L’histoire méconnue de la cyberattaque des Jeux Olympiques de 2018, le piratage le plus trompeur de l’histoire

Comment les détectives numériques ont élucidé le mystère de Olympic Destroyer et pourquoi la prochaine grande attaque sera encore plus difficile à résoudre. Wired raconte :

Le 9 février 2018, juste avant 20 heures, au sommet des montagnes du nord-est de la Corée du Sud, Sang-jin Oh était assis sur une chaise en plastique à quelques dizaines de rangées du sol du vaste stade olympique pentagonal de Pyeongchang. Il portait une veste olympique officielle grise et rouge qui le tenait au chaud malgré le temps presque glacial, et son siège, derrière la section presse, avait une vue dégagée de la scène circulaire surélevée, à quelques centaines de pieds devant lui. La cérémonie d’ouverture des Jeux olympiques d’hiver de 2018 était sur le point de commencer.

Alors que les lumières s’obscurcissaient autour de la structure sans toit, la foule de 35 000 personnes a vibré d’impatience, la lueur des écrans de leurs téléphones flottant comme des lucioles autour du stade. Peu ont ressenti cette anticipation plus intensément que Oh. Pendant plus de trois ans, ce fonctionnaire de 47 ans a été directeur de la technologie pour le comité organisateur des Jeux olympiques de Pyeongchang. Il avait supervisé la mise en place d’une infrastructure informatique pour les jeux comprenant plus de 10 000 PC, plus de 20 000 appareils mobiles, 6 300 routeurs Wi-Fi et 300 serveurs dans deux centres de données à Séoul.

Cette immense collection de machines semblait fonctionner parfaitement, presque. Une demi-heure plus tôt, il avait eu vent d’un problème technique lancinant. La source de ce problème était un entrepreneur, une entreprise de IT auprès de laquelle les Jeux olympiques louaient une centaine d’autres serveurs. Les pépins de l’entrepreneur avaient été un casse-tête à long terme. Oh était très ennuyé : Aujourd’hui encore, sous les yeux du monde entier, l’entreprise était encore en train de résoudre ses problèmes ?

Les centres de données de Séoul, cependant, ne signalaient aucun problème de ce genre, et l’équipe d’Oh croyait que les problèmes avec l’entrepreneur étaient gérables. Il ne savait pas encore qu’ils empêchaient déjà certains participants d’imprimer des billets qui leur permettraient d’entrer dans le stade. Il s’était donc installé à sa place, prêt à assister à un moment fort de sa carrière.

Dix secondes avant 20 heures, des numéros se sont formés, un par un, sous une lumière projetée autour de la scène, alors qu’un chœur de voix d’enfants comptait en coréen jusqu’au début de l’événement :

Chip!Ku! … Pal! … Chil!

Au milieu du compte à rebours, le téléphone Samsung Galaxy Note8 d’Oh s’est soudainement allumé. Il a baissé les yeux pour voir un message d’un subordonné sur KakaoTalk, une application de messagerie populaire en Corée. Le message a partagé peut-être les pires nouvelles que Oh aurait pu recevoir à ce moment précis : Quelque chose fermait tous les contrôleurs de domaine des centres de données de Séoul, les serveurs qui formaient l’épine dorsale de l’infrastructure informatique des Jeux olympiques.

Au début de la cérémonie d’ouverture, des milliers de feux d’artifice ont explosé autour du stade et des dizaines de marionnettes massives et de danseurs coréens sont montés sur scène. Oh, n’a rien vu de tout ça. Il envoyait des textos furieusement avec son personnel pendant qu’ils regardaient toute leur installation informatique s’éteindre. Il s’est vite rendu compte que ce que l’entreprise partenaire avait rapporté n’était pas un simple pépin. C’était le premier signe d’une attaque en cours. Il devait se rendre à son centre d’opérations technologiques.

Alors que Oh sortait de la section de presse vers la sortie, les journalistes qui l’entouraient avaient déjà commencé à se plaindre que le Wi-Fi semblait avoir soudainement cessé de fonctionner. Des milliers de télés diffusées sur Internet diffusant la cérémonie autour du stade et dans 12 autres installations olympiques étaient devenues noires. Toutes les portes de sécurité basées sur la RFID menant à tous les bâtiments olympiques étaient en panne. L’application officielle des Jeux Olympiques, y compris sa fonction de billetterie numérique, a également été cassée ; lorsqu’elle s’est tournée vers les données des serveurs, elle n’avait soudainement plus rien à offrir.

Le comité organisateur de Pyeongchang s’y était préparé : Son groupe consultatif sur la cybersécurité s’est réuni 20 fois depuis 2015. Ils avaient déjà effectué des exercices dès l’été de l’année précédente, simulant des catastrophes comme des cyberattaques, des incendies et des tremblements de terre. Mais maintenant que l’un de ces scénarios cauchemardesques se déroulait dans la réalité, le sentiment, pour Oh, était à la fois exaspérant et surréaliste. « C’est vraiment arrivé », se dit-il, comme pour se débarrasser de l’impression que tout cela n’était qu’un mauvais rêve.

Une fois que Oh s’est frayé un chemin à travers la foule, il a couru vers la sortie du stade, dans l’air froid de la nuit, et à travers le parking, maintenant rejoint par deux autres membres du personnel informatique. Ils ont sauté à bord d’un SUV Hyundai et ont commencé à rouler pendant 45 minutes vers l’est, à travers les montagnes jusqu’à la ville côtière de Gangneung, où se trouvait le centre des opérations technologiques des Jeux olympiques.

Depuis la voiture, Oh a appelé les employés du stade et leur a dit de commencer à distribuer des points d’accès Wi-Fi aux journalistes et de dire à la sécurité de vérifier les badges manuellement, car tous les systèmes RFID étaient en panne. Mais c’était le cadet de leurs soucis. Oh savait que dans un peu plus de deux heures, la cérémonie d’ouverture se terminerait et que des dizaines de milliers d’athlètes, de dignitaires en visite et de spectateurs constateraient qu’ils n’avaient aucune connexion Wi-Fi et aucun accès à l’application olympique, pleine d’horaires, d’informations sur les hôtels et de cartes. Le résultat serait une confusion humiliante. S’ils ne pouvaient pas récupérer les serveurs le lendemain matin, l’ensemble du service informatique du comité organisateur – responsable de tout, des repas aux réservations d’hôtel en passant par la billetterie – resterait hors ligne pendant le début des jeux. Et une sorte de fiasco technologique qui n’avait jamais frappé les Jeux olympiques se produirait dans l’un des pays les plus branchés du monde.

