En piratant les 10.000 ordinateurs, 300 serveurs informatiques et 6.300 routeurs Wi-Fi des Jeux olympiques de PyeongChang (Corée du Sud) au mois de février 2018, les pirates russes ont réussi un tour de force en matière de camouflage numérique.
Durant de longs mois, les services de renseignement internationaux et des firmes de sécurité informatique ont tour à tour accusé plusieurs pays –Chine et Corée du Nord en tête de liste– avant que la NSA et le CGHQ britannique (Quartier général des communications du gouvernement) ne confirment d'où venait l'assaut.
Une enquête d'un journaliste du magazine américain Wired offre une nouvelle perspective sur l'opération «Olympic Destroyer», ce ver informatique qui a voulu faire capoter les JO. Andy Greenberg, qui publie un livre sur le sujet en novembre, révèle comment les pirates russes ont réussi à masquer leurs attaques grâce à des techniques particulièrement sophistiquées.
Cyberactivités criminelles encore en cours
Durant les Jeux olympiques du mois de février 2018, l'affaire a fait les gros titres de la presse internationale. Cette cyberattaque a temporairement paralysé l'ensemble des systèmes informatiques mis en place avant la cérémonie d'ouverture, coupant le Wi-Fi, bloquant le site web officiel et l'application destinée aux délégations internationales ou éteignant les écrans. Presque minute par minute, Andry Greenberg détaille comment la panique s'est installée durant les vingt-quatre heures qui ont suivi la cérémonie d'ouverture des Jeux olympiques et la découverte du ver informatique.
Mais c'est surtout la capacité des pirates russes à maquiller leur identité qui interroge le journaliste. Passés maîtres dans l'art du déguisement informatique, les assaillants ont réussi à détourner les outils et l'infrastructure de logiciels malveillants utilisés par la Corée du Nord. Les caractéristiques des fichiers du malware laissaient ainsi une «empreinte digitale» qui semblait appartenir à Lazarus, un groupe connu pour ses liens avec le pays communiste.
En réalité, cette «empreinte digitale» était une «fausse bannière» –«false flag» dans le jargon informatique anglophone–, une méthode utilisée pour falsifier l'origine de l'attaque. C'est finalement un problème dans la construction du logiciel, suggérant une tentative délibérée d'imiter une attaque nord-coréenne, qui a mis la puce à l'oreille des expert·es en cybersécurité du groupe Kaspersky Lab. Et finalement conduit la NSA et le GCHQ à trouver le fin mot de l'histoire.
Le groupe de hackers en question, surnommé Turla parmi d'autres noms par la presse internationale, est loin d'avoir cessé ses activités. En octobre, les cyberattaquants auraient attaqué une douzaine de pays en utilisant une «fausse bannière» iranienne, raconte Reuters. Ce qui pose un problème majeur à l'échelle internationale: et si un pays venait à faussement accuser un autre pays d'une attaque informatique, quelles pourraient en être les conséquences?
