Selon un rapport récent de l’Agence nationale de la sécurité des systèmes d’information (Anssi), depuis 2021, un rassemblement de hackers associé à l’agence de renseignement russe (SVR) a lancé une offensive sophistiquée ciblant des représentants diplomatiques et des ambassades françaises. Ce rapport a été rendu public le mercredi 19 juin.
L’étude détaille une multitude d’efforts de cyberattaques menés par ce consortium, surnommé Nobelium ou Midnight Blizzard par les spécialistes en sécurité informatique. Leur méthode d’attaque était uniforme, elle impliquait l’envoi d’emails contenant un fichier corrompu, souvent à partir d’un compte volé à son propriétaire légitime, habituellement un employé du corps diplomatique français ou foreign. Les assauts scrutés par l’Anssi ne sont pas parvenus à permettre à leurs instigateurs de prendre possession d’infrastructures essentielles, selon ce que l’agence a rapporté, en grande partie en raison de la réaction adéquate des employés diplomatiques concernés. Par exemple, lors d’une tentative de piratage visant l’ambassade de France en Roumanie en 2023.
Les cybercriminels associés au SVR ont été particulièrement inventifs pour persuader leurs cibles d’ouvrir les pièces jointes corrompues. En avril et en mai 2022, un nombre considérable de courriels du ministère des affaires étrangères ont reçu des messages malveillants annonçant la clôture d’une ambassade ukrainienne ou proposant un entretien avec l’ambassadeur du Portugal. En mai 2023, l’ambassade française à Kiev et d’autres ambassades européennes ont reçu un email offrant une « voiture diplomatique » à la vente.
« Menace pour la sécurité nationale ».
Dans certains scénarios, Nobelium s’est approprié l’identité de diplomates français pour tenter d’entraper des ambassades étrangères. Au mois de Mars 2022, une ambassade européenne située en Afrique du Sud a reçu un message qui prétendait provenir de l’ambassade française, signalant que celle-ci fermait ses portes suite à une menace terroriste. Pourtant, l’email provenait réellement de Nobelium, qui avait réussi à pirater le compte email d’un diplomate français.
L’Anssi note que le groupe a été très actif au cours des dernières années, en correlation avec la situation de tensions géopolitiques, en particulier en Europe, en raison de l’attaque de l’Ukraine par la Russie. Ces tentatives de piratage constituent une menace pour la sécurité nationale et compromettent les intérêts diplomatiques français et européens, selon l’agence.
Cependant, les cibles de Nobelium ne sont pas uniquement concentrées dans le domaine de la diplomatie. Le groupe a également mené plusieurs campagnes de très haut niveau contre des entreprises privées, dont Microsoft. Au début de 2024, la société a révélé que le groupe avait réussi à s’emparer de son code source, un outil essentiel pour la création de nouvelles armes d’attaque ou la découverte de vulnérabilités logicielles.