Oh est arrivé au centre des opérations technologiques de Gangneung à 21 h, à mi-chemin de la cérémonie d’ouverture. Le centre se composait d’une grande salle ouverte avec des bureaux et des ordinateurs pour 150 employés ; un mur était couvert d’écrans. Lorsqu’il est arrivé, bon nombre de ces membres du personnel se tenaient debout, se regroupaient et discutaient anxieusement de la façon de réagir à l’attaque – un problème aggravé par le fait qu’ils n’avaient pas accès à plusieurs de leurs propres services de base, comme le courriel et la messagerie.

Les neuf contrôleurs de domaine du personnel olympique, les machines puissantes qui régissaient quel employé pouvait accéder à quels ordinateurs du réseau, avaient été paralysés d’une manière ou d’une autre, paralysant le système entier. Le personnel a décidé d’une solution de contournement temporaire : Ils ont réglé tous les serveurs survivants qui alimentaient certains services de base, tels que le Wi-Fi et les téléviseurs reliés à Internet, pour contourner les machines attaquées. Ce faisant, ils ont réussi à remettre en service ces systèmes minimaux à peine quelques minutes avant la fin de la cérémonie.

Au cours des deux heures suivantes, alors qu’ils tentaient de reconstruire les contrôleurs de domaine pour recréer un réseau sécurisé à plus long terme, les ingénieurs ont constaté à maintes reprises que les serveurs avaient été paralysés. Une certaine présence malveillante dans leurs systèmes s’est maintenue, perturbant les machines plus rapidement qu’elles n’ont pu être reconstruites.

Oh et son équipe ont travaillé d’arrache-pied pour reconstruire le système numérique des Jeux Olympiques.

Quelques minutes avant minuit, Oh et ses administrateurs décidèrent à contrecœur de prendre une mesure désespérée : ils coupèrent tout leur réseau d’Internet pour tenter de l’isoler des saboteurs qui, selon eux, devaient encore y être présents. Cela signifiait supprimer tous les services – même le site Web public des Jeux olympiques – pendant qu’ils s’efforçaient d’éradiquer toute infection par des logiciels malveillants qui détruisaient leurs machines de l’intérieur.

Pendant le reste de la nuit, Oh et son équipe ont travaillé d’arrache-pied pour reconstruire le système central numérique des Jeux olympiques. À 5 heures du matin, un entrepreneur coréen en sécurité, AhnLab, avait réussi à créer une signature antivirus qui pourrait aider le personnel d’Oh à vacciner les milliers de PC et de serveurs du réseau contre les mystérieux logiciels malveillants qui les avaient infectés, un fichier malveillant qui, dit Oh, s’appelle simplement winlogon.exe.

À 6 h 30 du matin, les administrateurs des Jeux olympiques réinitialisent les mots de passe des membres du personnel dans l’espoir de verrouiller tous les moyens d’accès que les pirates ont pu voler. Juste avant 8 heures ce matin-là, presque exactement 12 heures après le début de la cyberattaque sur les Jeux Olympiques, Oh et ses employés insomniaques ont fini de reconstruire leurs serveurs à partir de sauvegardes et ont commencé à redémarrer chaque service.

Étonnamment, ça a marché. Les épreuves de patinage et de saut à ski de la journée se sont déroulées avec à peine plus que quelques hoquets Wi-Fi. Des robots de type R2-D2 installés sur les sites olympiques, passant l’aspirateur sur les planchers, livrant des bouteilles d’eau et projetant des bulletins météorologiques. Plus tard, un journaliste du Boston Globe a qualifié ces jeux d' »impeccablement organisés ». Un chroniqueur de USA Today a écrit qu' »il est possible qu’aucun des Jeux Olympiques n’ait jamais eu autant de pièces émouvantes toutes à l’heure ». Des milliers d’athlètes et des millions de spectateurs ne savaient pas que le personnel olympique avait passé sa première nuit à combattre un ennemi invisible qui menaçait de plonger l’événement dans le chaos.

Quelques heures après l’attaque, des rumeurs se sont répandues dans la communauté de la cybersécurité au sujet des problèmes qui avaient entaché le site Web des Jeux olympiques, le Wi-Fi et les applications pendant la cérémonie d’ouverture. Deux jours après la cérémonie, le comité d’organisation de Pyeongchang a confirmé qu’il avait bien été la cible d’une cyberattaque. Mais il a refusé de dire qui aurait pu être derrière tout cela. Oh, qui a dirigé la réponse du comité, a refusé de discuter de toute source possible de l’attaque avec WIRED.

L’incident est immédiatement devenu un polar international : Qui oserait pirater les Jeux olympiques ? La cyberattaque de Pyeongchang s’avérerait être peut-être l’opération de piratage informatique la plus trompeuse de l’histoire, utilisant les moyens les plus sophistiqués jamais vus pour tromper les analystes à la recherche du coupable.

La difficulté de prouver la source d’une attaque – ce qu’on appelle le problème de l’attribution – a affecté la cybersécurité depuis pratiquement l’aube de l’Internet. Les pirates informatiques sophistiqués peuvent acheminer leurs connexions par l’intermédiaire de procurations détournées et d’impasses, ce qui rend presque impossible de suivre leurs traces. Les analystes ont néanmoins appris à déterminer l’identité des pirates informatiques par d’autres moyens, en associant des indices dans le code, les connexions d’infrastructure et les motivations politiques.

Au cours des dernières années, cependant, les cyberespions et les saboteurs parrainés par l’État ont de plus en plus expérimenté un autre stratagème : planter de faux drapeaux. Ces actes de tromperie en constante évolution, conçus pour tromper à la fois les analystes de la sécurité et le public, ont donné lieu à des récits frauduleux sur l’identité des pirates informatiques qui sont difficiles à dissiper, même après que les gouvernements ont annoncé les conclusions officielles de leurs services de renseignement. Il n’est pas utile que ces conclusions officielles arrivent souvent des semaines ou des mois plus tard, les preuves les plus convaincantes étant rédigées pour préserver les techniques et les sources d’enquête secrètes.

Lorsque des pirates nord-coréens ont violé Sony Pictures en 2014 pour empêcher la sortie de la comédie relatant l’assassinat de Kim Jong-un, The Interview, par exemple, ils ont inventé un groupe hacktiviste appelé Guardians of Peace et ont tenté d’écarter les enquêteurs avec une vague demande de « compensation monétaire ». Même après que le FBI eut officiellement nommé la Corée du Nord coupable et que la Maison-Blanche eut imposé de nouvelles sanctions contre le régime de Kim à titre de punition, plusieurs sociétés de sécurité ont continué à soutenir que l’attaque devait être un travail interne, une histoire reprise par de nombreux médias, dont WIRED.

