La Russie est-elle à l’origine des piratages du Parti démocrate américain?

 A filing cabinet broken into in 1972 as part of the Watergate burglary sits beside a computer server that Russian hackers breached during the 2016 presidential campaign at the Democratic National Committee’s headquarters in Washington. Credit Justin T. Gellerson for The New York Times

A filing cabinet broken into in 1972 as part of the Watergate burglary sits beside a computer server that Russian hackers breached during the 2016 presidential campaign at the Democratic National Committee’s headquarters in Washington. Credit Justin T. Gellerson for The New York Times

Alors que les accusations contre les Russes agitent la presse, les députés démocrates et plusieurs élus républicains ont demandé l’ouverture immédiate d’une enquête parlementaire.

Qui se cache derrière les piratages du Parti démocrate américain qui ont conduit, dans les dernières semaines de la campagne électorale entre Donald Trump et Hillary Clinton, à l’affaiblissement de la campagne démocrate après la publication de milliers de documents internes du parti ?

Pour la presse américaine et la direction du parti d’Hillary Clinton, l’origine de ces attaques ne fait aucun doute : ils ont été commandités par la Russie et exécutés par des groupes proches des services de sécurité russes. L’hypothèse est fortement relayée par le New York Times, dans une longue enquête publiée mardi 13 décembre qui détaille le mode opératoire des piratages qui ont visé le Comité national démocrate (DNC) et le directeur de campagne d’Hillary Clinton, John Podesta.

« Cozy Bear » et « Fancy Bear » dans le collimateur

Les accusateurs de la Russie s’appuient sur une série de témoignages d’experts et d’agences de sécurité, à commencer par des sources anonymes au sein de la CIA citées par le Washington Post, et des déclarations du patron de la NSA, l’amiral Michael Rogers.

Elles ont été doublées par les découvertes de l’entreprise de sécurité informatique CrowdStrike, embauchée par le DNC, et plusieurs experts indépendants, qui affirment avoir trouvé des traces techniques et des modes opératoires leur permettant de lier les piratages du Parti démocrate à deux groupes associés aux services russes, baptisés « Cozy Bear » et « Fancy Bear ».

Ces deux groupes, parfois également appelés « APT 28 » et « APT 29 », ont été identifiés depuis plusieurs années par les entreprises de sécurité informatique. Elles leur attribuent de très nombreux piratages visant principalement des institutions et des entreprises intéressant la Russie. Cozy Bear est réputé proche du FSB, en charge de la sécurité intérieure russe, tandis que Fancy Bear serait une émanation du GRU, le renseignement militaire russe ; ces derniers sont soupçonnés d’avoir été à l’origine du piratage massif qui a touché TV5 Monde en 2015.

Les deux groupes sont accusés par les enquêteurs américains d’avoir participé aux piratages ayant visé le Parti démocrate aux Etats-Unis. Le piratage de la boîte e-mail de M. Podesta est attribué à Fancy Bear. Mais c’est Cozy Bear qui, d’après l’analyse de CrowdStrike, a pénétré les serveurs du DNC à l’été 2015, au cours d’une campagne plus large qui visait aussi de nombreuses agences gouvernementales américaines. « Fancy Bear, ignorant apparemment que Cozy Bear était déjà présent dans les serveurs du DNC depuis des mois, a dérobé de nombreux documents déjà piratés par Cozy Bear », écrit le New York Times dans son enquête du 13 décembre.

En mars, Fancy Bear a également piraté une organisation jumelle du DNC, s’occupant des candidats aux législatives – des courriels de plusieurs candidats démocrates au Parlement ont aussi été publiés en ligne ces derniers mois. Et le groupe a ensuite pénétré à son tour les serveurs du DNC.

Vers une commission d’enquête parlementaire ?

