![\"russia-based](\"https:\/\/blog.wildix.com\/wp-content\/uploads\/2022\/03\/image-1024x538.png\")
<\/p>\n<\/p>\n
Aujourd’hui, la course aux armements a migr\u00e9 des meilleurs moyens de cr\u00e9er des bombes toujours plus dangereuses aux meilleurs moyens de contourner la s\u00e9curit\u00e9 num\u00e9rique. Cependant, comme dans le cas de la course au nucl\u00e9aire, l’un des principaux adversaires est la Russie, dont les efforts pour infiltrer les bases de donn\u00e9es num\u00e9riques se sont \u00e9tendus \u00e0 tous les domaines, des organisations politiques aux centrales \u00e9lectriques, tout en se r\u00e9v\u00e9lant aussi efficaces qu’insaisissables.<\/p>\n
Pourtant, les services de renseignement gouvernementaux du monde entier ont \u00e9t\u00e9 en mesure de suivre et d’identifier bon nombre de ces menaces d’origine russe. Ce faisant, ces agences ont d\u00e9couvert \u00e0 la fois l’identit\u00e9 de ces groupes et leurs m\u00e9thodologies les plus courantes en mati\u00e8re de cyberattaques.<\/p>\n
Maintenant que la Russie a fait des incursions physiques dans le monde, on ne peut sous-estimer \u00e0 quel point il est vital pour les experts en communications num\u00e9riques de comprendre comment ces groupes op\u00e8rent. Pour assurer votre s\u00e9curit\u00e9, il est d’autant plus important que vous connaissiez les menaces qui p\u00e8sent sur vous.<\/p>\n
Snake, l’une des principales figures de la galerie des escrocs num\u00e9riques bas\u00e9e en Russie, est un collectif de hackers informatiques qui serait en activit\u00e9 depuis 2004. L’association est consid\u00e9r\u00e9e par l’Office f\u00e9d\u00e9ral allemand pour la protection de la Constitution (BfV) comme \u00ab\u00a0le Saint Graal de l’espionnage\u00a0\u00bb<\/a> et se voit attribuer le plus haut rang possible dans l’indice des menaces persistantes avanc\u00e9es (APT).<\/p>\n La premi\u00e8re attaque connue de Snake a \u00e9t\u00e9 men\u00e9e en d\u00e9cembre 2017, lorsque des logiciels malveillants infectant le minist\u00e8re allemand des Affaires \u00e9trang\u00e8res ont commenc\u00e9 \u00e0 commander \u00e0 leurs ordinateurs de contacter des sites Web usurp\u00e9s. Snake a ainsi pu collecter des donn\u00e9es sur les serveurs du minist\u00e8re et acc\u00e9der \u00e0 des documents classifi\u00e9s.<\/p>\n Heureusement pour les enqu\u00eateurs, les cyberattaquants ont toutefois laiss\u00e9 deux noms d’utilisateurs dans les bases de donn\u00e9es pirat\u00e9es : \u00ab\u00a0Vlad\u00a0\u00bb et \u00ab\u00a0Urik\u00a0\u00bb, qui, malgr\u00e9 leur impr\u00e9cision, se sont r\u00e9v\u00e9l\u00e9s \u00eatre une piste suffisante pour remonter jusqu’\u00e0 la soci\u00e9t\u00e9 russe Center-Inform. Center-Inform ayant des liens connus avec le Service f\u00e9d\u00e9ral de s\u00e9curit\u00e9 russe (FSB), les services de renseignement du monde entier ont largement conclu que Snake op\u00e8re en tant que groupe de cyberattaques parrain\u00e9 par l’\u00c9tat russe.<\/p>\n Le BfV allemand et l’agence canadienne de renseignement \u00e9lectromagn\u00e9tique CSE qualifient la conception du malware cr\u00e9\u00e9 par Snake de \u00ab\u00a0g\u00e9niale\u00a0\u00bb. Ces \u00e9loges s’expliquent principalement par l’efficacit\u00e9 du logiciel malveillant \u00e0 mener de v\u00e9ritables cyberattaques : une fois qu’il a infect\u00e9 un ordinateur, il ne faut que tr\u00e8s peu d’efforts ou d’expertise \u00e0 un hacker pour l’utiliser \u00e0 des fins de collecte illicite de donn\u00e9es.<\/p>\n Bien s\u00fbr, ce n’est le cas que si les appareils sont infect\u00e9s, mais comme le montrent d’autres exemples, l’infection initiale ne r\u00e9sulte pas toujours d’une entr\u00e9e forc\u00e9e dans les syst\u00e8mes.