Le cyberespace est un terrain d’affrontement où se mêlent chiffres, codes et noms de fantaisie. Cozy Bear, Double Dragon et Hidden Cobra sont parmi ces redoutables entités, souvent méconnues du grand public, mais extrêmement influentes sur la scène mondiale.
Examinons Cozy Bear, également nommé APT29, Nobelium ou Midnight Blizzard, souvent lié aux services de renseignement russes, notamment le FSB. Ce groupe s’attaque principalement à des gouvernements, partis politiques et entreprises, et a notamment été impliqué dans le piratage du Comité national démocrate lors de l'élection présidentielle américaine de 2016, ainsi que dans une cyberattaque ciblant les serveurs de messagerie de Microsoft.
À l'opposé, Double Dragon, connu sous le nom d'APT41, est également dans le collimateur des autorités. Un avis de recherche du FBI relate l'identité de cinq hackers chinois liés à ce groupe, qui est de facto rattaché au ministère de la Sécurité de l’État chinois.
On observe également d'autres acteurs aux liens étroits avec des États. Parmi eux, le Lazarus Group (Hidden Cobra), associé à la Corée du Nord, APT41 et Mustang Panda (TA416), liés à la Chine, Sandworm (Voodoo Bear), affilié à la Russie, ainsi qu’OilRig (APT34) et Charming Kitten (APT35), rattachés à l’Iran. Cette constellation révèle l'ampleur d'une cyberguerre diffuse où divers groupes interagissent sur la scène internationale.
Un groupe APT désigne un ensemble de cyberattaquants spécialisés dans des menaces persistantes et avancées. Ces groupes, souvent associés à des états, réalisent des opérations sophistiquées contre des cibles stratégiques, visant le cyberespionnage et le vol de données sensibles.
Afin de mener à bien leurs attaques, ces groupes investissent massivement dans des outils complexes, leur permettant d'exploiter des failles dites “zero-day”, non encore identifiées. Comme le souligne Arnaud Lemaire, expert en cybersécurité chez F5, développer ces outils exige des moyens, du temps et des compétences considérables. "La subtilité réside dans le fait que certains groupes APT peuvent agir de manière criminelle, mais la frontière avec les États reste très fine," précise-t-il.
Ces entités peuvent se manifester de différentes manières : intégrées à des structures étatiques, comme des renseignements militaires, ou indépendantes mais intimement liées à un État, tel que Fancy Bear, souvent associé au GRU russe.
Du côté occidental, des groupes APT demeurent aussi actifs, bien que discrets. Les agences de renseignement, comme la NSA aux États-Unis ou la DGSE en France, sont souvent citées dans ces opérations. L'"Equation Group" lié à la NSA, par exemple, est réputé pour ses cyberespionnages sophistiqués.
Alexis Rapin, analyste en renseignement stratégique, souligne que les lignes entre le cybercrime et le cyberespionnage sont souvent floues. "Chaque nation a son écosystème. La Chine utilise beaucoup le secteur privé, tandis que la Russie adopte une stratégie différente," dit-il.
Les priorités géopolitiques des États
Les motivations de ces groupes sont variées, allant du vol de données à l'espionnage, en passant par le sabotage. Majoritairement, leurs actions sont déterminées par les États qui les soutiennent et les objectifs stratégiques assignés.
En Corée du Nord, par exemple, isolée par des sanctions, la priorité est financière. Le groupe Lazarus, connu pour ses piratages de cryptomonnaies, est estimé avoir causé des pertes dépassant 300 millions de dollars en 2023. Ce type d'opération vise à financer le régime.
À l'inverse, la Russie s'oriente vers des actions de déstabilisation, tandis que la Chine favorise le renseignement et les gains économiques à long terme. Arnaud Lemaire résume bien les doctrines en place : "La Chine mise sur le renseignement, la Russie sur la déstabilisation, et la Corée du Nord sur l'appât du gain," confirme-t-il.
Malgré ces nuances, un fond commun existe : la dimension financière ne peut jamais être négligée. Ces groupes restent étroitement surveillés, tant par les États cibles que par les entreprises de cybersécurité qui tentent d'anticiper les menaces. Ce phénomène mène à une sorte de jeu de chat et de souris dans le cyberespace.
Une traque complexe
“On peut assimiler une enquête cyber à une enquête criminelle classique : on collecte des indices, on analyse les méthodes d'opération pour déduire l'identité d'un groupe,” explique Mathieu Tartare, expert chez ESET. Les méthodes d’anonymisation et l’infrastructure utilisée par les attaquants sont des éléments clés dans l’attribution.
“Éviter une attribution erronée est essentiel. Ce processus doit être rigoureux en utilisant tous les éléments disponibles pour évaluer une hypothèse,” ajoute Andy Piazza de Palo Alto Networks.
Comprendre les méthodes et les objectifs des divers acteurs passe au-delà de la technique pour embrasser des enjeux géopolitiques. Les cyberattaques symbolisent aujourd’hui des rapports de force, des stratégies d’influence et des rivalités d’États. Le numérique devient ainsi un véritable champ de bataille, où chaque action revêt des enjeux nationaux, des alliances, des rivalités ou des tensions internationales.
SÉRIE "CYBERGUERRE" -> Des opérations variées en Ukraine aux cyber-attaques orchestrées par la Corée du Nord, BFM Tech vous plonge dans le vif du sujet. Espionnage, sabotage, désinformation : une guerre sans frontières et sans uniformes. Découvrez comment les États se confrontent à travers le cyberespace. Prochain épisode : "Cyberguerre : le cyberespionnage nord-coréen et les hackers au cœur d'un État sous sanctions".
