groupe d’attaquants dont les liens avec un pays sont de notoriété publique n’est pas anodine.

C’est une décision que la France a déjà prise trois fois par le passé. La ministre des armées avait ainsi discrètement mentionné, en janvier 2019, une attaque ourdie contre l’armée par Turla, un groupe de pirates affiliés à la Russie de très haut niveau, avant que l’Anssi ne pointe la responsabilité dans une autre attaque du groupe russophone Sandworm.

L’intention, en rendant publique une attaque terminée depuis plusieurs mois et menée par un groupe que plusieurs pays alliés estiment être une unité du service de renseignement militaire russe, était claire : envoyer un message au Kremlin et à ses pirates. La décision de mentionner explicitement Sandworm a ainsi été soumise et validée, selon nos informations, par l’Elysée.

En juillet, l’Anssi avait également montré du doigt les activités du groupe sinophone APT31, en révélant « une vaste campagne de compromission touchant de nombreuses entités françaises ».

Le Monde