Dans l’univers du cyber-terrorisme d’Etat, Cozy Bear, groupe de hackers russes, est une des entités les plus redoutées et les plus reconnues – responsable, entre autre, des fuites sur le Parti Démocrate durant la dernière Présidentielle américaine. Une enquête révèle comment les renseignements néerlandais avaient réussi à les infiltrer.
Cozy Bear. Un nom qui revient régulièrement pour qui s’intéresse aux cyber-pirates agissant pour le compte d’un Etat. Réputé proche du Kremlin, ce groupe de hackers russes serait responsable de l’attaque contre le serveur du Parti Démocrate en 2015 – et par contrecoup de ses effets dévastateurs sur la campagne présidentielle qui a suivi. De nombreux observateurs estiment que, sans ces interférences des hackers russes, Hilary Clinton aurait été élue en lieu et place de Donald Trump.
Une équipe de choc formée pour lutter contre Cozy Bear
Mais si cette attaque reste le coup de maître de Cozy Bear (connu aussi sous le nom de APT28 et APT29), le groupe de hackers a de très nombreuses autres cibles à son tableau de chasse, depuis 2010 : gouvernements et agences gouvernementales, opérateur télécoms, acteurs du secteur de l’énergie, aux Etats-Unis, en Norvège, aux Pays-Bas, en Ukraine, et aussi probablement en Allemagne, Corée du Sud ou Ouzbékistan.
Le quotidien néerlandais DeVolkskrant vient de révéler, dans une enquête très documentée, comment Cozy Bear a été infiltré par des agents de l’AIVD (équivalent néerlandais de notre DGSE) et du MIVD (les services de renseignement du ministère de la défense néerlandais).
Une caméra de sécurité piratée pour identifier les agents russes
Les Pays-Bas ont formé une équipe de 300 hackers de haut niveau pour enquêter sur les agissements des cyber-pirates russes, à partir de l’été 2014 : nommé Joint Sigint Cyber Unit (« Unité cyber conjointe spécialisée dans le renseignement d’origine électromagnétique »), ce groupe de choc a fini par découvrir le repaire de Cozy Bear et de s’y introduire. Ils ont ainsi pu connaître les activités des pirates et déterminer quels personnes en faisait partie – collectant de nombreuses preuves cruciales.
Joint Sigint Cyber Unit a même réussi à pirater une caméra de sécurité de Cozy Bear, un comble pour des locaux grouillant de spécialise du hack ! « Des photos sont prises de chaque visiteur. Ces images sont analysées et comparées à des espions russes connus. [Joint Sigint Cyber Unit a] acquis des informations qui s’avéreront plus tard vitales », précise l’enquête de DeVolkskrant.
Une collaboration fondamentale avec les Etats-Unis
Vitales car elles seront au cœur de la stratégie de défense des agences gouvernementales américaines contre les attaques de Cozy Bear : les espions néerlandais ont pu révéler à leurs homologues américains les projets d’attaque du département d’Etat, dès novembre 2014, puis du Pentagone en 2015, et enfin du Parti Démocrate en 2016. « Les renseignements des néerlandais sont si cruciaux que la NSA a ouvert une ligne directe afin de transmettre l’information aux États-Unis dès que possible », détaille DeVolkskrant.
Les Pays-Bas font en effet partie d’une communauté nommée les Nine Eyes, groupe de pays occidentaux où les services secrets partagent largement les informations – composé des Etats-Unis, du Canada, du Royaume-Uni, de l’Australie, de la Nouvelle Zélande, de la France, du Danemark, de la Norvège et, donc, des Pays-Bas.
Les meilleures choses ont une fin… et colère contre les service américains
L’accès de Joint Sigint Cyber Unit aux locaux de Cozy Bear a fini par être interrompu, probablement parce que les services russes se sont aperçus de l’attaque et ont colmaté les brèches dans leurs cyber-défenses. Du coté d’Amsterdam, on estime que les commentaires des services secrets américains dans la presse ont pu participer à compromettre les hackers néerlandais : le Washington Post a ainsi raconté qu’une « agence de renseignement occidentale » avait prévenu la NSA des agissements de Cozy Bear, en détaillant le mode opératoire des agents néerlandais.
Ces fuites dans la presse ont provoqué la colère des services secrets néerlandais, s’estimant trahis par leurs alliés : depuis les agences des Pays-Bas partagent beaucoup moins d’informations avec leurs homologues des Nine Eyes, notamment les Etats-Unis – surtout depuis l’élection de Donald Trump !
Une action qui a protégé les élections néerlandaises de 2017
Cela étant, les activité de Joint Sigint Cyber Unit ont également été utiles pour protéger les Pays-Bas, puisqu’elles ont permis de découvrir que les élections de mars 2017 étaient visées par les hackers russes. Les Pays-Bas ont opportunément décidés de ne pas utiliser le vote électronique durant ces élections.
Pour le reste, même si l’enquête de DeVolkskrant n’en dit rien, il est probable que les activités des agents néerlandais ne se soient pas bornées à de l’observation, et qu’ils aient, également, su se montrer offensifs – de même qu’il est plus que probable que les services russes aient contrattaqué d’une façon ou d’une autre, au moins en représailles.