<\/p>\n Si vous avez pr\u00eat\u00e9 beaucoup d’attention \u00e0 la politique am\u00e9ricaine vers 2016, ce nom vous est peut-\u00eatre d\u00e9j\u00e0 familier. Fancy Bear<\/a>, \u00e9galement connu sous le nom d’APT28 ou Sofacy, a explos\u00e9 dans le grand public apr\u00e8s avoir \u00e9t\u00e9 li\u00e9 aux cyberattaques men\u00e9es sur la campagne pr\u00e9sidentielle d’Hillary Clinton, le Comit\u00e9 national d\u00e9mocrate et le Comit\u00e9 de campagne du Congr\u00e8s d\u00e9mocrate en 2016. Toutefois, le groupe serait responsable d’autres attaques men\u00e9es entre 2014 et 2018 sur des entit\u00e9s de premier plan, notamment l’Agence mondiale antidopage, l’Organisation pour l’interdiction des armes chimiques et le Laboratoire suisse de chimie de Spiez.<\/p>\n Les cibles de Fancy Bear ne se limitent pas aux \u00c9tats-Unis et \u00e0 l’Europe occidentale – ni m\u00eame aux organisations. Parmi les autres victimes notables des cyberattaques du groupe figurent des journalistes de Russie, d’Ukraine et de Moldavie qui ont \u00e9crit des articles critiques sur Vladimir Poutine. Entre 2014 et 2016, au milieu des incursions russes en Ukraine et en Crim\u00e9e, des cyberattaques associ\u00e9es au Fancy Bear ont m\u00eame touch\u00e9 des unit\u00e9s d’artillerie ukrainiennes et les ont rendues inop\u00e9rantes.<\/p>\n Les cibles de Fancy Bear \u00e9tant en grande partie celles des int\u00e9r\u00eats de l’\u00c9tat russe, il est facile de supposer qu’elles sont associ\u00e9es au Kremlin. Mais de mani\u00e8re plus d\u00e9finitive, les enqu\u00eates men\u00e9es par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 CrowdStrike, le Foreign and Commonwealth Office du Royaume-Uni et le US Special Counsel ont \u00e9tabli un lien entre Fancy Bear et le gouvernement russe et l’agence de renseignement russe GRU.<\/p>\n Ce qui distingue Fancy Bear des autres cyberattaquants, c’est sa m\u00e9thodologie<\/a>. Le groupe obtient g\u00e9n\u00e9ralement ses donn\u00e9es non pas par infiltration forc\u00e9e, mais par ing\u00e9nierie sociale : Il cr\u00e9e des sites Web qui incitent les utilisateurs \u00e0 saisir des donn\u00e9es confidentielles, et nombre de ses campagnes sont le r\u00e9sultat de communications qui incitent les destinataires \u00e0 fournir des identifiants de connexion (ce que l’on appelle le \u00ab\u00a0phishing\u00a0\u00bb ou, dans le cas du ciblage d’une personne ou d’un compte important, le \u00ab\u00a0spear phishing\u00a0\u00bb). Une fois que les cibles cliquent sur ces sites Web ou saisissent leurs informations d’identification, Fancy Bear infecte un appareil avec un logiciel qui collecte illicitement des donn\u00e9es \u00e0 partir de l’appareil lui-m\u00eame et du r\u00e9seau adjacent.<\/p>\n Fancy Bear est assez efficace dans son action, et est m\u00eame capable de mener plusieurs campagnes de piratage simultan\u00e9ment. Cependant, il est loin d’\u00eatre le seul groupe associ\u00e9 \u00e0 la Russie \u00e0 utiliser de telles techniques.<\/p>\n Une autre entit\u00e9 li\u00e9e \u00e0 la Russie et connue pour faire un usage intensif du phishing est Cozy Bear<\/a>, \u00e9galement appel\u00e9e APT29 ou The Dukes. En activit\u00e9 depuis au moins 2008, Cozy Bear est soup\u00e7onn\u00e9 d’\u00eatre associ\u00e9 au Service de renseignement ext\u00e9rieur (SVR) de la Russie et cible les r\u00e9seaux gouvernementaux de toute l’Europe, en particulier les pays membres de l’OTAN. Parmi les autres cibles du groupe figurent des groupes de r\u00e9flexion et, semble-t-il, le Comit\u00e9 national d\u00e9mocrate aux \u00c9tats-Unis.