En réponse, Moscou a démenti à plusieurs reprises tout lien avec ces piratages. La porte-parole du ministère des affaires étrangères, Maria Zakharova, a affirmé sur son compte Facebook que « ces histoires de piratages ressemblent à une énième dispute entre agences américaines sur leurs aires d’influence respective ». Effectivement, alors que le sujet agite la presse américaine, les accusations contre la Russie ne font pas l’unanimité. Sans exclure la « piste russe », le FBI lui-même s’est notamment montré plus prudent sur le sujet, affirmant tirer des « conclusions très différentes » de celles de la CIA.

Des médias comme The Intercept indiquent également que les sources anonymes de la CIA s’exprimant dans les colonnes du Washington Post pour accuser la Russie ne donnent pas suffisamment de détails concluants. D’autres arguent que les preuves techniques, comme l’utilisation d’un traitement de texte configuré en russe par l’une des sources des documents, ou le fait que les piratages ont majoritairement eu lieu durant les horaires de journée sur le fuseau horaire de Moscou, sont insuffisantes pour accréditer avec certitude le rôle de la Russie.

Ils notent enfin que la CIA comme la NSA ont, par le passé, menti pour faire avancer leurs propres agendas : par exemple sur l’existence d’armes de destruction massives en Irak ou sur l’étendue de leurs programmes de surveillance du Web.

A l’exception du président élu Donald Trump, qui continue d’affirmer que les piratages ont aussi pu être l’œuvre « d’un type obèse dans le New Jersey », élus et spécialistes s’accordent toutefois pour dire que l’ampleur et la technicité des piratages montrent qu’ils ont été commis par un Etat, et non par un individu isolé ou même un groupe mafieux. Pour la plupart, les éléments de preuve pouvant désigner la Russie sont suffisamment forts pour mériter des investigations poussées.

Les députés démocrates, mais aussi plusieurs élus républicains, dont l’ancien candidat à la présidentielle John McCain, ont demandé l’ouverture immédiate d’une enquête parlementaire sur ces piratages, et poussent Barack Obama à déclassifier tous les documents y ayant trait.

Damien Leloup

Source : Le Monde 14/12/2016

 

OBAMA SANCTIONNE LA RUSSIE, ACCUSÉE D’AVOIR VOULU « INFLUENCER » LA PRÉSIDENTIELLE

 Vladimir Poutine et Barack Obama, le 28 septembre 2015, lors de l’Assemblée générale de l’ONU. Vladimir Poutine et Barack Obama, le 28 septembre 2015, lors de l’Assemblée générale de l’ONU. RIA NOVOSTI / REUTERS

Vladimir Poutine et Barack Obama, le 28 septembre 2015, lors de l’Assemblée générale de l’ONU. RIA NOVOSTI / REUTERS

Le département d’Etat a notamment déclaré « persona non grata » aux Etats-Unis trente-cinq diplomates de l’ambassade de Russie à Washington et du consulat à San Francisco.

Le président américain, Barack Obama, a annoncé jeudi 29 décembre avoir lancé des sanctions contre la Russie, dont « les cyberactivités avaient pour but d’influencer l’élection » présidentielle américaine de novembre 2016.

Le département d’Etat a notamment déclaré « persona non grata » aux Etats-Unis trente-cinq diplomates de l’ambassade de Russie à Washington et du consulat à San Francisco, pour avoir agi « de façon inconséquente au regard de leur statut diplomatique ». Il leur a été donné soixante-douze heures, à eux et à leur famille, pour quitter les Etats-Unis, selon un communiqué de la Maison Blanche.

Dans un tweet fort peu diplomatique, l’ambassade de Russie au Royaume-Uni a réagi à la décision de l’administration Obama, lui trouvant un air de « guerre froide ». « Comme tout le monde, y compris le peuple américain, nous serons heureux de voir le bout de cette administration malheureuse », poursuit-elle, ajoutant un rébus signifiant « canard boiteux », pour qualifier le président Obama.

