Le groupe APT31 s’en prend aux routeurs et inquiète l’Anssi

Spread the love
Le groupe APT31 s’en prend aux routeurs et inquiète l'Anssi

« APT31 – Parce que, malheureusement, il y a encore bien plus grave que les bourricots ailés et leurs avatars… », a publié sur LinkedIn le directeur de l’Anssi (Agence nationale de la sécurité des systèmes d’information), Guillaume Poupard, attirant l’attention sur une publication du CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques). Cette dernière invite les entreprises à se protéger face à une campagne d’attaques détectées par ses services et visant les routeurs. Pour le directeur de l’agence, elle est « bien plus grave » que les considérations sur le logiciel Pegasus, désigné ici par l’expression « bourricot ailé ».

Comme l’explique l’avis du CERT-FR, « l’Anssi traite actuellement une vaste campagne de compromission touchant de nombreuses entités françaises. Cette dernière, toujours en cours et particulièrement virulente, est conduite par le mode opératoire APT31. Les investigations montrent que ce mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques ».

Le CERT-FR accompagne son alerte d’une série d’indicateurs de compromission visant à aider les organisations à détecter de potentielles activités malveillantes liées à cette campagne d’attaque sur les systèmes, et demande aux organisations ayant identifié des incidents en lien avec cette campagne de prendre contact avec le CERT-FR. L’Anssi ne donne pas le nombre ou le type de victimes de cette campagne d’attaques.

publicité

La critique est aisée, mais l’attribution est difficile

Le groupe APT31 a récemment été identifié par l’agence de cybersécurité britannique comme l’un des groupes à la manœuvre dans le piratage du parlement finlandais en 2020. Le groupe est habituellement associé aux intérêts du gouvernement chinois et fait partie des groupes mentionnés dans les accusations publiées en début de semaine par les Etats-Unis, l’OTAN (Organisation du traité de l’Atlantique nord), l’Union européenne (UE) et plusieurs autres pays occidentaux.

La France ne s’est pas associée à ces attributions publiques : il est rare que le gouvernement attribue de manière officielle et publique une cyberattaque à un pays tiers, préférant généralement privilégier les voies diplomatiques pour répondre. L’Anssi se défend de son côté de faire de l’attribution : le directeur de l’agence s’est exprimé à plusieurs reprises pour indiquer que cette charge incombait plutôt aux responsables politiques et que l’agence se contentait de qualifier les attaques d’un point de vue technique, sans chercher à dénoncer les commanditaires. Une ligne que le directeur de l’agence défendait déjà en 2017, suite aux attaques ayant visé la campagne d’Emmanuel Macron pendant l’élection présidentielle.

Mais l’Anssi a publié en début d’année des avis concernant les attaques menées par certains groupes proches ou soutenus par des gouvernements étrangers : le dernier avis de ce type était celui concernant une attaque menée par le groupe Sandworm, un groupe proche des intérêts russes qui aurait attaqué la société Centreon pendant une période de trois ans. Ces avis sont généralement dépourvus de références au pays d’origine du groupe évoqué, mais l’utilisation de la nomenclature des sociétés de cybersécurité pour désigner les « modes opératoires » à l’œuvre permet d’identifier les groupes évoqués et indirectement d’attirer l’attention sur les activités de certains Etats. Des sociétés comme FireEye ou Mandiant utilisent en effet ces mêmes noms pour désigner les groupes, et ne se privent pas de préciser les liens qu’ils entretiennent avec des gouvernements étrangers. Une attribution qui ne dit pas son nom, mais qui permet à la France de faire savoir à un attaquant que ses activités sont dans le radar des autorités.

Leave a Reply