2016, Bas les masques sur les cyber opérations offensives des Etats (Par François Delerue, CEIS)
![Image [Offensive russe] sur la « souveraineté numérique » en Afrique](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-885x690.jpeg)
![Image Un site du [gouvernement français] visé par des nationalistes turcs](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Le groupe pro-russe APT29 cible des [élus allemands du CDU]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-group-people-2024-885x690.jpg)
![Image [ALPHV/BlackCat] prétend avoir été victime d’une saisie judiciaire](https://incyber.org//wp-content/uploads/2024/03/alphv-blackcat-pretend-avoir-ete-victime-saisie-judiciaire-incyber-885x690.jpeg)
Le développement des technologies de l’information et de la communication, et plus particulièrement la création de l’Internet, représentent un progrès formidable pour l’humanité. Cette évolution technologique amène de nouvelles perspectives en termes d’éducation et de circulation des savoirs, de communication, et de développement économique et humain. Un certain nombre d’acteurs ont cependant rapidement compris le potentiel d’Internet et des réseaux informatiques pour la poursuite et le développement de leurs activités malveillantes et belliqueuses.
Il est ainsi de notoriété publique que de nombreux Etats développent des arsenaux numériques. L’objectif affiché est de se doter des capacités nécessaires pour défendre leurs réseaux informatiques. Mais derrière cet impératif de sécurité se cache la plupart du temps un second objectif, moins avouable : le développement de capacités offensives permettant de mener des opérations contre des individus, des groupes, mais aussi d’autres Etats. Ces affrontements clandestins ont même donné lieu depuis une dizaine d’années à une véritable guerre de l’information, de nombreux Etats s’accusant mutuellement ou étant accusés, souvent par des sociétés spécialisées, de mener, directement ou indirectement, des cyber opérations de grande envergure. Ce fut par exemple le cas des attaques DDoS contre l’Estonie, la Lituanie et la Géorgie ou bien encore du virus Stuxnet. Découvert en 2010, le virus Stuxnet, qui visait le programme nucléaire iranien et a entrainé la destruction de plusieurs centrifuges dans la centrale de Natanz, aurait ainsi été conçu par la NSA en collaboration avec l’Armée de défense d’Israël. Autre événement marquant : les révélations Snowden, en 2013, qui ont mis en lumière certaines capacités d’espionnage numérique que le gouvernement américain aurait probablement préféré garder secrètes…
L’année 2016 marque un tournant historique dans cette perspective : deux des principales puissances militaires et numériques du monde ont vu leurs activités numériques secrètes exposés au grand jour. Et ces révélations se distinguent des précédentes : en plus des habituelles allégations de responsabilité des Etats pour telle ou telle opération, elles lèvent en effet un coin du voile sur la structure et le fonctionnement des capacités numériques des Etats concernés.
D’un côté, c’est au cœur de l’été 2016 que des hackers se faisant appeler The Shadow Brokers ont choisi d’annoncer qu’il avait dérobé plusieurs cyberarmes appartement à l’Equation group et de publier des preuves du lien entre l’Equation group et la NSA.[1] Ces révélations ont permis d’assembler les pièces d’un grand puzzle, impliquant notamment les révélations d’Edward Snowden, permettant à la société Kaspersky de retracer et d’exposer au grand jour les activités numériques de l’Equation group. D’un autre côté, le piratage et la publication en ligne par Wikileaks des documents du Parti démocrate américain, ont marqué le début d’un feuilleton conduisant à la mise en lumières des cyber activités du FSB et du GRU, deux services de renseignement russes.