President Obama expels 35 ???????? diplomats in Cold War deja vu. As everybody, incl ???????? people, will be glad to see the l… https://t.co/NY7IkFU6k3

— RussianEmbassy (@Russian Embassy, UK)

Un peu plus tard, le porte-parole du Kremlin, Dmitri Peskov, cité par l’agence de presse publique Ria-Novosti, a annoncé que la Russie rejetait « catégoriquement » ces « accusations infondées ». Accusant Washington de vouloir « détruire définitivement les relations russo-américaines qui ont déjà atteint le fond », Moscou promet des mesures de rétorsion « adéquate [s] se basant sur les principes de réciprocité ».

De son côté, Donald Trump, qui a promis un rapprochement avec Vladimir Poutine, a réagi avec lassitude, déclarant « il est temps pour notre pays de passer à autre chose ». Il va toutefois rencontrer des responsables du renseignement américain la semaine prochaine, afin d’être informé des détails de cette affaire, selon un bref communiqué.

Des services de renseignement sanctionnés

Dans son communiqué, la présidence ajoute que deux services de renseignement russes, le FSB et le GRU, ainsi que deux officiers du GRU et trois entreprises ayant fourni « un soutien matériel » à cette agence ont également été sanctionnés.

Les sanctions ne s’arrêteront pas là, a écrit le président américain dans un communiqué, prévenant que les Etats-Unis prendront d’autres mesures « au moment que nous choisirons », « y compris des opérations qui ne seront pas révélées au public ».

Dans un rapport publié jeudi soir par le département de la sécurité intérieure et la police fédérale (FBI), deux groupes qui seraient liés au renseignement russe sont cités comme étant responsables de piratages ayant ciblé un parti politique américain. Au cours de la campagne, des hackeurs ont réussi à pirater un organe du Parti démocrate (DNC).

Des attaques ayant mené à la publication de plusieurs milliers de mails et documents internes du parti (plus tard publiés sur WikiLeaks) et qui ont affaibli la campagne de la candidate démocrate, Hillary Clinton. Deux groupes réputés proches des renseignements russes sont ciblés par le rapport des autorités américaines, respectivement nommés APT 28 et APT 29, ou encore surnommés « Cozy Bear » et « Fancy Bear ».

Source Le Monde AFP 29/12/2016

Voir aussi : Actualité Internationale, rubrique Politique, Affaire, Politique Internationale, rubrique International, rubrique Amérique du Nord, Etats-Unis, Fucking Tuesday, rubrique Russie  rubrique Société, Citoyenneté, Opinion, rubrique Internet, Ciberattaque TV5 Monde la piste Russe,

«Heartbleed» : la faille qui frappe le cœur de la sécurité sur Internet

coeur

Une «catastrophe», le «cauchemar ultime», la «faille de la décennie». Depuis la découverte d’une faille de majeure sur Internet il y a tout juste une semaine, c’est l’affolement général parmi les experts en sécurité informatique et les responsables de sites Web. Heartbleed n’est en effet pas une vulnérabilité comme les autres.

 Heartbleed, c’est quoi?

Il s’agit d’une faille qui frappe le cœur de la sécurisation des échanges sur Internet. Le protocole Transport Layer Security (TLS) garantit que des données échangées entre le navigateur et un site Web ne pourront pas être facilement lisibles par des pirates, car chiffrées. Les navigateurs Internet signalent ces connexions sécurisées par une petite icône de cadenas, tandis que les adresses des sites passent de «http» à «https».

L’une des implémentations gratuite de ce protocole parmi les plus populaires, OpenSSL, a été victime d’une erreur de programmation. Alors qu’il pensait améliorer cette librairie, un développeur allemand, Robin Seggelmann, a introduit une vulnérabilité dans le code d’OpenSSL en décembre 2011. La version défectueuse a été diffusée à partir de mars 2012. À partir de cette version, tous les serveurs Web recourant à OpenSSL pour sécuriser leurs échanges laissaient en fait sans le savoir leurs portes grandes ouvertes.