Lorsque des pirates russes parrainés par l’État ont volé et divulgué des mails du Comité national démocrate et de la campagne d’Hillary Clinton en 2016, nous savons maintenant que le Kremlin a également créé des détournements et des reportages. Il a inventé un pirate roumain solitaire nommé Guccifer 2.0 pour s’attribuer le mérite des piratages ; il a également répandu la rumeur qu’un employé assassiné du DNC nommé Seth Rich avait divulgué les courriels de l’organisation et il a distribué un grand nombre des documents volés par un faux site de divulgation appelé DCleaks. Ces tromperies sont devenues des théories de conspiration, attisées par des commentateurs de droite et le candidat à la présidence de l’époque, Donald Trump.

Les tromperies ont engendré un ouroboros de méfiance qui s’auto-perpétuait : Les sceptiques ont rejeté même les indices flagrants de la culpabilité du Kremlin, comme les erreurs de formatage en russe dans les documents qui ont fait l’objet de fuites, considérant ces cadeaux comme des preuves cachées. Même une déclaration commune des services de renseignements américains, quatre mois plus tard, nommant la Russie comme l’auteur de l’attentat, n’a pas réussi à ébranler la condamnation des incrédules. Ils persistent encore aujourd’hui : Dans un sondage Economist/YouGov réalisé plus tôt cette année, seulement la moitié environ des Américains ont déclaré qu’ils croyaient que la Russie s’immisçait dans les élections.

Avec les logiciels malveillants qui ont frappé les Jeux olympiques de Pyeongchang, l’état de l’art de la tromperie numérique a fait plusieurs bonds en avant. Les enquêteurs ne trouveraient pas dans son code un simple faux drapeau, mais des couches de faux indices pointant vers de multiples coupables potentiels. Et certains de ces indices étaient cachés plus profondément qu’aucun analyste en cybersécurité n’en avait jamais vu auparavant.

Dès le début, les motivations géopolitiques à l’origine du sabotage des Jeux olympiques étaient loin d’être claires. Le suspect habituel de toute cyberattaque en Corée du Sud est, bien sûr, la Corée du Nord. Le royaume des ermites a tourmenté ses voisins capitalistes par des provocations militaires et une cyberguerre de bas étage pendant des années. À la veille des Jeux olympiques, les analystes de la société de cybersécurité McAfee avaient averti que des pirates coréens avaient ciblé les organisateurs des Jeux olympiques de Pyeongchang avec des courriels hameçons et ce qui semblait être de l’espionnage malveillant. À l’époque, les analystes de McAfee m’ont laissé entendre lors d’un appel téléphonique que la Corée du Nord était probablement derrière le projet d’espionnage.

Mais il y avait des signaux contradictoires sur la scène publique. Au début des Jeux olympiques, le Nord semblait expérimenter une approche plus amicale de la géopolitique. Le dictateur nord-coréen, Kim Jong-un, avait envoyé sa sœur comme émissaire diplomatique aux Jeux et avait invité le président sud-coréen, Moon Jae-in, à visiter la capitale nord-coréenne de Pyongyang. Les deux pays avaient même pris la décision surprenante d’unir leurs équipes olympiques de hockey féminin dans un geste d’amitié. Pourquoi la Corée du Nord lancerait-elle une cyberattaque perturbatrice au milieu de cette offensive de charme ?

Puis il y a eu la Russie. Le Kremlin avait son propre mobile pour attaquer Pyeongchang. Les enquêtes sur le dopage des athlètes russes ont abouti à un résultat humiliant avant les Jeux olympiques de 2018 : La Russie a été interdite. Ses athlètes seraient autorisés à concourir, mais pas à porter des drapeaux russes ni à accepter des médailles au nom de leur pays. Pendant des années avant ce verdict, une équipe de pirates informatiques russe parrainée par l’État, connue sous le nom de Fancy Bear, avait exercé des représailles, volé et divulgué des données à des cibles liées aux Jeux olympiques. L’exil de la Russie à l’issue des Jeux était exactement le genre de légèreté qui pourrait inspirer le Kremlin à déclencher un malware perturbateur contre la cérémonie d’ouverture. Si le gouvernement russe ne pouvait pas profiter des Jeux olympiques, personne ne le ferait.

Si la Russie avait essayé d’envoyer un message en attaquant les serveurs des Jeux olympiques, elle ne l’aurait pas fait directement. Quelques jours avant la cérémonie d’ouverture, il avait préventivement nié tout piratage ciblé par les Jeux olympiques. Nous savons que les médias occidentaux préparent des pseudo-enquêtes sur le thème des  » empreintes digitales russes  » lors d’attaques de piratage de ressources d’information liées à la tenue des Jeux olympiques d’hiver en République de Corée « , avait déclaré le ministère russe des Affaires étrangères à Reuters. « Bien sûr, aucune preuve ne sera présentée au monde. »

En fait, il y aurait beaucoup de preuves laissant vaguement entendre la responsabilité de la Russie. Le problème, on s’en rendrait vite compte, c’est qu’il semblait y avoir autant d’éléments de preuve pointant dans un enchevêtrement d’autres directions également.

Trois jours après la cérémonie d’ouverture, la division de sécurité Talos de Cisco a révélé qu’elle avait obtenu une copie du logiciel malveillant ciblé par Olympic et l’avait disséqué. Quelqu’un du comité organisateur des Jeux olympiques ou peut-être la société de sécurité coréenne AhnLab avait téléchargé le code dans VirusTotal, une base de données commune d’échantillons de logiciels malveillants utilisés par les analystes de la cybersécurité, où les concepteurs de Cisco l’ont trouvé. La société a publié ses conclusions dans un article de blog qui allait donner un nom à ce malware : Olympic Destroyer.

Dans les grandes lignes, la description de Cisco de l’anatomie de l’Olympic Destroyer évoquait deux cyberattaques russes précédentes, NotPetya et Bad Rabbit. Comme pour les attaques précédentes, Olympic Destroyer a utilisé un outil de vol de mots de passe, puis a combiné ces mots de passe volés avec des fonctions d’accès à distance dans Windows qui lui ont permis de se répandre parmi les ordinateurs sur un réseau. Enfin, il a utilisé un composant de destruction de données pour supprimer la configuration de démarrage des machines infectées avant de désactiver tous les services Windows et d’éteindre l’ordinateur afin qu’il ne puisse être redémarré. Les analystes de la société de sécurité CrowdStrike trouveraient d’autres cartes d’appel russes apparentes, des éléments qui ressemblent à un morceau de logiciel de rançon russe connu sous le nom de XData.

Pourtant, il ne semblait pas y avoir de correspondance de code claire entre Olympic Destroyer et les précédents vers NotPetya ou Bad Rabbit. Bien qu’elles contiennent des caractéristiques similaires, elles ont apparemment été recréées à partir de zéro ou copiées à partir d’autres sources.