Ces deux évènements appellent deux remarques : premièrement, il est intéressant de noter que ces révélations et la mise en lumière des activités des deux groupes concernés sont intervenues dans un laps de temps très court. Ainsi, les deux grandes puissances militaires et numériques que sont les Etats-Unis et la Russie, prônant depuis plusieurs années l’adoption de mesures visant à limiter les comportements numériques belliqueux, se sont fait prendre la main dans le sac en même temps. Cette situation conduit au final à un match nul sur le plan diplomatique et international pour ces deux nations. La deuxième remarque concerne les auteurs de ces révélations. D’un côté, c’est la société russe Kaspersky qui effectué la majeure partie du travail d’analyse des outils de l’Equation group et qui a permis de révéler l’ampleur des activités américaines. De l’autre, ce sont des sociétés américaines de cybersécurité, notamment Crowdstrike, qui ont permis de lever le voile sur les activités des services de renseignement russes. Le rôle clef joué par Kaspersky et Crowdstrike dans ces révélations montrent aussi l’importance du secteur privé, rôle sur lequel nous reviendrons ultérieurement.
27 ans après la chute du Mur de Berlin, puis celle de l’URSS, et la fin de la Guerre froide, les révélations sur les activités numériques conduites pour le compte des Etats-Unis et de la Russie par l’intermédiaire de divers groupes ressemblent étrangement aux activités secrètes conduites par les deux blocs par l’intermédiaire de groupes proxys. Que retenir de ces révélations ? Quelles conséquences sur l’ordre international ?
L’Equation Group : la boîte-à-outils numérique de la NSA
Le 13 août 2016, des hackers se faisant appeler The Shadow Brokers, annoncaient sur leurs comptes Twitter la publication sur Pastebin d’un grand nombre de données appartenant à un groupe d’individus supposés travailler pour le compte de la NSA, l’Equation group[2]. Ces révélations s’accompagnent de la vente aux enchères d’un certain nombre de fichiers dérobés à l’Equation group. Le compte Pastebin de The Shadow Brokers met donc à disposition deux séries de deux documents contenus dans deux archives distinctes chiffrées en PGP. Une première archive nommée <eqgrp-free-file.tar.xz.gpg> dont la clef de chiffrement est diffusée sur la même page Pastebin sert à prouver l’authenticité des fichiers proposés par The Shadow Brokers. La seconde archive <eqgrp_auction_file.tar.xz.asc> est librement téléchargeable, mais seul le vainqueur de la vente aux enchères se verra envoyer la clef de déchiffrement.
L’Equation group auquel auraient été dérobées les cyberarmes mises aux enchères par The Shadow Brokers avait déjà fait parler de lui par le passé. L’entreprise russe de cybersécurité Kaspersky avait en effet déjà attribué à ce groupe, baptisé The Equation group en raison de leur prédilection pour l’usage de protocoles de chiffrement fort, certaines cyber opérations. Le groupe utilise notamment une méthode spécifique d’implémentation des algorithmes de chiffrement RC5 et RC6[3] qui est plus efficiente sur certains matériels que la méthode usuelle et permet donc de gagner en furtivité. Or une implémentation quasi-identique se retrouve au sein des outils révélés par The Shadow Brokers, ce qui atteste de l’authenticité des outils publiés.
Les révélations de Kaspersky sur l’Equation group remontent à février 2015 et la publication du document Equation Group : Questions and Answers[4]. Les équipes de Kaspersky ont étudié 500 cyber opérations conduites par l’Equation group dans 42 Etats différents, précisant que le nombre d’infections pourrait atteindre plusieurs dizaines de milliers étant donné le protocole d’autodestruction employé, lequel rend difficile leur recherche et leur identification.
Cette analyse a permis de mettre en lumière les différentes familles de malwares utilisés par l’Equation group. Kaspersky avait aussi identifié un lien entre différents malwares de l’Equation group et d’autres malwares connus, notamment Stuxnet, montrant notamment les liens extrêmement forts entre leurs outils et Stuxnet (méthodes et exploits utilisés), et indiquant que l’Equation Group et les développeurs de Stuxnet étaient vraisemblablement les mêmes ou travaillaient a minima en étroite collaboration.