La vulnérabilité est localisée dans une fonction, appelée Heartbeat, qui permet de maintenir la connexion sécurisée entre le navigateur et le serveur Web. À cause de l’erreur de Robin Seggelmann, un pirate peut mentir sur le poids de la requête et obtenir en retour des données qui ne lui étaient pas destinées. Il peut ainsi récolter des informations transmises par d’autres utilisateurs lors de requêtes précédentes, encore stockées dans la mémoire temporaire des serveurs vulnérables: des identifiants et mots de passe, des cookies de sessions et peut-être des clés de chiffrement.

• Quels sont les sites touchés par la vulnérabilité Heartbleed?

La faille concerne tous les serveurs Web utilisant les versions d’OpenSSL publiées entre mars 2012 et avril 2014, rendant vulnérables tous les sites qu’ils hébergent et menaçant donc les informations de leurs utilisateurs. Les estimations vont d’un tiers à deux tiers des serveurs Web en fonctionnement dans le monde, dont des réseaux sociaux, des sites bancaires ou d’e-commerce. La société Netcraft, spécialisée dans la sécurité informatique, dénombre plus de 500.000 sites qui touchés par la faille Heartbleed. Parmi les victimes les plus illustres figurent Yahoo! et Imgur, fréquentés par des millions d’internautes.

La faille ne touche pas seulement des serveurs Web. La librairie OpenSSL est implémentée dans des équipements de réseau, comme des routeurs Cisco.

Quelles informations sont menacées?

L’erreur de programmation a été découverte début décembre 2013, à quelques jours d’intervalle par deux équipes, l’une de Google, l’autre d’une société finlandaise, Condominium. Leur trouvaille a été tenue secrète jusqu’au mardi 8 avril dans la matinée, pour laisser le temps de développer des correctifs, sans alerter des utilisateurs malintentionnés.

Il est compliqué de savoir si cette vulnérabilité a été un jour exploitée, car les attaques exploitant Heartbleed ne laissent théoriquement pas de trace. Un cas suspect, datant de novembre 2013, n’a pas encore été corroboré. L’Electronic Frontier Foundation, une organisation qui milite pour les libertés sur Internet, a lancé une grande chasse sur Internet pour tenter de retrouver des preuves d’exploitation de Heartbleed. «Si on démontre qu’il y a eu une exploitation avant le 8 avril, on sera dans le scénario du pire», commente Thomas Gayet, directeur stratégie en cybersécurité au sein du cabinet Lexsi.

Rien qu’en récoltant des identifiants et des mots de passe, il est possible de se connecter aux services de messagerie, à des sites bancaires ou des réseaux sociaux. «Heartbleed permet aux agresseurs d’espionner les conversations, de voler des données directement à leur source et de se faire passer pour un service ou un utilisateur en particulier», prévient Codenomicon. Ce dernier point fait débat. «En testant la faille je n’ai pas réussi à obtenir d’informations clés des serveurs, juste des historiques de connexion et des cookies», expliquait sur Twitter Adam Langley, expert de sécurité informatique chez Google.

• Quelle a été la réaction des sites touchés?

Les sites Internet concernés par la faille ont très vite réagi. Traumatisés par le scandale du programme de surveillance Prism, ils veulent se montrer irréprochables dans la défense des données de leurs utilisateurs. La plupart ont effectué la mise à jour de la librairie OpenSSL au début de la semaine, à la suite de la publication d’une nouvelle version du programme informatique corrigeant le bug. C’est le cas de Yahoo!. D’autres plateformes utilisant la librairie OpenSSL, a priori non concernées par Heartbleed, ont appliqué le principe de précaution en renforçant leurs défenses. «Nous n’avons pas détecté d’activités suspectes mais nous encourageons tout de même nos utilisateurs à changer de mot de passe», a ainsi Facebook.