Plus les analystes creusaient, plus les indices devenaient étrangers. La partie d’effacement des données d’Olympic Destroyer partageait des caractéristiques avec un échantillon de code de suppression de données qui avait été utilisé non pas par la Russie mais par le groupe de pirates nord-coréens connu sous le nom de Lazarus. Lorsque les chercheurs de Cisco ont mis côte à côte les structures logiques des composants d’effacement des données, ils ont semblé correspondre à peu près. Et les deux ont détruit des fichiers avec le même truc distinctif de supprimer seulement leurs 4 096 premiers octets. La Corée du Nord était-elle derrière l’attaque après tout ?

Il y avait encore d’autres panneaux de signalisation qui menaient dans des directions complètement différentes. La société de sécurité Intezer a noté qu’une partie du code de vol de mot de passe d’Olympic Destroyer correspondait exactement aux outils utilisés par un groupe de pirates informatiques connu sous le nom d’APT3, un groupe que plusieurs sociétés de cybersécurité ont relié au gouvernement chinois. La société a également retracé un composant utilisé par Olympic Destroyer pour générer des clés de cryptage jusqu’à un troisième groupe, APT10, qui serait également lié à la Chine. M. Intezer a souligné que le composant de chiffrement n’avait jamais été utilisé auparavant par d’autres équipes de pirates informatiques, d’après les analystes de l’entreprise. La Russie ? La Corée du Nord ? La Chine ? Plus les analystes médico-légaux procédaient à l’ingénierie inverse du code d’Olympic Destroyer, plus ils semblaient s’éloigner d’une résolution.

En fait, tous ces indices contradictoires semblaient conçus non pas pour conduire les analystes vers une seule fausse réponse, mais vers un ensemble d’indices, sapant toute conclusion particulière. Le mystère est devenu une crise épistémologique qui a laissé les chercheurs dans le doute. « Il s’agissait d’une guerre psychologique contre les ingénieurs de la rétro-ingénierie « , explique Silas Cutler, un chercheur en sécurité qui travaillait pour CrowdStrike à l’époque. « Il s’est accroché à toutes ces choses que tu fais comme contrôle de secours, qui te font penser « Je sais ce que c’est. Et ça les a empoisonnés. »

Ce doute, tout comme les effets de sabotage sur les Jeux olympiques, semble avoir été le véritable but du malware, dit Craig Williams, un chercheur chez Cisco. « Tout en accomplissant sa mission, il a également envoyé un message à la communauté de la sécurité « , dit M. Williams. « Vous pouvez être induit en erreur. »

Il s’est avéré que le comité organisateur des Jeux olympiques n’était pas la seule victime de Olympic Destroyer. Selon l’entreprise de sécurité russe Kaspersky, la cyberattaque a également touché d’autres cibles liées aux Jeux olympiques, notamment Atos, un fournisseur de services informatiques en France qui avait soutenu l’événement, et deux stations de ski à Pyeongchang. L’une de ces stations avait été infectée au point de paralyser temporairement les portes et remontées mécaniques automatisées de l’une d’entre elles.

Dans les jours qui ont suivi l’attaque de la cérémonie d’ouverture, l’équipe mondiale de recherche et d’analyse de Kaspersky a obtenu une copie du logiciel malveillant Olympic Destroyer de l’une des stations de ski et a commencé à l’épousseter pour relever les empreintes digitales. Mais plutôt que de se concentrer sur le code du malware, comme Cisco et Intezer l’avaient fait, ils ont regardé son « en-tête », une partie des métadonnées du fichier qui inclut des indices sur les outils de programmation utilisés pour l’écrire. En comparant cet en-tête avec d’autres dans la vaste base de données d’échantillons de logiciels malveillants de Kaspersky, ils ont constaté qu’il correspondait parfaitement à l’en-tête du malware d’effacement des données des pirates nord-coréens de Lazarus – le même que Cisco avait déjà désigné comme partageant des traits avec Olympic Destroyer. La théorie nord-coréenne semble confirmée.

Mais un chercheur principal de Kaspersky, Igor Soumenkov, a décidé d’aller plus loin. Soumenkov, un hacker prodige qui avait été recruté dans l’équipe de recherche de Kaspersky à l’adolescence, avait une connaissance approfondie et unique des en-têtes de fichiers, et il a décidé de revérifier les conclusions de ses collègues.

Grand ingénieur, Soumenkov avait l’habitude d’arriver au travail en fin de matinée et de rester au siège de Kaspersky bien après la tombée de la nuit – un horaire partiellement nocturne qu’il respectait pour éviter la circulation à Moscou.

Un soir, alors que ses collègues rentraient chez eux, il a jeté un coup d’œil sur le code dans un box surplombant l’autoroute de Leningradskoye, encombrée de la ville. À la fin de la nuit, le trafic s’était aminci, il était pratiquement seul au bureau, et il avait déterminé que les métadonnées d’en-tête ne correspondaient pas aux autres indices du code Olympic Destroyer lui-même ; le maliciel n’avait pas été écrit avec les outils de programmation que l’en-tête impliquait. Les métadonnées avaient été falsifiées.

C’était quelque chose de différent de tous les autres signes d’erreurs d’orientation sur lesquels les chercheurs s’étaient focalisés. Les autres roublards dans Olympic Destroyer avaient été si contrariants en partie parce qu’il n’y avait aucun moyen de savoir quels indices étaient réels et quels étaient les mensonges. Mais maintenant, au plus profond des faux drapeaux enroulés autour du malware olympique, Soumenkov avait trouvé un drapeau qui s’était avéré faux. Il était maintenant clair que quelqu’un avait essayé de faire paraître le logiciel malveillant en Corée du Nord et avait échoué à cause d’une erreur. Ce n’est que grâce au fastidieux triple contrôle de Kaspersky qu’il a été mis au jour.

« C’était une guerre psychologique sur la rétro-ingénierie. »

Quelques mois plus tard, Andy Greenberg, auteur de SandWorm, s’est assis avec Soumenkov dans une salle de conférence Kaspersky à Moscou. Au cours d’une séance d’information d’une heure, il a expliqué en anglais parfait et avec la clarté d’un professeur d’informatique comment il avait vaincu la tentative de tromperie au plus profond des métadonnées d’Olympic Destroyer. L’auteir a résumé ce qu’il semblait avoir préparé pour lui : L’attaque des Jeux Olympiques n’était clairement pas l’œuvre de la Corée du Nord. « Ça ne leur ressemblait pas du tout », reconnaît Soumenkov.

Et ce n’était certainement pas du chinois, a suggéré Greenberg, malgré le faux code plus transparent caché dans Olympic Destroyer qui a trompé certains chercheurs au début. « Le code chinois est très reconnaissable, et ça a l’air différent », a de nouveau convenu Soumenkov.

Enfin, il a posé la question évidente : Si ce n’est pas la Chine, et pas la Corée du Nord, alors qui ? Il semblait que la conclusion de ce processus d’élimination se trouvait pratiquement dans la salle de conférence avec nous et qu’on ne pouvait pas le dire à voix haute.