Après la découverte de la fuite, la NSA aurait activé ses propres sondes pour détecter l’utilisation de ces outils par des parties tierces, notamment les agences chinoises ou russes. The Intercept en a d’ailleurs profité pour publier des documents inédits fournis par Edward Snowden décrivant l’un des outils et expliquant aux opérateurs comment tracer son utilisation à l’aide d’une empreinte de 16 caractères[5], illustrant ainsi l’usage des sondes. Cette initiative aurait pu permettre à la NSA d’identifier les services étrangers ayant d’une façon ou d’une autre obtenus les outils volés, mais il semble que cela n’a pas été le cas.
Les révélations de The Shadow Brokers et la mise en vente des outils en août 2016 s’inscrivent dans la suite des travaux de Kaspersky, et ne constituent pas des révélations inédites puisqu’elles reprennent pour l’essentiel celles déjà faites en 2015. Si elles ne sont pas inédites, elles vont néanmoins servir d’élément déclencheur permettant à Kaspersky d’assembler progressivement les pièces du puzzle, aboutissant à la mise à nu de l’arsenal numérique américain.
Ni le gouvernement américain, ni la NSA[6], n’ont aujourd’hui reconnu leur lien avec l’Equation group. Mais les différentes révélations et analyses laissent aujourd’hui assez peu de place pour le doute. Il est donc très vraisemblable que les personnes se cachant derrière l’Equation group travaillent pour le compte de la NSA[7]. Si ces liens apparaissent aujourd’hui incontestables, il appartiendra à de prochaines révélations et analyses d’identifier la réalité juridique et structurelle de ce lien, et plus largement de révéler ce qu’est l’Equation group. S’agit-il de hackers isolés ou d’un groupe structuré travaillant indirectement pour la NSA, voire d’une composante de la NSA ? Quel degré de contrôle exercent la NSA et le gouvernement américain sur les activités de l’Equation group ? Tant que ces questions resteront sans réponse, il demeurera impossible d’imputer juridiquement les comportements de l’Equation group aux Etats-Unis et d’invoquer leur responsabilité, voire de prendre des contre-mesures du point de vue du droit international pour y répondre.
Autre question à se poser à propos des révélations de The Shadow Brokers sur les agissements de la NSA et de l’Equation group : qui se cache derrière le groupe The Shadow Brokers ? Dans une série de tweets publiés juste après les révélations d’août 2016, Edward Snowden suggère que la Russie serait impliquée dans ces révélations[8]. Reuters propose une analyse similaire[9]. Certains veulent en effet voir la main de la Fédération de Russie derrière ces révélations, avec pour intention de porter atteinte à l’image américaine et de mettre en lumière son comportement agressif dans le monde numérique. Certains vont mêmes jusqu’à suggérer que ces révélations serait liées aux piratages du Parti démocrate et révélations concomitantes, intervenues un mois auparavant[10].
Fancy Bear et Cozy Bear : les bras armés numériques des services de renseignement russes
Le 22 juillet 2016, le site internet Wikileaks publie 19 252 emails et 8 034 pièces jointes dérobés au Democratic National Committee (DNC), l’instance dirigeante du Parti démocrate américain[11]. Cette fuite de documents est intervenue durant les primaires du parti pour les élections présidentielles de Novembre 2016, perturbant ainsi le processus de vote interne et entrainant la démission d’un certain nombre de cadres du Parti. Le Parti démocrate était déjà au courant du piratage et du fait que des documents avaient été dérobés quelques mois avant leur publication sur Wikileaks. Il avait alors fait appel à la société américaine de cybersécurité CrowdStrike pour enquêter sur ce piratage[12]. En juin 2016, CrowdStrike publie ses conclusions : le piratage serait le fait de deux groupes distincts, affublées des surnoms de Cozy Bear et Fancy Bear, groupes sur lesquels nous reviendront plus loin, qui agiraient de manière indépendante mais simultanée dans les réseaux informatiques du Parti démocrate[13]. Deux groupes qui ne se seraient d’ailleurs pas limités au piratage du Parti démocrate, puisqu’ils auraient aussi visé, toujours dans le cadre des élections américaines, le Parti républicain mais de manière moins intense, ainsi que d’autres institutions et think-tanks[14].
Le 7 octobre 2016, le Département de la sécurité intérieure et le Directeur du renseignement national (Office of the Director of National Intelligence) publient un communiqué conjoint affirmant qu’ils étaient convaincus de la responsabilité du gouvernement de la Fédération de Russie dans divers piratages et la publication en ligne des documents du parti démocrate[15]. Le 10 octobre 2016, la Présidence américaine annonce que le gouvernement américain va adopter une réponse proportionnée aux piratages russes. La réponse du gouvernement américain a pris deux formes distinctes. Premièrement, la prise de nouvelles sanctions à l’encontre de la Russie et d’un certain nombre d’individus[16]. Par ailleurs, le 29 décembre 2016, le Président américain a annoncé sa décision d’expulser 35 diplomates russes des Etats-Unis en réponse aux piratages et tentatives d’ingérence dans le processus électoral américain[17]. Ces derniers ont quitté le territoire américain le 1er janvier 2017[18]. Deuxièmement, il semblerait que les Etats-Unis aient eu recours à des mesures extrajudiciaires sans l’avoir officiellement reconnu jusqu’à présent, notamment des cyber opérations à l’encontre d’intérêts russes. Fin octobre 2016, des hackers ukrainiens se faisant appeler Cyber Hunta ont piraté des comptes emails associés à Vladislav Surkov, un proche conseiller du Président russe, et ont publié un certain nombre d’emails et de documents en ligne, prouvant notamment l’implication russe dans les mouvements séparatistes dans l’Est de l’Ukraine[19]. Certains commentateurs y voient la réponse américaine au piratage du Parti démocrate, sans que les Etats-Unis n’aient pour le moment validé cette hypothèse.
Après ce bref exposé des faits ayant conduit aux révélations concernant Fancy Bear et Cozy Bear, revenons maintenant sur l’identité de ces deux groupes. CrowdStrike conclut qu’il s’agit de deux groupes déjà identifiés dans des piratages précédents, visant notamment des institutions américaines, des universités, des think-tanks et des ONGs. Ils sont considérés comme liés aux services de renseignement russes[20]. Dans un document conjoint, le FBI et le Département de la sécurité intérieure ont identifié et analysé le modus operandi de ces deux groupes pour les différents piratages ayant émaillé l’élection présidentielle américaine de 2016. Ce document vient compléter le document publié le 7 octobre 2016, dans lequel ils avaient officiellement attribué ces piratages à ces deux groupes, et par voie de conséquence, à la Fédération de Russie[21].
Cozy bear se rapporte à l’APT 29. La signature de ce groupe a déjà été identifiée par différentes entreprises de cybersécurité dans le cadre de plusieurs piratages. Outre Cozy Bear, ce groupe est aussi parfois appelé CozyCar, The Dukes ou encore CozyDuke. Il s’agirait d’un groupe de hackers qui seraient probablement liés au Service fédéral de sécurité de la Fédération de Russie, le FSB (ex-KGB). Ce groupe est considéré comme responsable de piratages ayant visé des institutions américaines notamment la Maison blanche, le Département d’Etat, ou bien encore le Comité des chefs d’état-major interarmées (Joint Chiefs of Staff)[22].
Fancy Bear se rapporte lui à l’APT 28, aussi appelé Pawn Storm, Sofacy Group, Sednit ou encore Strontium dans le cadre d’autres piratages. Ce groupe est considéré comme lié à la Direction générale des renseignements de l’État-Major des forces armées de la Fédération de Russie (GRU). Ce groupe est considéré comme responsable de piratages ayant visé le Bundestag (Parlement allemand), TV5 Monde, la Maison blanche et plus récemment l’OSCE[23].
