Le FBI et le ministère de la Justice américaine ont annoncé le 19 octobre la mise en accusation de six officiers du GRU, le service de renseignement militaire russe. Ils sont accusés de s’être livrés à de nombreuses cyberattaques, dont celle qui a touché « En marche ! », le parti d’Emmanuel Macron, quelques jours avant l’élection de 2017.

L’origine russe des MacronLeaks confirmée

L’élection présidentielle française de 2017 a été marquée par le piratage de dizaines de milliers de documents internes à « En Marche ! », le parti du vainqueur de l’élection, Emmanuel Macron. En diffusant les documents deux jours avant le scrutin, l’objectif de la cyberattaque était limpide : déstabiliser le candidat en tête dans les sondages et perturber l’élection. La Russie avait été, à l’époque, rapidement pointée du doigt. Une piste qui n’a fait que se consolider par la suite. Selon la mise en accusation de la justice américaine, le doute n’est plus permis, ce sont bien des officiers de renseignements russes qui sont à l’origine des MacronLeaks.

Les six officiers accusés appartiennent à l’unité 74455 de la direction générale des renseignements (GRU) de l’État-major des Forces armées de la Fédération de Russie. Un groupe, plus connu par les experts en cybersécurité sous le nom de Sandworm, soupçonné d’être la division d’élite en cyberattaque du service de renseignement russe.

pirates russe recherché par le FBI

L’avis de recherche du FBI pour les six agents du GRU

Selon Le Monde, le principal responsable des MacronLeaks est Anatoly Kovalev (en bas à gauche de l’image), né en 1991 ou 1994. Il est déjà poursuivi aux États-Unis pour avoir tenté de perturber l’élection américaine de 2016. Il aurait dérobé des informations sur un demi-million d’électeurs américains en pénétrant dans le système électoral d’un état.

Un tableau de chasse impressionnant

Le groupe, actif entre novembre 2015 et octobre 2019, a une longue liste de cyberattaques derrière lui. Toutes ont comme point commun de servir les intérêts stratégiques du pays de Vladimir Poutine.

  • En décembre 2015 et décembre 2016, des centrales électriques ukrainiennes et des institutions gouvernementales sont attaquées. Depuis l’annexion de la Crimée en 2014, la Russie est toujours soupçonnée d’intervenir via des milices pro-Moscou dans une autre région ukrainienne toujours en guerre, le Donbass.
  •  Fin juin 2017, le ransomware NotPetya touche 65 pays (y compris la Russie) et bloque des centaines de milliers d’ordinateurs dans le monde. Rien qu’en France, les dégâts sont estimés à plus de 1 milliard d’euros. La cible originale est à nouveau en Ukraine.
  • De décembre 2017 à février 2018, ce sont les Jeux olympiques d’hiver de Pyeongchang, en Corée du Sud, qui sont attaqués en permanence, notamment par un malware appelé « Olympic Destroyer ». La Russie avait été officiellement bannie de la compétition par le Comité international olympique pour des faits de dopages massifs.
  • Au mois d’avril 2018, c’est l’Organisation pour l’interdiction des armes chimiques et le Defense Science and Technology Laboratory en Grande-Bretagne qui sont victimes d’une attaque. Ils enquêtent alors sur l’empoisonnement au Novitchok de l’ancien agent du GRU, Sergei Skripal, réfugié en Angleterre. Le poison, conçu en URSS, incrimine la Russie.
  • En 2018 et 2019, diverses entités gouvernementales géorgiennes sont attaquées. La Géorgie et la Russie ont connu un conflit armé en 2008. En 2019, la prise de parole houleuse d’un député russe au sein du parlement géorgien avait ravivé les tensions entre les deux pays.

Le FBI et la justice américaine veulent envoyer un message

La justice américaine accuse les six agents de conspiration, de piratage informatique, de fraude électronique, de vol d’identité aggravé et de faux enregistrement d’un nom de domaine. Les chances qu’ils se présentent face à la justice américaine sont nulles, tout au plus, les agents ne pourront plus se rendre dans les pays ayant un accord d’extradition avec les États-Unis.

Le réel objectif de cette opération de communication américaine est double. Tout d’abord montrer que le FBI a les moyens techniques et les compétences pour remonter la piste de cyberattaques sophistiquées. Le communiqué mentionne par ailleurs la contribution de plusieurs géants de la tech à l’enquête, Google, Cisco, Facebook et Twitter.

L’autre intérêt est d’adresser un avertissement à la Russie : « Que vous soyez un cybercriminel qui tire profit du piratage informatique ou un officier du renseignement militaire russe qui a l’intention de démanteler des infrastructures, ces attaques ne seront pas tolérées », a affirmé fermement le directeur adjoint du FBI David Bowdich. Dévoiler publiquement les identités d’agents d’un autre pays est plutôt rare et envoie un signal fort à la Russie : à l’avenir, les cyberattaques doivent cesser.