<\/p>\n La cyberattaque la plus percutante de Cozy Bear a eu lieu en 2020 avec la violation massive des donn\u00e9es de SolarWinds. SolarWinds, une entreprise de technologie aux \u00c9tats-Unis, a \u00e9t\u00e9 secr\u00e8tement infiltr\u00e9e par des affili\u00e9s de Cozy Bear pour implanter un logiciel malveillant de collecte de donn\u00e9es dans le syst\u00e8me principal de l’entreprise. Ce piratage s’est rapidement propag\u00e9 \u00e0 des milliers d’autres victimes, car SolarWinds a distribu\u00e9 sans le savoir le code modifi\u00e9 par le biais d’une mise \u00e0 jour de correctif – transmettant l’exploit \u00e0 des clients importants, dont Microsoft, Intel et le minist\u00e8re am\u00e9ricain de la d\u00e9fense.<\/p>\n Comme Fancy Bear, Cozy Bear utilise<\/a> le spear-phishing comme principal moyen de p\u00e9n\u00e9trer dans les syst\u00e8mes, avec d’\u00e9normes campagnes visant \u00e0 solliciter des informations d’identification aupr\u00e8s de personnalit\u00e9s importantes des organisations cibl\u00e9es. Le groupe est \u00e9galement connu pour sa persistance tenace dans ces efforts et lance g\u00e9n\u00e9ralement de nouveaux efforts contre des cibles \u00e9tablies si l’acc\u00e8s est bloqu\u00e9.<\/p>\n Bien que ce groupe soit souvent connu sous son nom de r\u00e9f\u00e9rence aux Dunes, il est \u00e9galement appel\u00e9 Voodoo Bear<\/a> dans certains cercles (apparemment, une personne dans le domaine de la cybers\u00e9curit\u00e9 appr\u00e9cie beaucoup une convention de d\u00e9nomination ursine). Mais quel que soit le nom donn\u00e9 au groupe, Sandworm fait partie des cyberattaquants li\u00e9s \u00e0 la Russie les plus tristement c\u00e9l\u00e8bres.<\/p>\n Apparemment associ\u00e9 au GRU<\/a>, le groupe a men\u00e9 la cyberattaque la plus vaste de l’histoire avec ses attaques de logiciels malveillants NotPetya<\/a>, qui, en 2017, ont touch\u00e9 simultan\u00e9ment la France, l’Allemagne, l’Italie, la Pologne, le Royaume-Uni, les \u00c9tats-Unis et surtout l’Ukraine, co\u00fbtant aux victimes un total de 10 milliards de dollars de dommages.<\/p>\n Dans le cadre d’efforts plus r\u00e9cents, Sandworm a d\u00e9velopp\u00e9 un logiciel malveillant appel\u00e9 Cyclops Blink, que des agents malveillants ont plac\u00e9 sur des appareils r\u00e9seau produits par le fournisseur de s\u00e9curit\u00e9 informatique Watchguard. Selon les agences de renseignement am\u00e9ricaines, Cyclops Blink est probablement le successeur du programme VPNFilter de Sandworm. Quelques ann\u00e9es auparavant, VPNFilter avait infect\u00e9 des routeurs de r\u00e9seau et s’\u00e9tait propag\u00e9 \u00e0 un demi-million de machines, les transformant en un botnet mondial contr\u00f4l\u00e9 par Sandworm et, par extension, par le GRU.<\/p>\n Mais quel \u00e9tait l’objectif ultime de VPNFilter ? Ou encore de Cyclops Blink ? Il est inqui\u00e9tant de constater que nous ne le savons pas vraiment. S’il est probable que Sandworm ait install\u00e9 ce malware \u00e0 des fins de surveillance, il est tout aussi possible qu’il mette en place une infrastructure num\u00e9rique pour des communications secr\u00e8tes en provenance de Russie. De m\u00eame, la raison pourrait \u00eatre de jeter les bases d’une perturbation massive des r\u00e9seaux affect\u00e9s – il est bon de se rappeler, apr\u00e8s tout, que Sandworm a pu mettre hors service des parties importantes du r\u00e9seau \u00e9lectrique de l’Ukraine en 2015.<\/p>\n La bonne nouvelle est que, dans le cas de Cyclops Blink, Watchguard a r\u00e9ussi \u00e0 patcher la vuln\u00e9rabilit\u00e9 utilis\u00e9e par Sandworm pour entrer dans le syst\u00e8me, et les utilisateurs peuvent effacer le malware en effa\u00e7ant leurs machines et en r\u00e9installant le logiciel. Toutefois, cet exemple montre que le mat\u00e9riel personnel peut devenir un outil involontaire pour les cyberattaques.<\/p>\n Aussi obscurs et imparables que ces groupes veuillent \u00eatre per\u00e7us, il n’en reste pas moins qu’aucune de leurs m\u00e9thodologies ne constitue un moyen d’acc\u00e8s garanti. M\u00eame lorsque des cyberattaquants chevronn\u00e9s se cachent en ligne, une combinaison de bonnes pratiques de s\u00e9curit\u00e9 et de logiciels intelligemment con\u00e7us vous permettra de rester en s\u00e9curit\u00e9.<\/p>\n La principale de ces bonnes pratiques consiste \u00e0 se renseigner sur les tentatives de phishing. Cela signifie qu’il ne faut pas cliquer sur les liens suspects, ne pas r\u00e9pondre aux emails de spam et ne jamais r\u00e9pondre aux messages contenant vos informations de connexion ou de r\u00e9cup\u00e9ration de compte. En \u00e9vitant les sites et les fichiers douteux, vous vous prot\u00e9gez relativement bien, mais vous devriez \u00e9galement envisager de s\u00e9curiser davantage les comptes importants avec une authentification \u00e0 deux facteurs ou une authentification unique.<\/p>\n En termes d’infrastructure syst\u00e8me, le passage du mat\u00e9riel sur site au cloud offre \u00e9galement une protection en ligne nettement am\u00e9lior\u00e9e. Pensez au nombre de fois o\u00f9 les cyberattaquants ont utilis\u00e9 des logiciels malveillants et des exploits dans le mat\u00e9riel pour mener \u00e0 bien leurs efforts : lorsqu’un syst\u00e8me passe au cloud, ce risque est largement att\u00e9nu\u00e9, \u00e0 la fois parce que les vuln\u00e9rabilit\u00e9s sont corrig\u00e9es d\u00e8s que le correctif associ\u00e9 est d\u00e9ploy\u00e9 et parce qu’il n’y a plus de \u00a0\u00bb mat\u00e9riel \u00a0\u00bb traditionnel \u00e0 infecter.<\/p>\n D’une mani\u00e8re plus g\u00e9n\u00e9rale, bien s\u00fbr, il est toujours utile d’utiliser un syst\u00e8me qui utilise lui-m\u00eame des protocoles de s\u00e9curit\u00e9 intelligents. En ce qui concerne les communications num\u00e9riques, Wildix se distingue par une structure enti\u00e8rement s\u00e9cure by design, gr\u00e2ce \u00e0 une combinaison de technologies qui prot\u00e8gent les utilisateurs contre les infiltrations et les \u00e9coutes sans VPN, SBC ou autres ajouts. Vous pouvez en savoir plus sur les pratiques de s\u00e9curit\u00e9 de Wildix dans notre livre blanc gratuit<\/a>.<\/p>\n Quelle que soit la mani\u00e8re dont vous choisissez d’op\u00e9rer, il n’a jamais \u00e9t\u00e9 aussi crucial de le faire en toute s\u00e9curit\u00e9. Alors que la Russie empi\u00e8te sur l’Ukraine, il est probable qu’elle relancera ses cyberattaques avec une force renouvel\u00e9e – et qu’elle associera probablement du mat\u00e9riel \u00e9tranger \u00e0 ses efforts. Si vous cherchez un moyen de lutter contre ces efforts de guerre, vous pouvez commencer par comprendre les m\u00e9thodes de cyberattaque les plus courantes de la Russie et prot\u00e9ger vos appareils contre elles.<\/p>\n Pour plus de conseils sur la cybers\u00e9curit\u00e9 et la s\u00e9curit\u00e9 num\u00e9rique,<\/i><\/b> abonnez-vous pour recevoir gratuitement notre magazine !<\/i><\/b><\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Aujourd’hui, la course aux armements a migr\u00e9 des meilleurs moyens de cr\u00e9er des bombes toujours plus dangereuses aux meilleurs moyens de contourner la s\u00e9curit\u00e9 num\u00e9rique. Cependant, comme dans le cas de la course au nucl\u00e9aire, l’un des principaux adversaires est la Russie, dont les efforts pour infiltrer les bases de donn\u00e9es num\u00e9riques se sont \u00e9tendus … <\/p>\nFancy Bear<\/h2>\n
Cozy Bear<\/h2>\n
Sandworm<\/h2>\n
Meilleures pratiques et ce qu\u2019il faut retenir<\/h2>\n