« Ah, pour cette question, j’ai apporté un beau jeu, » dit Soumenkov, affectant une sorte de ton plus vif. Il sortit un petit sac en tissu noir et en sortit un jeu de dés. De chaque côté des petits cubes noirs étaient écrits des mots comme Anonymous, Cybercriminels, Hacktivistes, USA, Chine, Russie, Ukraine, Cyberterroristes, Iran.

Kaspersky, comme beaucoup d’autres firmes de sécurité, a une politique stricte de n’épingler les attaques contre les pirates en utilisant son propre système de surnoms, sans jamais nommer le pays ou le gouvernement derrière un incident de piratage ou un groupe de pirates – le moyen le plus sûr pour éviter les pièges obscurs et souvent politiques d’attribution. Mais les soi-disant dés d’attribution que Soumenkov tenait dans sa main représentaient l’exagération la plus cynique du problème d’attribution : qu’aucune cyberattaque ne peut jamais vraiment être tracée à sa source, et quiconque essaie ne fait que deviner.

Soumenkov a lancé les dés sur la table. « L’attribution est un jeu délicat », dit-il. « Qui est derrière tout ça ? Ce n’est pas notre histoire, et ça ne le sera jamais. »

Michael Matonis travaillait de chez lui, dans un appartement de 40 mètres carrés au sous-sol du quartier de Capitol Hill à Washington, DC, quand il a commencé à tirer sur les fils qui allaient percer le mystère de Olympic Destroyer. Le jeune homme de 28 ans, un ancien punk anarchiste devenu chercheur en sécurité avec une masse contrôlée de cheveux noirs bouclés, venait tout juste d’arriver du nord de l’État de New York, et il n’avait toujours pas de bureau au Reston, en Virginie, bureau de FireEye, la société de sécurité et de renseignements privés qui l’employait. Ainsi, le jour de février, lorsqu’il a commencé à examiner le maliciel qui avait frappé Pyeongchang, Matonis était assis dans son espace de travail de fortune : une chaise pliante en métal avec son ordinateur portable appuyé sur une table en plastique.

Sur un coup de tête, Matonis a décidé d’essayer une approche différente du reste de l’industrie de la sécurité perplexe. Il n’a pas cherché d’indices dans le code du malware. Au lieu de cela, dans les jours qui ont suivi l’attaque, Matonis s’est penché sur un élément beaucoup plus banal de l’opération : un faux document Word malveillant qui avait servi de première étape dans la campagne de sabotage presque désastreuse de la cérémonie d’ouverture.

Le document, qui semblait contenir une liste des délégués VIP aux Jeux, avait probablement été envoyé par mail au personnel olympique en pièce jointe. Si quelqu’un ouvrait cette pièce jointe, il exécuterait un script macro malveillant qui plantait une porte dérobée sur son PC, offrant ainsi aux pirates olympiques leur première prise sur le réseau cible. Lorsque Matonis a retiré le document infecté de VirusTotal, le dépôt de logiciels malveillants où il avait été téléchargé par les intervenants, il a constaté que l’appât avait probablement été envoyé au personnel des Jeux olympiques à la fin novembre 2017, plus de deux mois avant le début des Jeux. Les hackers avaient attendu des mois avant de déclencher leur bombe logique.

Matonis a commencé à passer au peigne fin la collection historique de logiciels malveillants de VirusTotal et FireEye, à la recherche de correspondances avec cet échantillon de code. Sur un premier scan, il n’en a trouvé aucun. Mais Matonis a remarqué que quelques dizaines de documents infectés par des logiciels malveillants provenant des archives correspondaient aux caractéristiques approximatives de son dossier : Ils portaient également des macros Word intégrées et, comme le fichier ciblé pour les Jeux olympiques, avaient été conçus pour lancer un ensemble commun d’outils de piratage appelé PowerShell Empire. Les pièges malveillants des macros de Word, cependant, étaient très différents les uns des autres, avec leurs propres couches uniques d’obscurcissement.

Au cours des deux jours suivants, Matonis a cherché des schémas dans cet obscurcissement qui pourraient servir d’indice. Quand il n’était pas à son ordinateur portable, il retournait le puzzle dans sa tête, dans la douche ou allongé sur le sol de son appartement, fixant le plafond. Finalement, il a trouvé un modèle révélateur dans l’encodage des spécimens de logiciels malveillants. Matonis a refusé de partager avec Greenberg les détails de cette découverte de peur d’avertir les hackers de leur secret. Mais il pouvait voir que, comme des punks adolescents qui épinglent tous les pins du bon groupe obscur sur leurs vestes et coiffent leurs cheveux dans les mêmes styles, la tentative de rendre les fichiers codés uniques avait plutôt fait d’un ensemble d’entre eux un groupe nettement reconnaissable. Il en déduit rapidement que la source de ce signal dans le bruit était un outil commun utilisé pour créer chacun des documents piégés. C’était un programme open source, facile à trouver en ligne, appelé Malicious Macro Generator.

Matonis a émis l’hypothèse que les pirates avaient choisi le programme pour se fondre dans une foule d’autres auteurs de logiciels malveillants, mais qu’il avait finalement eu l’effet inverse, les distinguant comme un ensemble distinct. Au-delà de leurs outils partagés, le groupe de logiciels malveillants était également lié par les noms d’auteurs Matonis tirés des métadonnées des fichiers : Presque tous avaient été écrits par quelqu’un qui s’appelait « AV », « BD » ou « john ». Lorsqu’il s’est penché sur les serveurs de commande et de contrôle auxquels le logiciel malveillant s’est connecté – les chaînes de caractères qui contrôleraient la marionnette de toute infection réussie – toutes les adresses IP de ces machines, sauf quelques-unes, se chevauchaient également. Les empreintes digitales étaient à peine exactes. Mais au cours des jours qui ont suivi, il a assemblé un maillage d’indices qui s’est transformé en un filet solide, reliant les faux documents Word ensemble.

Ce n’est qu’après avoir établi ces connexions cachées que Matonis est retourné aux documents Word qui avaient servi de véhicules pour chaque échantillon de malware et a commencé à traduire leur contenu sur Google, certains écrits en cyrillique. Parmi les dossiers qu’il avait liés à l’appât Olympic Destroyer, Matonis a trouvé deux autres documents d’appât de la collection qui datent de 2017 et semblent cibler des groupes militants LGBT ukrainiens, en utilisant des fichiers infectés qui prétendaient être le document stratégique d’une organisation pour les droits des homosexuels et une carte du défilé de la Kiev Pride. D’autres ont ciblé des entreprises et des organismes gouvernementaux ukrainiens en leur envoyant une copie entachée d’un avant-projet de loi.