Selon le rapport publié par le FBI et le Département de la sécurité intérieure, ces deux groupes utilisent deux techniques différentes pour accéder aux données de leurs cibles. D’un côté, APT 29[24] est connu pour avoir recours à des techniques d’harponnage (spearphishing) combinant à la fois des techniques de phishing et des techniques d’ingénierie sociale. Par cette technique, il propage des liens URL renvoyant vers des sites hébergeant des scripts malveillants qui, une fois exécutés par les cibles, permettent de compromettre leurs ordinateurs via l’installation d’outils d’administration à distance (RATs – Remote Access Tools). De l’autre, APT 28 est connu pour avoir recours à des sites imitant l’aspect des sites légitimes pour piéger les utilisateurs et obtenir leurs informations de connexion. Une fois qu’ils ont eu accès aux ordinateurs cibles, ces deux groupes utilisent ensuite un modus operandi assez similaire pour exfiltrer les données et en tirer des renseignements utiles.
Concernant le piratage du Parti démocrate, APT 29 aurait conduit une campagne de phishing avec succès contre celui-ci dès l’été 2015 et avait donc accès à ses systèmes d’information depuis lors. De son côté, APT 28 aurait conduit une campagne de phishing par email invitant les utilisateurs visés à entrer leur mot de passe sur un faux site internet reproduisant celui de leur service de messagerie électronique au printemps 2016, et aurait alors obtenu l’accès aux emails et documents du Parti démocrate[25]. Cet exemple illustre l’absence probable de coordination entre ces deux groupes, ou alors une volonté de brouiller les pistes et masquer la réalité de leur coopération.
Dernière question : comme pour l’Equation group, peut-on savoir qui se cache derrière Fancy Bear et Cozy Bear ? Sont-ils des agents du FSB et du GRU ou des individus travaillant indépendamment, seul ou au sein de groupes structurés, et agissant sous un certain contrôle de ces agences de renseignement ? Cette question reste encore aujourd’hui non résolue. Elle constitue pourtant un prérequis pour permettre aux autres Etats, notamment aux Etats-Unis, d’imputer les actions de ces groupes à la Fédération de Russie et d’engager sa responsabilité internationale.
Conséquences des révélations sur l’Equation Group, Fancy Bear et Cozy Bear
Les Etats-Unis et la Fédération de Russie, deux des plus importantes puissances militaires et numériques du XXIème siècle, sont depuis longtemps considérés comme responsables d’un grand nombre d’opérations offensives dans le cyberespace. Mais les révélations de 2016 marquent un tournant.
Premièrement, elles permettent pour la première fois d’entrevoir de manière globale la structure et le modus operandi des programmes de cyber attaques des Etats-Unis et de la Fédération de Russie. Elles lèvent un peu plus le voile sur l’importance des cyber opérations que conduisent ces deux pays en assemblant les pièces d’un puzzle géant démontrant comment ces Etats conduisent volontairement, et en toute impunité pour le moment, des cyber opérations visant d’autres Etats.
Deuxièmement, ces révélations montrent comment ces deux Etats ont aujourd’hui intégré le domaine numérique dans leur arsenal militaire et de mesures extrajudiciaires. Elles illustrent notamment comment ils répondent à des cyber opérations, utilisant un panachage de réponses cyber et non-cyber, notamment la prise de sanctions et de mesures extrajudiciaires.
Troisièmement, ces révélations sont aussi un signal envoyé aux autres Etats concernant leurs capacités numériques et l’étendue des opérations qu’ils mènent. Le piratage du Parti démocrate et les tentatives d’ingérence dans les élections américaines, dont il est difficile d’évaluer l’effet réel, sont un signal fort envoyé à d’autres Etats concernant les risques concernant leurs propres élections à venir. Certains expriment ainsi déjà leur inquiétude concernant des élections de grande importance prévues en 2017, notamment l’élection présidentielle française, l’élection présidentielle iranienne et les élections législatives allemandes[26].
