Cybercrime : l’Europe sort les crocs
Si les Etats-Unis nous ont habitués à une politique du “name and shame” en matière de cybercriminalité, la Commission européenne se faisait plus discrète sur ce volet. Mais dans une décision publiée aujourd’hui, la Commission annonce la mise en place de sanctions visant « six individus et trois entités responsables ou impliqués dans diverses cyberattaques ».
Le communiqué indique que les personnes visées par les sanctions sont responsables ou impliquées dans le cadre d’attaques ayant visé l’Organisation pour l’interdiction des armes chimiques, ainsi que dans les attaques WannaCry, NotPetya et enfin l’opération CloudHopper.
WannaCry, NotPetya et CloudHopper
Les deux premiers individus listés dans la décision sont des citoyens chinois, accusés d’avoir fait partie du groupe connu sous le nom de APT10 et d’avoir organisé et facilité la campagne d’attaques malveillantes Cloud Hopper en 2010. Cloud Hopper est une campagne qui a été identifiée par plusieurs sociétés de cybersécurité et l’agence de cybersécurité britannique en 2017. Les membres de ce groupe visaient des fournisseurs de services gérés, à des fins d’espionnage économique. Une organisation chinoise, Tianjin Huaying Haitai Science and Technology Development Co. Ltd, est également visée par les sanctions, pour son implication dans cette campagne.
La décision vise ensuite quatre citoyens russes, accusés d’avoir tenté d’attaquer l’organisation pour l’interdiction des armes chimiques (OIAC) en 2018. « La tentative de cyberattaque visait à pirater le réseau Wi-Fi de l’OIAC, ce qui, en cas de succès, aurait compromis la sécurité du réseau et les enquêtes en cours de l’OIAC. » Cette tentative a été désamorcée par les services secrets néerlandais. Ces quatre citoyens russes sont, selon la Commission européenne, tous membres de la direction générale des renseignements (GRU) de l’Etat-Major des Forces armées de la Fédération de Russie. Cette organisation est également visée par les sanctions de la Commission européenne, qui l’accuse également d’avoir été à l’origine de la diffusion du logiciel malveillant NotPetya en 2017, ainsi que d’avoir mené plusieurs attaques en 2015 et 2016, contre les infrastructures électriques ukrainiennes.
La dernière structure citée dans la décision est une structure nord-coréenne : Chosen Expo ; Korea Export Joint Venture. La commission accuse cette structure d’avoir aidé le groupe APT38, aussi connu sous le nom de groupe Lazarus, bras armé du gouvernement nord-coréen en matière de cyberattaque. La Commission européenne l’accuse d’avoir conçu et diffusé le ransomware WannaCry, ainsi que des cyberattaques ayant visé Sony Pictures en 2016, la banque centrale du Bangladesh, la banque vietnamienne Tien phong et l’autorité de supervision financière polonaise.
Les personnes et structures nommées dans la décision de la Commission se retrouvent sous le coup d’une interdiction d’entrée dans le territoire de l’UE, ainsi qu’un gel des actifs détenus en Europe. La décision interdit également aux ressortissants et organisations européens de transférer des fonds à destination des accusés. Comme l’indique le communiqué de la Commission, c’est une première : le cadre juridique permettant ce type de sanction a été voté en 2019.
La commission pointe du doigt, mais met les gants
Les accusations portées par la Commission européenne recoupent pour beaucoup celles annoncées auparavant par le gouvernement américain. L’un des citoyens chinois avait ainsi déjà été nommé par la justice américaine, tout comme c’était le cas pour l’organisation nord-coréenne Chosun Expo, dont les liens avec le groupe Lazarus avaient été mis en lumière en 2018. Les quatre citoyens russes visés par les sanctions étaient également tous connus de la justice américaine et sont tous répertoriés sur la liste Cyber’s Most Wanted du FBI.
La Commission tient néanmoins à prendre ses distances avec la politique américaine en la matière et rappelle dans son communiqué que « les mesures restrictives ciblées ont un effet dissuasif et doivent être distinguées de l’attribution de la responsabilité à un Etat tiers ». En des termes plus clairs, la Commission se contente ici de nommer des individus et des structures, mais ne porte pas d’accusation directe sur d’autres pays. Les actes d’accusation américains n’ont pas cette subtilité diplomatique et leurs accusations visent clairement les gouvernements étrangers à l’origine des actes qui sont évoqués.