Pour Matonis, il s’agissait d’un territoire bien connu : Pendant plus de deux ans, lui et le reste de l’industrie de la sécurité ont vu la Russie lancer une série d’opérations de piratage destructives contre l’Ukraine, une cyberguerre implacable qui a accompagné l’invasion du pays par la Russie après sa révolution pro-Ouest 2014.

Même si cette guerre physique a tué 13 000 personnes en Ukraine et déplacé des millions d’autres, un groupe de pirates russes connu sous le nom de Sandworm a également mené une véritable cyberguerre contre l’Ukraine : Il a fait rage dans les entreprises, les agences gouvernementales, les chemins de fer et les aéroports ukrainiens, avec des vagues successives d’intrusions destructrices de données, y compris deux brèches sans précédent dans les services publics d’électricité ukrainiens en 2015 et 2016 qui ont causé des pannes de courant pour des centaines de milliers de personnes. Ces attaques ont abouti à NotPetya, un ver qui s’est rapidement propagé au-delà des frontières de l’Ukraine et a finalement infligé 10 milliards de dollars de dommages aux réseaux mondiaux, la cyberattaque la plus coûteuse de l’histoire.

Dans l’esprit de Matonis, tous les autres suspects de l’attaque des Jeux Olympiques ont disparu. Matonis ne pouvait pas encore relier l’attaque à un groupe particulier de pirates informatiques, mais un seul pays aurait ciblé l’Ukraine, près d’un an avant l’attaque de Pyeongchang, en utilisant la même infrastructure qu’il aurait utilisée plus tard pour pirater le comité organisateur des Jeux olympiques-et ce n’était ni la Chine ni la Corée du Nord.

Curieusement, d’autres documents infectés de la collection que Matonis avait déterrés semblaient cibler des victimes dans le monde des affaires et de l’immobilier russe. Une équipe de pirates russes avait-elle été chargée d’espionner un oligarque russe au nom de ses responsables du renseignement ? Étaient-ils engagés dans la cybercriminalité à des fins lucratives en tant qu’activité secondaire ?

Quoi qu’il en soit, Matonis sentait qu’il allait enfin, définitivement, couper à travers les faux drapeaux de la cyber-attaque olympique pour révéler sa véritable origine : le Kremlin.

Après que Matonis eut établi ces premiers liens passionnants entre Olympic Destroyer et un groupe très familier de victimes russes de piratage informatique, il sentit qu’il avait exploré au-delà de la partie d’Olympic Destroyer que ses créateurs avaient destinée à montrer aux chercheurs – qu’il était maintenant derrière son rideau de faux drapeaux. Il voulait savoir jusqu’où il pouvait aller pour découvrir l’identité complète de ces pirates. Il a donc dit à son patron qu’il ne viendrait pas au bureau de FireEye dans un avenir prévisible. Les trois semaines suivantes, il a à peine quitté son appartement. Il a travaillé sur son ordinateur portable à partir de la même chaise pliante, le dos tourné vers la seule fenêtre de sa maison qui lui permettait d’accéder à la lumière du soleil, passant en revue tous les points de données qui pourraient révéler le prochain groupe de cibles des pirates.

Un détective d’avant l’ère d’Internet pourrait commencer une recherche rudimentaire d’une personne en consultant des annuaires téléphoniques. Matonis a commencé à creuser dans l’équivalent en ligne, l’annuaire du réseau mondial du web connu sous le nom de Domain Name System. Les serveurs DNS traduisent des domaines lisibles par l’homme comme facebook.com en adresses IP lisibles par machine qui décrivent l’emplacement d’un ordinateur en réseau qui exécute ce site ou service, comme 69.63.176.13.

Matonis a commencé à vérifier minutieusement chaque adresse IP que ses pirates avaient utilisée comme serveur de commande et de contrôle dans leur campagne de hameçonnage malveillant de documents Word ; il voulait voir quels domaines ces adresses IP avaient hébergé. Comme ces noms de domaine peuvent se déplacer d’une machine à l’autre, il a également utilisé un outil de recherche inversée pour retourner la recherche en vérifiant chaque nom pour voir quelles autres adresses IP l’avaient hébergé. Il a créé un ensemble de cartes arborescentes reliant des dizaines d’adresses IP et de noms de domaine liés à l’attaque des Jeux olympiques. Et au bas de la branche d’un arbre, une chaîne de caractères s’allume comme un néon dans l’esprit de Matonis : account-loginserv.com.

Une mémoire photographique peut être utile pour un analyste du renseignement. Dès que Matonis a vu le domaine account-loginserv.com, il a tout de suite su qu’il l’avait vu près d’un an plus tôt dans un « flash » du FBI – une courte alerte envoyée aux cybersécuritaires américains et aux victimes potentielles. Celui-ci avait offert un nouveau détail sur les pirates informatiques qui, en 2016, auraient violé les conseils électoraux des États de l’Arizona et de l’Illinois. Ce sont là certains des éléments les plus agressifs de l’ingérence de la Russie dans les élections américaines : En 2016, les responsables électoraux avaient averti qu’au-delà du vol et de la fuite de mails provenant de cibles du Parti démocrate, des pirates russes s’étaient introduits dans les listes électorales des deux États, accédant à des ordinateurs qui contenaient des milliers de données personnelles américaines avec des intentions inconnues. Selon l’alerte flash du FBI que Matonis avait vue, les mêmes intrus avaient également falsifié des mails provenant d’une société de technologie de vote, qui serait plus tard la société VR Systems de Tallahassee, en Floride, dans le but de tromper davantage de victimes liées aux élections et de les inciter à donner leur mot de passe.

Matonis avait trouvé une empreinte digitale qui reliait les attaquants des Jeux Olympiques à une opération de piratage informatique qui visait directement les élections américaines de 2016.

Matonis a dressé une carte en désordre des connexions sur une feuille de papier qu’il a collée sur son réfrigérateur avec un aimant Elvis, et s’est émerveillé de ce qu’il avait trouvé. D’après l’alerte du FBI – et Matonis a dit à Greenberg qu’il lui avait confirmé la connexion avec une autre source humaine qu’il avait refusé de révéler – les faux mails de VR Systems faisaient partie d’une campagne de phishing qui semblait également avoir utilisé une page de connexion usurpée au domaine account-loginserv.com qu’il avait trouvé dans sa carte Olympic Destroyer. Au bout d’une longue chaîne de connexions d’adresses Internet, Matonis avait trouvé une empreinte digitale qui reliait les attaquants des Jeux Olympiques à une opération de piratage qui visait directement les élections américaines de 2016. Non seulement il avait résolu le whodunit d’origine de Olympic Destroyer, mais il était allé plus loin, montrant que le coupable avait été impliqué dans la campagne de piratage la plus notoire jamais menée pour frapper le système politique américain.

