L’Union Européenne a officiellement incriminé la Russie de cyberespionnage, vendredi 24 septembre. Le gouvernement russe est accusé d’ingérence dans des élections de plusieurs États de l’UE, de piratage de comptes, et de vols de données.

Dans un communiqué, le Conseil Européen a expliqué que les personnes ciblées sont des « parlementaires, responsables gouvernementaux, politiciens, membres de la presse et de la société civile de l’UE ».

L’opération de cyberespionnage est désignée sous le nom de Ghostwriter. Lancée en 2017, elle avait été détectée et révélée pour la première fois en 2020 par la société de sécurité informatique FireEye (pdf). L’opération avait alors ciblé des responsables politiques et des sites d’informations en Lettonie, en Pologne, et en Lituanie.

Vol de données, piratage de comptes et falsification de documents

Concrètement, avec Ghostwriter, des pirates informatiques russes pénètrent par effraction dans des sites web ou piratent des comptes sur des sites et des réseaux sociaux. Ils peuvent ainsi falsifier des documents et des articles, voler des données, ou bien faire de fausses publications dans le but d’influencer l’opinion publique. Le but est d’influer sur les résultats des élections et de créer de l’instabilité politique, mais aussi d’accentuer la méfiance envers l’OTAN et les États-Unis. Dans un autre rapport, FireEye évoque même « un vaste programme anti-OTAN ». « Les récits se sont fortement concentrés sur les exercices militaires de l’OTAN […] », affirme l’entreprise.

Schéma expliquant le fonctionnement des attaques informatiques de Ghostwriter

Quatorze incidents ont été détectés par FireEye en 2020. Ce schéma illustre les 3 phases de créations et de diffusions de contenus falsifiés lors d’une attaque de Ghostwriter.
Image : FireEye.

Des pirates ont ainsi hacké les comptes sur les réseaux sociaux de plusieurs responsables politiques polonais, pour attaquer des militants et des opposants. Le ministère lituanien de la Défense a également été victime d’une attaque, en recevant un document falsifié du secrétaire général de l’OTAN, annonçant le retrait des troupes de l’OTAN du pays.

Un autre objectif de Ghostwriter est la propagation d’infox sur le Covid-19. Certaines attaques ont par exemple répandu l’idée que les forces américaines de l’OTAN étaient responsables de la propagation du Covid en Europe. Concernant les organes de presse, les pirates auraient publié ces faux articles en prenant possession des comptes des administrateurs. Ceci leur donne ensuite accès au SGC (système de gestion de contenu), qui permet la publication de nouveaux contenus et la modification de ceux déjà publiés.

L’Allemagne également touchée au cours de l’été

Les attaques de Ghostwriter ont continué en 2021, touchant notamment les pays de l’ouest de l’Europe. Le groupe de pirates a commencé au cours de l’été à cibler l’Allemagne, alors en pleine campagne pour les élections fédérales. Les comptes de sept membres du Bundestag, et de 31 députés ont été piratés dans le but d’influencer les élections. L’Allemagne a officiellement réagi en accusant le gouvernement russe, début septembre.

Le Conseil Européen et Josep Borrell (représentant de l’UE aux Affaires Étrangères et à la politique de sécurité), affirment de leurs côtés que « de telles activités sont inacceptables car elles cherchent à menacer notre intégrité et notre sécurité, les valeurs et principes démocratiques et le fonctionnement fondamental de nos démocraties ». Habitué à démentir vite lorsque la Russie est accusée, le ministère russe des Affaires Étrangères n’a pour l’instant pas réagi.

Face à la multiplication des cyberattaques, la Commission Européenne a annoncé, en juin, la création d’une unité pour se protéger des cyberattaques. Si tout est validé par les différents organes européens, cette unité pourrait voir le jour en 2022, sous l’égide de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA).