Qui sont ces cybermercenaires qui font trembler Internet ?
Écrit par Jonathan PIRIOU sur janvier 13, 2018
Panamagate, Paradise Papers, FootballLeaks…, les fuites de données électroniques, plus ou moins confidentielles, se multiplient sur le Net depuis cinq ans. À chaque fois, le scénario est le même : des boîtes mail ou des serveurs abritant des informations sensibles se font « cambrioler » et leur contenu est livré au grand public sur des forums de discussion ou des sites parfois créés spécialement pour l'occasion. De temps à autre, le contenu d'un disque dur atterrit miraculeusement chez un ou plusieurs journalistes. Puis les révélations qu'ils contiennent font la une, pendant plusieurs jours, de toute la presse mondiale.
Si certaines d'entre elles sont le fait d'individus qui prétendent dénoncer un scandale (comme Edward Snowden, Bradley Manning ou encore Antoine Deltour) ou entendent régler un différend personnel avec leur hiérarchie, la plupart de ces fuites massives de data relèvent d'opérations de cyberespionnage émanant d'acteurs privés, recrutés par des États ou de grands groupes financiers pour déstabiliser leurs adversaires. C'est le principal enseignement que l'on peut tirer de la lecture de la remarquable enquête conduite par Pierre Gastineau et Philippe Vasset (1). Spécialistes en matière de « renseignement », les deux journalistes ont passé deux ans à décortiquer le phénomène. Revenant sur quelques dossiers particulièrement médiatiques, leur ouvrage révèle le nom et le modus operandi d'une dizaine d'entreprises qui ont joué un rôle-clé dans la plupart des « leaks » de ces dernières années. Leur nom n'est pas connu du grand public : Ability, Appin, Circles, Clearsky, Eureka, Global Group, Kela ou Mer Group. On les retrouve pourtant citées dans toutes les affaires récentes de « hacking ».
Un business méconnu
Les premières fuites massives de données remontent à l'été 2005. Elles se sont multipliées après la création, en 2006, du site WikiLeaks par le hacker suédois, désormais équatorien, Julian Assange. Depuis douze ans, une quarantaine de fuites massives de données ont été répertoriées à travers le monde. Si, au départ, ces révélations ont surtout ciblé des acteurs du monde de la défense, du renseignement ou de la politique, elles frappent désormais de plus en plus souvent de grandes sociétés privées. Banques, matières premières, télécoms et même sport, aucun secteur n'est épargné. Certaines de ces fuites organisées ont conduit à des crises diplomatiques : entre le Kazakhstan et la France, le Qatar et les Émirats arabes unis, les États-Unis et l'Iran ou encore la Russie et l'Ukraine. Mais le fait qu'elles aient été commises par des pirates informatiques dont le lien avec les États concernés était difficile à établir a évité toute escalade.
La plupart des entreprises, expertes en exfiltration de données qui commercialisent leur savoir-faire sur le dark web mais ont aussi, parfois, pignon sur rue, sont situées en Russie, en Israël, aux États-Unis ou en Inde. Dans ces quatre pays, il existe un écosystème technologique propice, lié au fait que les agences de « renseignements techniques » nationales ont produit des experts qui poursuivent souvent leur carrière dans le privé, après avoir œuvré pour le compte de leurs États.
« Les opérations de hacking ne sont que le prolongement dans le monde virtuel d'une longue tradition d'opérations secrètes à la frontière du privé et du régalien. Pas étonnant qu'elles soient pilotées in fine par les mêmes stratèges », écrivent Pierre Gastineau et Philippe Vasset. Il y a vingt ans, les anciens policiers se reconvertissaient en détectives privés et les espions retraités, en experts en « intelligence économique ». Aujourd'hui, les spécialistes du renseignement cybernétique fondent leur cabinet de conseil sur ce nouveau marché de la fuite de données. Et, si l'on en juge par la multiplication des officines, le business semble florissant. Il faut dire que les intérêts en jeu sont importants.
La face cachée des « leaks »
Le principal apport de Pierre Gastineau et Philippe Vasset est de décrypter l'origine de certaines de ces fuites. Le Kazakhgate, qui aboutit à la mise en ligne, en 2015, de la correspondance électronique d'un ancien ministre conseiller d'Astana (capitale du Kazakhstan) mais aussi de dizaines de mails de l'ancien patron du renseignement extérieur français Bernard Squarcini, aurait ainsi son origine dans un règlement de comptes intra-kazakh. Les Panama Papers qui secouèrent le monde en 2016 ? Ils auraient été « récupérés » puis disséminés dans le seul but de régler un différend juridique opposant un fonds d'investissement américain et l'État argentin… Derrière le personnage de John Doe, qui a obligeamment livré des milliers de documents volés au cabinet d'avocats Mossack-Fonseca au Consortium international des journalistes d'investigation, se dissimulerait un sous-traitant informatique chargé de débusquer des informations susceptibles de déstabiliser la présidente Cristina Kirchner. Il s'agissait de faire pression sur elle afin que son pays rembourse plus rapidement une partie de sa dette auprès d'un hedge fund (fonds vautour), impatient de récupérer sa mise.
Le FootballLeaks, qui conduisit à mettre au jour les pratiques peu reluisantes d'agents mais aussi celles de joueurs vedettes à travers la planète ? Cette affaire trouverait sa genèse dans un contentieux entre deux grandes fortunes d'Europe centrale. Pour Pierre Gastineau et Philippe Vasset, la face cachée des « leaks » serait, la plupart du temps, à rechercher dans la stratégie offensive de cabinets d'avocats prêts à défendre, par tous les moyens, les intérêts de leurs clients.
Mais ce recours au cyberespionnage n'est pas sans danger. En témoigne l'affaire Weinstein, où les manœuvres du cabinet Black Cube, recruté par le conseil juridique de l'ancien producteur accusé d'agressions sexuelles, ont été rendues publiques, décrédibilisant encore un peu plus l'intéressé. La mésaventure rencontrée par l'officine italienne Hacking Team doit également faire réfléchir. Cette agence spécialisée dans les missions d'espionnage digital avait vu la liste de ses clients et ses méthodes, parfois peu légales, étalées sur la place publique après que des pirates informatiques eurent exploré ses serveurs, en 2015. L'entreprise a fini par mettre la clé sous la porte. On prend toujours un risque à franchir la ligne jaune.