Depuis quelques jours, il n’est question que de l’affaire « Pegasus », du nom d’un logiciel espion commercialisé par l’entreprise NSO Group Technologies , laquelle cultive des liens étroits avec l’Unité 8200 du renseignement israélien. Ainsi selon Forbidden Stories et Amnesty International, vendu à plusieurs États alliés ou proches d’Israël, ce programme aurait permis de surveiller des journalistes, des opposants et même des responsables politiques d’autres pays en collectant messages, photos et conversations téléphoniques.

S’il s’en défend, le Maroc aurait ainsi ciblé le président Macron ainsi que 14 ministres, des parlementaires et des journalistes français. « Cibler » ne veut pas pour autant dire que le service de renseignement marocain mis en cause soit parvenu à ses fins. En tout cas, s’agissant des communications sensibles, le gouvernement est censé utiliser le téléphone Teorem [fourni par Thales] ou la solution CryptoSmart, développée par ERCOM.

Cela étant, et pendant que l’affaire Pegasus alimente la polémique au gré des révélations livrées au compte-gouttes, l’Agence nationale de la sécurité des systèmes d’information [ANSSI] vient de lancer une alerte au sujet d’une « vaste campagne de compromission touchant de nombreuses entités françaises ». Celle-ci, « particulièrement virulente » et « toujours en cours », serait le fait du groupe de pirates informatiques APT31.

« Les investigations montrent que ce mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques. Ainsi, des marqueurs, issus des routeurs compromis par l’attaquant, sont fournis pour permettre de rechercher des compromissions [depuis le début de l’année 2021] et de les mettre en détection », explique l’ANSSI, qui appelle à lui faire parvenir « tout incident découvert en lien avec cette campagne ».

Or selon l’entreprise de cybersécurité FireEye, APT31 a pour mission « de récolter des renseignements pour octroyer un avantage politique, économique et militaire aux entreprises publiques et au gouvernement chinois ». Ses cibles sont généralement les administrations, les établissements financiers et les entreprises des secteurs de la défense, de l’aérospatiale ou bien encore des télécoms.

Généralement, l’ANSSI se garde d’attribuer l’origine des attaques informatiques. Ainsi, en février dernier, elle fit état d’une « campagne d’attaque du mode opératoire ‘Sandworm’ ciblant des serveurs Centreon », sans pour autant désigner explicitement la Russie, alors que le groupe cité avait déjà été accusé par les États-Unis d’être de mèche avec le GRU, le renseignement militaire russe. Dans sa dernière alerte, elle n’accuse pas non plus directement la Chine, seulement le groupe de pirates qu’elle a identifié.

« Après l’imputation, acte technique, vient l’attribution, acte politique qui peut varier en fonction de la situation géopolitique ou d’autres intérêts, et qui peut être rendue publique, comme le font les Américains, ou être signalée en privé et rester secrète. Il m’arrive d’accompagner des autorités politiques dans des pays compliqués auxquels on dit : ‘Nous vous avons percés à jour, ce que vous faites est inacceptable’. Je ne suis pas certain que cela les terrorise, mais cela porte. Choisir un canal de communication qui n’est pas public, c’est probablement l’efficacité optimale que l’on peut atteindre », a par ailleurs récemment expliqué Guillaume Poupard, le directeur de l’ANSSI, lors d’une audition parlementaire.

L’alerte émise par l’agence de cybersécurité française survient après que l’Otan a dénoncé les « activités malveillantes » de la Chine dans le cyberespace et que les États-Unis, avec le soutien de leurs partenaires du cercle dit des « Five Eyes » [Royaume-Uni, Australie, Canada, Nouvelle-Zélande] ont accusé Pékin de menacer leur économie et leur sécurité via des attaques informatiques menées à des fins d’extorsion et de renseignement.

En réponse, la Chine a parlé d’allégations « totalement sans fondement et irresponsables », relevant de la « calomnie malveillante ». Et, a fait valoir son ambassade en Nouvelle-Zélande, « compte tenu de la nature virtuelle du cyberespace, il faut avoir une preuve claire quand on enquête ou quand on identifie un cyberincident ».

Photo : ANSSI