Ce risque va par ailleurs trouver un écho particulier dans un certain nombre de pays de l’est de l’Europe. Les attaques DDoS contre l’Estonie en 2007, considérées comme ayant été conduites par la Fédération de Russie, ont ravivé un certain nombre de craintes dans ces pays sur les risques d’ingérence de la Russie dans leurs affaires intérieures. L’année 2016 va probablement renforcer ces craintes pour deux raisons : d’un côté, l’exemple américain rappelle à la fois qu’un tel scenario est toujours possible et révèle l’étendue des capacités russes ; d’un autre côté, le Président américain élu, Donald Trump, a déjà indiqué qu’il ne viendrait probablement pas automatiquement en aide aux Etats baltes en cas d’ingérence russe[27]. Et la récente annonce du piratage de l’OSCE ne va pas faire baisser les tensions…
Quatrièmement, la mise en lumière des activités numérique malveillantes, voire belliqueuses, de ces deux nations démontre qu’ils sont très loin de respecter les principes d’usage pacifique qu’ils mettent en avant au niveau international. En effet, les Etats-Unis et la Fédération de Russie se targuent aujourd’hui d’être des Etats moteurs dans le développement d’un cyberespace sûr et utilisé de manière pacifique par les Etats. Ces deux Etats sortent donc affaiblis de ces révélations sur le plan international. La situation est en effet similaire à celle ayant suivi les révélations d’Edward Snowden. S’ils n’ont jamais été dupes, les autres Etats disposent aujourd’hui d’éléments permettant d’engager la responsabilité politique de ces deux Etats, ce qui leur ouvre ainsi de nouvelles opportunités. La République Populaire de Chine, souvent considérée comme un Etat belliqueux au plan numérique est passée au second plan. Une nette diminution des cyber attaques chinoises contre les intérêts américains suite aux différentes discussions menées par ces deux pays sur ce sujet aurait, il est vrai, été constatée[28]. La Chine pourrait donc jouer sur ce comportement apparemment vertueux, et l’affaiblissement de la Russie et des Etats-Unis, pour se placer comme un Etat incontournable sur ces questions et faire avancer son propre agenda. De leur côté, la France et les Etats européens pourraient eux aussi prendre avantage de l’affaiblissement russe et américain pour en tirer avantage et faire valoir leurs positions dans les négociations actuelles.
Cinquièmement, ces révélations permettent à certains Etats d’engager la crédibilité et la responsabilité politique des Etats concernés. Mais elles ne permettent pas pour le moment d’engager leur responsabilité juridique et de justifier, inter alia, la prise de sanctions et mesures extrajudiciaires contre ces Etats. La prochaine étape, encore très hypothétique, serait l’attribution des cyber attaques concernées étayée par des preuves irréfutables.
Sixièmement et finalement, ces révélations montrent le rôle central joué par des acteurs non-étatiques agissant directement ou indirectement comme des proxys de ces Etats. Les révélations ont été analysées et étayées par le travail des équipes de deux entreprises privées, d’un côté, l’entreprise russe Kaspersky pour les révélations concernant la NSA, de l’autre, l’entreprise américaine Crowdstrike pour les révélations concernant le FSB et le GRU. Par ailleurs, ces révélations n’exposent pas directement les activités des agences de renseignement de ces Etats, mais des « groupes » faisant probablement aussi bien référence à des individus isolés qu’à des groupes structurés agissant pour le compte de ces agences, voire à des composantes de ces agences. On voit ainsi comment des acteurs non-étatiques, individus isolés ou assemblés dans un groupe, sont des acteurs majeurs de la stratégie d’influence de ces Etats dans le cyberespace. Les révélations concernant l’Equation group ont été faites par des pirates se faisant appeler The Shadow Brokers, soupçonnés d’être liés à la Fédération de Russie, tandis que les attaquants ayant piraté les emails d’un conseiller du Président russe sont considérés comme liés à la NSA. On assiste donc à un véritable affrontement entre les Etats-Unis et la Russie dans le cyberespace, prenant à la fois des formes directes et indirectes, et dans lequel les acteurs non-étatiques jouent un rôle central.