«La plupart des gros sites sont sauvés de la faille grâce à leurs choix plutôt conservateurs en termes de sécurisation des échanges sur Internet», commente de son côté Codenomicon. Ces poids lourds de la high-tech ne recourent pas à OpenSSL ou n’en avaient pas déployé des versions récentes. Apple, Microsoft, Amazon ou eBay ont déclaré qu’ils n’étaient pas concernés par cette faille.

Des autorité se sont inquiétées des conséquences que pourraient avoir Heartbleed sur les sites bancaires, par lesquels transitent des données très sensibles. Le Federal Financial Institutions Examination Council (FFIEC, composé entre autres de membres de la Réserve Férérale américaine) a publié jeudi un communiqué mettant en garde les banques face à ces risques. «Les agresseurs pourraient potentiellement imiter les services bancaires, leurs utilisateurs, ou voler des identifiants, accéder à des emails sensibles ou infiltrer les réseaux internes des banques», a prévenu le conseil. Les plus grosses banques américaines, donc Bank of America ou Wells Fargo, ont déjà déclaré qu’elles n’étaient pas affectées par Heartbleed.

Contactée par Le Figaro, la Banque de France explique que des systèmes d’authentification développés en France sur les sites Internet des banques, notamment par SMS, «constituent un élément de sécurité important qui limite en pratique l’exploitation de la faille Heartbleed dans notre pays». «Il convient néanmoins d’appeler à la vigilance des internautes, notamment en cas de réception de courriels les incitant à modifier leurs identifiant et mot de passe, lesquels courriels pourraient constituer des tentatives de ‘’phishing »», indique la Banque de France.

Une faille très médiatique

Heartbleed est une vulnérabilité originale à bien des égards. La révélation publique de la faille a bénéficié d’un plan de communication redoutable. Un ingénieur de Codenomicon lui a trouvé un surnom, «cœur qui saigne», afin d’exprimer l’idée que des données pouvaient s’en échapper. Ce patronyme a l’avantage de se retenir plus facilement que son nom d’origine, «CVE-2014-0160», en référence à son identifiant dans la base de données des vulnérabilités. Un autre employé de Codenomicon a ensuite acheté le nom de domaine Heartbleed.com, vite habillé d’un logo produit par un designer de l’entreprise.

La stratégie, qui s’apparente à celle employée lors du lancement d’un produit, avait pour but de diffuser l’information le plus rapidement et largement possible. Le site Internet Heartbleed.com a été mis en ligne lundi 7 avril, réunissant près de 1,4 million de visiteurs uniques en moins de 48 heures. «Notre mission est de rendre l’Internet plus sûr», a expliqué David Chartier, PDG de Codenomicon, dans une interview accordée au site Vocativ. «Nous avons déclenché une véritable réponse de la communauté. C’est un beau travail d’équipe.»

• La NSA était au courant, selon l’agence Bloomberg

Les révélations sur Heartbleed interviennent près d’un an après les débuts de l’affaire Snowden, qui a déjà porté un coup dans la confiance que l’on peut avoir sur la sécurité des données sur Internet. Les documents révélés grâce à l’ancien contractuel de la NSA ont montré qu’il était possible d’intercepter largement des données à des fins de renseignement, y compris celles supposément protégées. Un débat est déjà lancé: Heartbleed provient-t-il réellement d’une erreur de programmation ou traduisait-il d’autres desseins? «Il n’y a aucun élément factuel prouvant que c’était volontaire. La grande question est maintenant de savoir si d’autres acteurs, comme des services d’État ou des cybercriminels avaient découvert cette faille ou la connaissaient», estime Thomas Gayet. Selon l’agence Bloomberg, la NSA était informée «depuis au moins deux ans» de l’existence de cette faille et a décidé de la garder secrète, afin de s’en servir pour récolter des informations sensibles.

Source : Le Figaro 11/04/2014

Voir aussi : Rubrique Internet, rubrique  Défense, rubrique Actualité Internationale,