FSB : l’Agence de Renseignements Russe Hackée

Certains ont vu rouge à Moscou ce weekend, quand la nouvelle s’est répandue que des hackers avaient réussi à s’infiltrer dans le FSB – le Service de Sécurité de la Fédération Russe. Les hackers sont parvenus à dérober 7,5 téraoctets de données à un sous-traitant majeur du service, révélant les projets secrets du FSB de retirer l’anonymat de la navigation Tor, de scraper les réseaux sociaux, et d’aider l’État à couper son internet du reste du monde. Les données ont été transmises à des organes de presse traditionnels dans le but de les publier.

Le FSB est la principale agence de sécurité russe qui entretient des relations avec le FBI et le MI5, mais son mandat va au-delà du renseignement national pour inclure la surveillance électronique à l’étranger et une surveillance importante de la collecte de renseignements. C’est le principal successeur du tristement célèbre KGB, rendant directement des comptes au président russe.

Une semaine auparavant, le 13 juillet, un groupe de hackers agissant sous le nom de 0v1ru$ qui avait infiltré une faille de SyTech, un sous-traitant majeur du FSB travaillant sur un éventail de projets internet, avait laissé un Yoba Face souriant, un émoji très populaire auprès des utilisateurs russes qui signifie « trollé », sur la page d’accueil de SyTech aux côtés d’images mimant la faille. 0v1ru$ avaient transmis les données en elles-mêmes à un groupe plus large de hackers, Digital Revolution, qui avait ensuite partagé les fichiers avec divers organes de presses et avait fait la une de Twitter – raillant le FSB en disant que l’agence devrait peut-être renommer l’une de ses activités découvertes « Projet Collander ».

Sur le site de Digital Revolution, on peut trouver une partie des documents en question « publiés il y a deux mois ». Digital Revolution a déjà ciblé le FSB par le passé. On ignore à quel point les deux groupes de hackers sont liés.

BBC Russie a annoncé qu’0v1ru$ avait infiltré les serveurs de SyTech, et a également partagé des détails des cyber-projets controversés, dont le scraping des réseaux sociaux (y compris Facebook et LinkedIn), la collecte ciblée de données, et la « dé-anonymisation des utilisateurs du navigateur web Tor ». La BBC a décrit la faille comme étant possiblement « la plus grande faille de données de l’histoire des services de renseignement russes. »

En plus de défigurer la page d’accueil de SyTech avec un Yoba Face, 0v1ru$ a également fourni le détail des noms des projets exposés : « Arion », « Relation », « Hryvnia », aux côtés des noms des chefs de projet de SyTech. Le rapport de la BBC déclare qu’aucun véritable secret d’État n’a été révélé.

Les projets en eux-mêmes semblent être un mélange de scraping des réseaux sociaux (Nautilus), de collecte ciblée des données à l’encontre des utilisateurs d’Internet cherchant à anonymiser leurs activités (Nautilus-S), de collecte de données ciblant des entreprises russes (Mentor), et de projets ayant apparemment trait à l’initiative russe en cours de créer une option permettant d’isoler son réseau national du World Wide Web (Hope et Tax-3). La BBC affirme que les projets de SyTech étaient pour la plupart sous-traités à l’Unité Militaire 71330, faisant partie du 16^ème Directorat du FSB qui gère le renseignement sur les transmissions, ce même groupe étant accusé d’avoir envoyé par email un logiciel espion à des officiers du renseignement ukrainien en 2015.

Nautilus-S, le projet de dé-anonymisation de Tor, a en fait été lancé en 2012 sous le mandat du Kvant Research Institute, qui agit sous la direction du FSB. La Russie a cherché des moyens de compromettre les liens au sein de la structure de Tor afin d’empêcher les communications hors réseau ou d’intercepter ces communications. Rien de nouveau dans tout cela, et d’aucuns pensent que des progrès ont été réalisés dans le cadre de ce projet. Digital Revolution affirme d’autre part avoir déjà piraté le Kvant Research Institute.

Les activités préparatoires à la scission d’un « Internet russe » font suite à la signature par le président russe Vladimir Poutine des dispositions législatives relatives au « fonctionnement stable de l’Internet russe (Runet) au cas où celui-ci serait déconnecté de l’infrastructure mondiale du World Wide Web ». La loi mise en route prévoit un autre système de nom de domaine (DNS) pour la Russie dans l’éventualité où celle-ci serait déconnectée du World Wide Web ou, selon les suppositions, dans le cas où ses politiciens jugeraient une telle déconnection comme étant bénéfique. Les fournisseurs d’accès à Internet seraient alors obligés de se déconnecter de tout serveur étranger, en s’appuyant à la place sur le DNS de la Russie.

Rien ne vaut vraiment la peine d’être signalé dans les projets révélés ici ; ils étaient tous connus ou attendus. Ce qui est remarquable, en revanche, c’est la faille en elle-même, son ampleur, et sa facilité apparente. Les sous-traitants demeurent un maillon faible dans la chaîne des renseignements du monde entier – pour souligner ce point, pas plus tard que la semaine dernière, un ancien sous-traitant de la NSA a été emprisonné aux États-Unis pour avoir volé des secrets pendant deux décennies. Et les retombées d’Edward Snowden se poursuivent encore de nos jours.

Digital Revolution a transmis ces informations aux journalistes sans en éditer, retirer ou changer aucun aspect – selon eux. On sait au final peu de choses sur 0v1ru$, et le groupe n’a fait aucun commentaire à ce jour.