[1] Dan Goodin, « Group claims to hack NSA-tied hackers, posts exploits as proof », Ars Technica (16 août 2016), en ligne : Ars Technica <http://arstechnica.com/security/2016/08/group-claims-to-hack-nsa-tied-hackers-posts-exploits-as-proof/>.
[2] Andy Greenberg, « Hackers Claim to Auction Data They Stole From NSA-Linked Spies », WIRED (15 août 2016), en ligne : WIRED <https://www.wired.com/2016/08/hackers-claim-auction-data-stolen-nsa-linked-spies/>; Goodin, supra note 1.
[3] Kaspersky Lab’s Global Research & Analysis Team, « The Equation giveaway » (16 août 2016), en ligne : Securelist <https://securelist.com/blog/incidents/75812/the-equation-giveaway/>.
[4] Kaspersky Lab’s Global Research & Analysis Team, Equation group questions and answers (verion 1.5), Kaspersky, 2015, en ligne : <https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf>.
[5] Sam Biddle, « The NSA Leak Is Real, Snowden Documents Confirm », The Intercept (19 août 2016), en ligne : The Intercept <https://theintercept.com/2016/08/19/the-nsa-was-hacked-snowden-documents-confirm/>.
[6] Suite à la publication en février 2015 du rapport de Kaspersky, la NSA a envoyé un communiqué à plusieurs médias indiquant : « We are aware of the recently released report. We are not going to comment publicly on any allegations that the report raises, or discuss any details. On January 17, 2014, the President gave a detailed address about our signals intelligence activities, and he also issued Presidential Policy Directive 28 (PPD-28). As we have affirmed publicly many times, we continue to abide by the commitments made in the President’s speech and PPD-28. The U.S. Government calls on our intelligence agencies to protect the United States, its citizens, and its allies from a wide array of serious threats – including terrorist plots from al-Qaeda, ISIL, and others; the proliferation of weapons of mass destruction; foreign aggression against ourselves and our allies; and international criminal organizations. », voir notamment: Dan Goodin, « How “omnipotent” hackers tied to NSA hid for 14 years—and were found at last », Ars Technica (16 février 2015), en ligne : Ars Technica <http://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and-were-found-at-last/>.
[7] Thomas Fox-Brewster, « Equation = NSA? Researchers Uncloak Huge “American Cyber Arsenal” », Forbes (16 février 2015), en ligne : Forbes <http://www.forbes.com/sites/thomasbrewster/2015/02/16/nsa-equation-cyber-tool-treasure-chest/>; Joseph Menn, « Russian researchers expose breakthrough U.S. spying program », Reuters (16 février 2015), en ligne : Reuters <http://www.reuters.com/article/us-usa-cyberspying-idUSKBN0LK1QV20150216>; Biddle, supra note 5.
[8] https://twitter.com/Snowden/status/765513662597623808
[9] James Bamford, « Commentary: Evidence points to another Snowden at the NSA », Reuters (24 août 2016), en ligne : Reuters <http://www.reuters.com/article/us-intelligence-nsa-commentary-idUSKCN10X01P>.
[10] Russell Brandom, « The Shadow Brokers hack is starting to look like Russia vs. NSA », The Verge (17 août 2016), en ligne : The Verge <http://www.theverge.com/2016/8/17/12519804/shadow-brokers-russia-nsa-hack-equation-group>.
[11] Karen Tumulty et Tom Hamburger, « WikiLeaks releases thousands of documents about Clinton and internal deliberations », Washington Post (22 juillet 2016), en ligne : Washington Post <https://www.washingtonpost.com/news/post-politics/wp/2016/07/22/on-eve-of-democratic-convention-wikileaks-releases-thousands-of-documents-about-clinton-the-campaign-and-internal-deliberations/>.