Matonis était, depuis son adolescence, un fan de moto. Alors qu’il était à peine assez âgé pour en conduire une légalement, il avait réuni assez d’argent pour acheter une Honda CB750 de 1975. Un jour, un ami l’a laissé essayer sa Harley-Davidson 2001 avec un moteur 1100 EVO. En trois secondes, il volait le long d’une route de campagne dans le nord de l’État de New York à 65 milles à l’heure, craignant pour sa vie et riant de façon incontrôlable.

Lorsque Matonis a finalement réussi à déjouer les logiciels malveillants les plus trompeurs de l’histoire, il a ressenti la même sensation, une ruée qu’il ne pouvait que comparer au décollage de cette Harley-Davidson en première vitesse. Il s’est assis seul dans son appartement à Washington, fixant son écran et riant.

Au moment où Matonis avait établi ces liens, le gouvernement américain avait déjà établi les siens. La NSA et la CIA, après tout, ont accès à des espions humains et à des capacités de piratage qu’aucune entreprise de cybersécurité du secteur privé ne peut rivaliser. Fin février, alors que Matonis était encore terré dans son appartement du sous-sol, deux agents des services de renseignements sans nom ont déclaré au Washington Post que la cyberattaque des Jeux olympiques avait été menée par la Russie et qu’elle avait cherché à piéger la Corée du Nord. Les responsables anonymes sont allés plus loin en blâmant spécifiquement l’agence de renseignement militaire russe, la GRU, la même agence qui avait organisé l’ingérence dans les élections américaines de 2016 et les attaques de black-out en Ukraine, et qui avait provoqué la dévastation de NotPetya.

Mais comme pour la plupart des déclarations publiques faites à l’intérieur de la boîte noire de l’appareil de renseignement américain, il n’y avait aucun moyen de vérifier le travail du gouvernement. Ni Matonis ni personne d’autre dans la recherche sur les médias ou la cybersécurité n’était au courant de la piste que les agences avaient suivie.

Un ensemble de conclusions du gouvernement américain qui étaient beaucoup plus utiles et intéressantes pour Matonis est arrivé des mois après son travail de détective dans le sous-sol. Le 13 juillet 2018, l’avocat spécial Robert Mueller a levé les scellés d’un acte d’accusation contre 12 pirates du GRU pour s’être livrés à des actes d’ingérence électorale, établissant la preuve qu’ils avaient piraté le DNC et la campagne Clinton ; l’acte d’accusation comprenait même des détails comme les serveurs utilisés et les termes qu’ils avaient tapés dans un moteur de recherche.

Au fond de l’acte d’accusation de 29 pages, Matonis a lu une description des activités présumées d’un pirate du GRU nommé Anatoliy Sergeyevich Kovalev. Avec deux autres agents, Kovalev a été nommé membre de l’unité GRU 74455, basée dans la banlieue nord de Moscou, à Khimki, dans un bâtiment de 20 étages appelé « la Tour ».

L’acte d’accusation indiquait que l’unité 74455 avait fourni des serveurs pour les intrusions du GRU dans le DNC et la campagne Clinton. Mais plus surprenant encore, l’acte d’accusation ajoutait que le groupe avait « aidé » à l’opération de fuite des mails volés lors de ces opérations. L’unité 74455, ont déclaré les accusations, avait aidé à mettre en place DCLeaks.com et même Guccifer 2.0, le faux hacker roumain qui avait revendiqué le crédit pour les intrusions et a donné les e-mails volés des démocrates à WikiLeaks.

Kovalev, âgé de 26 ans, a également été accusé d’avoir violé les règles électorales d’un État et d’avoir volé les renseignements personnels d’environ 500 000 électeurs. Plus tard, il aurait violé les droits d’une entreprise de systèmes de vote et se serait ensuite fait passer pour un usurpateur de mails dans le but de pirater des fonctionnaires électoraux en Floride avec des messages frauduleux contenant des logiciels malveillants. Une affiche de recherche du FBI pour Kovalev montrait la photo d’un homme aux yeux bleus avec un léger sourire et des cheveux blonds et courts.

Bien que l’acte d’accusation ne l’ait pas dit explicitement, les accusations de Kovalev décrivaient exactement les activités décrites dans l’alerte flash du FBI que Matonis avait liées à l’attaque du Destructeur Olympique. Malgré toutes les tromperies et les erreurs d’orientation sans précédent des logiciels malveillants, Matonis pouvait maintenant relier Olympic Destroyer à une unité GRU spécifique, travaillant au 22, rue Kirova à Khimki, Moscou, une tour en acier et en verre miroir sur la rive ouest du canal de Moscou.

Quelques mois après que Matonis m’ait fait part de ces liens, fin novembre 2018, Greenberg s’est retrouvé sur un sentier enneigé qui longeait cette voie d’eau gelée à la périphérie de Moscou, le regard tourné vers la Tour.

Il avait, à ce moment-là, suivi les pirates informatiques connus sous le nom de Sandworm pendant deux années complètes, et il en était aux dernières étapes de la rédaction d’un livre qui étudiait l’arc remarquable de leurs attaques. Il s’était rendu en Ukraine pour interviewer les ingénieurs des services publics qui avaient vu à deux reprises les disjoncteurs de leurs réseaux électriques s’ouvrir par des mains invisibles. Il s’était envolé pour Copenhague pour parler avec des sources de la compagnie maritime Maersk qui lui avaient chuchoté à propos du chaos qui s’était produit lorsque NotPetya avait paralysé 17 de ses terminaux dans les ports du monde entier, fermant instantanément le plus grand conglomérat maritime du monde. Et il s’était assis avec des analystes de la société slovaque de cybersécurité ESET dans leur bureau à Bratislava alors qu’ils analysaient leurs preuves qui reliaient toutes ces attaques à un seul groupe de pirates informatiques.

Au-delà des liens dans le tableau de branchement de Matonis et dans le rapport Mueller qui a épinglé l’attaque des Jeux Olympiques sur le GRU, Matonis m’avait partagé d’autres détails qui reliaient vaguement ces pirates directement aux attaques antérieures de Sandworm. Dans certains cas, ils avaient placé des serveurs de commande et de contrôle dans des centres de données gérés par deux des mêmes sociétés, Fortunix Networks et Global Layer, qui avaient hébergé des serveurs utilisés pour déclencher la panne de courant en Ukraine en 2015, puis le ver NotPetya en 2017. Matonis a soutenu que ces minces indices, en plus de la preuve beaucoup plus solide que toutes ces attaques ont été menées par le GRU, suggéraient que Sandworm était, en fait, l’unité 74455 du GRU. Ce qui les mettrait dans l’immeuble qui me surplombe ce jour enneigé à Moscou.

