Le FSB subit la plus importante fuite de données de son histoire


Le 13 juillet 2019, un groupe de pirates informatiques connu sous le nom « 0v1ru$ », serait parvenu à pirater SyTech, l’un des plus importants fournisseurs du Federal’naya sluzhba bezopasnosti Rossiyskoy Federatsii : le FSB. L’entreprise, dirigée par Denis Krayushkin, aurait travaillé sur près d’une vingtaine de projets, dont une majorité commanditée par l’unité n°71330 du renseignement militaire russe.

Selon Jeffrey Care[1] (analyse corroborée par l’International Center for Defense and Security de Tallinn), cette unité ferait partie du Centre pour la surveillance électronique des communications (FSB TSRRSS) la 16e direction du FSB. Celle-ci serait responsable de l’interception, du décryptage et de l’analyse des communications électroniques et ce, sous la responsabilité directe du directeur du FSB. Cette unité a déjà fait parler d’elle par le passé notamment dans le cadre d’une vaste opération de phishing visant des agents du renseignement ukrainien en 2015.

Cette fuite de données est d’une dimension inédite. Le groupe de hackers serait parvenu à s’emparer de l’équivalent de 7,5 téraoctets de données (près de 7 500 Go). Une fois ces données en possession du groupe 0v1ru$, celui-ci les aurait ensuite transmises au groupe DigitalRevolution , le même groupe qui fut à l’origine de l’intrusion dans les serveurs d’un autre fournisseur du FSB – Quantum – en 2018.

Loubianka 05 Actualités Défense | Communication et Réseaux Défense | Fédération de Russie
La Loubianka, le siège du FSB, était le siège du KGB durant l’époque soviétique

Les données dérobées auraient finalement été remises au média BBCRussia qui s’est attaché à leur analyse. Les chercheurs en cybersécurité ont par exemple identifié quelque 25 serveurs malveillants, dont 18 localisés en Russie ainsi qu’un certain nombre de programmes :

  • Nautilus : Suivi de l’activité des utilisateurs sur les principales plateformes de réseaux sociaux (Facebook, MySpace et LinkedIn) ;
  • Nautilus-S : Désanonymisation du réseau Tor. Lancé en 2012, ce programme s’appuierait sur un réseau de nœuds perverti. D’ailleurs, en janvier 2014, une étude des chercheurs de l’Université de Karlstad en Suède a découvert qu’une entité russe non spécifiée était en train d’espionner les nœuds à la périphérie du réseau Tor ;
  • Reward : Infiltration clandestine des réseaux P2P ;
  • Mentor : Espionnage des communications par courriel géré par des entreprises russes ;
  • Hope/Nadezhda : Analyse de l’ensemble de l’Internet russe et de ses connexions au World Wide Web ;
  • Tax-3 : Suppression manuelle des systèmes d’informations, de toutes les données FTS des individus sous protection de l’État.

Si la nature même de certains de ces programmes n’est pas sans rappeler celles de ceux dévoilés par Edward Snowden (XKeyscore, PRISM, ECHELON ou encore Carnivore), d’autres dénotent d’une volonté renouvelée de Moscou d’être en mesure de déconnecter le Runet (l’Internet russe) de l’Internet mondial avec notamment l’adoption par la Douma du « Digital Economy National Program » au début de l’année 2019 pour une entrée en vigueur en novembre 2019.

Cette nouvelle législation vise à garantir que le trafic de données en ligne entre les particuliers, les entreprises et les organisations russes s’effectue à l’intérieur des frontières du pays et que ces données ne soient plus acheminées par l’étranger. En outre, la Russie développe actuellement sa propre alternative au système DNS (Domain Name System) devant en théorie permettre au Runet de fonctionner même dans le cas où les liaisons avec les serveurs basés à l’étranger devaient être interrompues, délibérément ou non.

Jean Lebougre
Spécialiste Cyberwarfare


[1] Jeffrey Carr, Inside Cyber Warfare – Mapping the Cyber Underworld, O’Reilly Media, Second Edition, 2012, pp. 230-231.

- Publicité -

Pour Aller plus loin

RESEAUX SOCIAUX

Derniers Articles