La méthode est ingénieuse : envoyer un message contenant une pièce jointe piégée, depuis une boîte mail volée à son propriétaire, en général un membre du ministère des Affaires étrangères. C’est la stratégie du groupe de hackeurs Nobelium, comme l’explique un rapport de l’Agence nationale de la sécurité des systèmes d’information (Anssi), le service chargé de la cybersécurité de l’Etat français, publié mercredi 19 juin. Egalement appelé phishing ou hameçonnage, cette méthode permet aux hackeurs de se faire passer pour un tiers de confiance et d’avoir accès à des informations confidentielles.

Nobelium, aussi connu sous le nom de Midnight Blizzard, est actif depuis octobre 2020, mais ce n’est que la dernière en date des émanations d’APT29, un groupe qui attaque des organismes gouvernementaux, des entités diplomatiques, des think tanks et des partis politiques depuis 2008. Malgré cette longue expérience dans la cyberattaque, les tentatives d’intrusion qui ciblaient des diplomates français ont été pour la plupart infructueuses, selon l’Anssi. Notamment grâce au “comportement approprié” des personnels diplomatiques, comme à l’ambassade de France en Roumanie, en mai 2023.

Les tentatives sont nombreuses et créatives. En avril et mai 2022, des dizaines d’adresses e-mail de diplomates français sont touchées par des courriels leur proposant un rendez-vous avec l’ambassadeur du Portugal ou annonçant la fermeture d’une ambassade ukrainienne. En mai 2023, plusieurs ambassades européennes à Kiev, dont celle de la France, reçoivent des e-mails ayant pour objet une “voiture diplomatique à vendre”. Des sujets surprenants pour éveiller la curiosité des cibles et les faire cliquer sur le message, voire sur la pièce jointe. Ces campagnes d’hameçonnage ont tendance à être très convaincantes, en imitant parfaitement la forme des courriers reçus par les fonctionnaires du Quai d’Orsay.

Groupes liés aux renseignements russes

Le groupe Nobelium a parfois même recours à l’usurpation d’identité pour piéger d’autres diplomates étrangers. En mars 2022, par exemple, un e-mail est envoyé depuis l’adresse e-mail d’un diplomate français à une ambassade européenne en Afrique du Sud pour l’informer de la fermeture de l’ambassade française en raison d’un acte terroriste. Le but est simple : s’infiltrer discrètement dans le système informatique de sa cible et y récolter des informations et des données stratégiques, aussi bien sur le fonctionnement interne de l’organisation, mais aussi sur leur système de cyberdéfense, pour mieux pouvoir le contourner lors de prochaines attaques.

Pour l’Anssi, ces campagnes d’intrusion sont directement liées au SVR, le renseignement extérieur russe, très proche du Kremlin. Avec le FSB, renseignement intérieur, et le GRU, renseignement militaire, le SVR est un des piliers de l’appareil sécuritaire qui donne à la Russie sa grande capacité de projection et de nuisance dans le monde. L’Anssi dit d’ailleurs avoir observé “un niveau élevé d’activités liées à Nobelium dans le contexte récent de tensions géopolitiques, en particulier en Europe, liées à l’agression de la Russie contre l’Ukraine”. Pour lutter contre cette recrudescence, l’Union européenne met en place de nouveaux outils, comme un “bouclier cyber” ou une réserve de volontaires pour prévenir les attaques.

Les moyens du groupe Nobelium laissent aussi penser que celui-ci n’agit pas seul. “Les capacités mises en œuvre pour maîtriser un nombre aussi important de boîtes mail, la persistance des attaques et les efforts déployés pour falsifier les documents de référence indiquent que Nobelium opère presque certainement pour le compte d’un acteur étatique”, explique le rapport de l’Anssi.

Microsoft également touché

Si les diplomates sont des cibles privilégiées dans le contexte géopolitique actuel, les grandes entreprises privées sont aussi visées par ce type d’attaques, car elles permettent de toucher d’autres cibles, par rebond : leurs clients. En 2020, Nobelium était à l’origine du piratage massif de la société de logiciels SolarWinds, qui comptait parmi ses clients plusieurs branches stratégiques du gouvernement américain.

Mais c’est surtout le géant Microsoft qui fait régulièrement état de cyberattaques venant de ce groupe. En novembre 2023, l’entreprise a révélé que les boîtes mail des équipes de cybersécurité et de plusieurs cadres avaient été ciblées par Nobelium pour en exfiltrer des informations sur les opérations internes de Microsoft. “Cela inclut l’accès à certains référentiels de code source de l’entreprise”, a souligné Microsoft dans une note de blog, évoquant les fichiers qui permettent la programmation d’un logiciel.

“Certains de ces secrets ont été partagés entre des clients et Microsoft dans des courriels, et au fur et à mesure que nous les découvrons dans nos courriels exfiltrés, nous avons pris contact avec ces clients pour les aider à prendre des mesures d’atténuation”, a garanti la firme. Mais en attendant, ce code source peut être utilisé par Nobelium pour préparer de nouvelles campagnes d’intrusion en espérant, cette fois, ne pas être détecté.