Debout à l’ombre de cette tour opaque et réfléchissante, je ne savais pas exactement ce que j’espérais accomplir. Il n’y avait aucune garantie que les pirates informatiques de Sandworm se trouvaient à l’intérieur – ils auraient tout aussi bien pu être partagés entre ce bâtiment Khimki et une autre adresse GRU nommée dans l’acte d’accusation Mueller, au 20 Komsomolskiy Prospekt, un bâtiment du centre de Moscou qu’il avait visité le matin même en allant au train.

La Tour, bien sûr, n’était pas considérée comme une installation du GRU. Elle était entourée d’une clôture de fer et de caméras de surveillance, avec une pancarte à sa porte qui indiquait GLAVNOYE UPRAVLENIYE OBUSTROYSTVA VOYSK en gros, « Direction générale pour l’arrangement des troupes ». Il a deviné que s’il osait demander au garde à cette porte s’il pouvait parler à quelqu’un de l’unité 74455 du GRU, il était susceptible d’être détenu dans une pièce où des fonctionnaires du gouvernement russe lui poseraient des questions difficiles, plutôt que l’inverse.

Il s’et rendu compte que c’était peut-être la chose la plus proche qu’il avait jamais vue des pirates de Sandworm, et pourtant il ne pouvait pas s’en approcher. Un garde de sécurité est apparu sur le bord du parking au-dessus de lui, regardant de l’intérieur de la clôture de la Tour – que ce soit en le regardant ou en faisant une pause cigarette, il ne pouvait pas dire. Il était temps pour lui de partir.

Il a marché vers le nord le long du canal de Moscou, loin de la Tour, et à travers le silence des parcs enneigés du quartier et des sentiers menant à la gare voisine. Dans le train de retour vers le centre-ville, il a aperçu une dernière fois le bâtiment de verre, de l’autre côté de l’eau gelée, avant qu’il ne soit avalé dans le ciel de Moscou.

Au début du mois d’avril de cette année, il a reçu un mail par l’intermédiaire de son traducteur coréen de Sang-jin Oh, le responsable coréen qui a dirigé la réponse à Olympic Destroyer sur le terrain à Pyeongchang. Il a répété ce qu’il avait dit tout le long – qu’il ne discuterait jamais de qui pourrait être responsable de l’attaque des Jeux olympiques. Il a aussi noté qu’ils ne se reparleraient plus : Il avait accédé à un poste à la Maison Bleue de Corée du Sud, le bureau du président, et n’était pas autorisé à faire des interviews. Mais lors de leur dernière conversation téléphonique des mois plus tôt, la voix d’Oh était encore enflammée de colère lorsqu’il se souvint de la cérémonie d’ouverture et des 12 heures qu’il avait passées désespérément à travailler pour éviter une catastrophe.

« Cela me rend encore furieux que quelqu’un ait piraté cet événement sans but précis, » a-t-il dit. « Ça aurait été une énorme marque noire sur ces jeux de paix. J’espère que la communauté internationale trouvera un moyen de faire en sorte que cela ne se reproduise plus jamais. »

Même aujourd’hui, l’attaque de la Russie contre les Jeux Olympiques hante toujours les cyberguerre wonks. (Le ministère russe des Affaires étrangères n’a pas répondu aux multiples demandes de commentaires de WIRED.) Oui, le gouvernement américain et l’industrie de la cybersécurité ont finalement résolu le puzzle, après quelques faux départs et quelques confusions. Mais l’attaque a établi un nouveau niveau pour la tromperie, une barre qui pourrait encore avoir des conséquences désastreuses lorsque ses tours se répètent ou évoluent davantage, dit Jason Healey, chercheur sur les cyberconflits à la Columbia School for International and Public Affairs.

« Olympic Destroyer a été la première fois que quelqu’un a utilisé de faux drapeaux d’une telle sophistication dans le cadre d’une attaque importante et pertinente pour la sécurité nationale « , dit Healey. « C’est un signe avant-coureur de ce à quoi pourraient ressembler les conflits de l’avenir. »

« Si vous ne pouvez pas imaginer cela avec les États-Unis et la Russie, imaginez avec l’Inde et le Pakistan, ou la Chine et Taiwan, où un faux drapeau provoque une réaction beaucoup plus forte que prévu. »

M. Healey, qui a travaillé à la Maison-Blanche de George W. Bush en tant que directeur de la protection de la cyberinfrastructure, affirme qu’il n’a aucun doute que les services de renseignement américains peuvent voir par des indices trompeurs cette attribution confuse. Il s’inquiète davantage des autres pays où une cyberattaque mal attribuée pourrait avoir des conséquences durables. « Pour les gens qui n’ont pas les moyens d’acheter CrowdStrike et FireEye, pour la grande majorité des pays, l’attribution est toujours un problème « , dit Healey. « Si vous ne pouvez pas imaginer cela avec les États-Unis et la Russie, imaginez-le avec l’Inde et le Pakistan, ou avec la Chine et Taïwan, où un faux drapeau provoque une réponse beaucoup plus forte que ne le voulaient ses auteurs, d’une manière qui laisse le monde très différent par la suite ».

Mais les faux drapeaux fonctionnent aussi ici aux États-Unis, affirme John Hultquist, directeur de l’analyse du renseignement chez FireEye et ancien patron de Matonis avant que Matonis ne quitte le cabinet en juillet. Ne cherchez pas plus loin, dit M. Hultquist, que la moitié des Américains – soit 73 % des républicains enregistrés – qui refusent d’accepter que la Russie ait piraté le DNC ou la campagne Clinton.

À l’approche des élections de 2020, Olympic Destroyer montre que la Russie n’a fait progresser que ses techniques de tromperie, passant d’une couverture médiocre aux empreintes digitales les plus sophistiquées jamais vues. Et s’ils peuvent tromper même quelques chercheurs ou journalistes, ils peuvent semer encore plus la confusion publique qui a induit l’électorat américain en erreur en 2016. « La question en est une d’audience, dit Hultquist. « Le problème, c’est que le gouvernement américain ne dira peut-être jamais rien, et dans les 24 heures, le mal est fait. Le public était le public en premier lieu. »

Les pirates de GRU connus sous le nom de Sandworm sont toujours là. Et Olympic Destroyer suggère qu’ils ont intensifié non seulement leurs actes de perturbation gratuits, mais aussi leurs techniques de tromperie. Après des années à franchir une ligne rouge après l’autre, leur prochain coup est impossible à prévoir. Mais quand ces hackers frappent à nouveau, ils peuvent apparaître sous une forme que nous ne reconnaissons même pas.

Long Read via Wired

SANDWORMby Andy Greenberg

1 commentaire sur “L’histoire méconnue de la cyberattaque des Jeux Olympiques de 2018, le piratage le plus trompeur de l’histoire”

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.