L’Agence nationale de la sécurité des systèmes d'information (Anssi) a publié hier un nouveau rapport dans lequel elle alerte sur la montée en puissance d’une menace pour la France analysant plusieurs attaques orchestrées par des cybercriminels durant les quatre dernières années.

L’Anssi observe en effet « entre 2021 et 2024 des attaques informatiques conduites par les opérateurs d’APT28, qui sont publiquement rattachés par différentes sources à la Russie. »  Dans une vidéo publiée hier sur X par le ministre des Affaires étrangères, Jean-Noël Barrot, les autorités françaises alertent sur la menace que constitue ce groupe de hackers russes se faisant appeler APT28, pour Advanced Persistent Threat (menace persistante avancée).

C’est la première fois que la France affirme publiquement que derrière ce groupe se cache en réalité « le service de renseignement militaire russe (GRU) »  qui « déploie depuis plusieurs années contre la France un mode opératoire cyber-offensif » , a indiqué hier Jean-Noël Barrot, chef de la diplomatie française. « Par le passé, ce mode opératoire a également été utilisé par le GRU dans le sabotage de la chaîne de télévision TV5Monde en 2015, ainsi que dans la tentative de déstabilisation du processus électoral français en 2017 » , peut-on lire sur le site du ministère des Affaires étrangères. 

Actif depuis 2004, le mode opératoire de ce groupe « est attribué publiquement par l’Union européenne à la Russie » , rappelle l’Anssi, et « est régulièrement employé pour cibler des organisations gouvernementales et militaires, ainsi que les secteurs de la défense, de l’énergie et des médias, notamment en Europe et en Amérique du Nord. »  Depuis 2021, plusieurs entités ont été ciblées ou compromises, et notamment des collectivités territoriales.

APT28 : une menace pour les collectivités souvent cibles d’hameçonnage 

De plus en plus actif depuis « la guerre d’agression déclenchée par la Russie contre l’Ukraine le 24 février 2022 », ce groupe met en œuvre des « attaques informatiques à des fins de collecte de renseignement contre des entités ukrainiennes »  mais aussi européennes. 

Au début de la chaîne de compromission, les cyber-assaillants « conduisent ainsi des campagnes d’hameçonnage, d’attaques par force brute notamment contre des messageries web (webmails), et d’exploitation de vulnérabilités » . L’Anssi observe aussi la « compromission d’équipements situés en bordure de systèmes d’information et généralement peu supervisés »  notamment via les routeurs, VPN, passerelles, serveurs de messagerie, et pare-feux.

« Certaines campagnes, lors desquelles les attaquants chercheraient à collecter des informations stratégiques (conversations, carnets d’adresses, authentifiants de connexion) », indique l’Anssi. Par exemple, depuis le début de l’année 2023, les hackers ont conduit des campagnes d’hameçonnage visant à rediriger des utilisateurs des services de messagerie Yahoo vers des fausses pages de connexion afin de voler leurs identifiants. Les hackers sévissent aussi en « s’appuyant sur l’utilisation de services web gratuits ». « Ces campagnes consistaient à envoyer des courriels d’hameçonnage contenant un lien de redirection vers un sous domaine pour délivrer des archives ZIP malveillantes ».

Ces campagnes menées depuis 2021 ont ciblé ou compromis plusieurs organisations françaises parmi lesquelles : des entités ministérielles, des collectivités territoriales et des administrations ; des entités du secteur e la base industrielle et technologique de défense ; des entités du secteur de l’aérospatial ; des entités du secteur de la recherche et des groupes de réflexions (think-tank) et des entités du secteur de l’économie et de la finance. Ainsi, les acteurs sont invités plus que jamais à redoubler de vigilance ce qui passe forcément par une montée en puissance du niveau de cybersécurité de toutes les entités, et surtout des collectivités. Le gouvernement indique être résolu à « employer l’ensemble des moyens à sa disposition pour anticiper les comportements malveillants de la Russie dans le cyberespace, les décourager et y réagir le cas échéant ».

Suivez Maire info sur Twitter : @Maireinfo2