[12] Ellen Nakashima, « Russian government hackers penetrated DNC, stole opposition research on Trump », Washington Post (14 juin 2016), en ligne : Washington Post <https://www.washingtonpost.com/world/national-security/russian-government-hackers-penetrated-dnc-stole-opposition-research-on-trump/2016/06/14/cf006cb4-316e-11e6-8ff7-7b6c1998b7a0_story.html?utm_term=.0e3db4fef921>.
[13] Dmitri Alperovitch, « Bears in the Midst: Intrusion into the Democratic National Committee » » (15 juin 2016), en ligne : Crowdstrike <https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/>.
[14] Etats-Unis, DHS et FBI, GRIZZLY STEPPE – Russian Malicious Cyber Activity, Joint Analysis Report, Department of Homeland Security (DHS) et Federal Bureau of Investigation (FBI), 2016, en ligne : <https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf>.
[15] Etats-Unis, DHS et FBI, « Joint Statement from the Department Of Homeland Security and Office of the Director of National Intelligence on Election Security | Homeland Security » (7 octobre 2016), en ligne : <https://www.dhs.gov/news/2016/10/07/joint-statement-department-homeland-security-and-office-director-national>; Ellen Nakashima, « U.S. government officially accuses Russia of hacking campaign to interfere with elections – The Washington Post », Washington Post (7 octobre 2016), en ligne : Washington Post <https://www.washingtonpost.com/world/national-security/us-government-officially-accuses-russia-of-hacking-campaign-to-influence-elections/2016/10/07/4e0b9654-8cbf-11e6-875e-2c1bfe943b66_story.html?utm_term=.83a87b1a2451>.
[16] William M Arkin, Ken Dilanian et Robert Windrem, « CIA Prepping for Possible Cyber Strike Against Russia – NBC News », NBC News (14 octobre 1987), en ligne : NBC News <http://www.nbcnews.com/news/us-news/cia-prepping-possible-cyber-strike-against-russia-n666636>.
[17] Lauren Gambino, Sabrina Siddiqui et Shaun Walker, « Obama expels 35 Russian diplomats in retaliation for US election hacking », The Guardian (30 décembre 2016), en ligne : The Guardian <https://www.theguardian.com/us-news/2016/dec/29/barack-obama-sanctions-russia-election-hack>.
[18] « Expelled Russian Diplomats Leave United States », The New York Times (1 janvier 2017), en ligne : The New York Times <http://www.nytimes.com/reuters/2017/01/01/world/europe/01reuters-usa-russia-cyber-diplomats.html>.
[19] Andrew Buncombe, « Russia hacked: Putin’s aide has secrets spilled by Ukrainian group, sparking suspicions of proxy cyberwar », Trump V Clinton (28 octobre 2016), en ligne : Trump V Clinton <http://trumpxclinton.com/widget-horizontal/>.
[20] Thomas Rid, « All Signs Point to Russia Being Behind the DNC Hack », Motherboard (25 juillet 2016), en ligne : Motherboard <http://motherboard.vice.com/read/all-signs-point-to-russia-being-behind-the-dnc-hack>.
[21] Etats-Unis, DHS et FBI, supra note 15.
[22] Shane Harris, « Obama to Putin: Stop Hacking Me », The Daily Beast (9 avril 2015), en ligne : The Daily Beast <http://www.thedailybeast.com/articles/2015/04/08/obama-to-putin-stop-hacking-me.html>; Evan Perez et Shimon Prokupecz, « State Dept Hack the “worst ever” », CNN (10 mars 2015), en ligne : CNN <http://www.cnn.com/2015/03/10/politics/state-department-hack-worst-ever/index.html>; « US military’s joint staff hacked as officials point the finger at Russia », The Guardian, sect Technology (7 août 2015), en ligne : The Guardian <https://www.theguardian.com/technology/2015/aug/06/us-military-joint-chiefs-hacked-officials-blame-russia>.
[23] « OSCE security monitors targeted by hackers », BBC News, sect Europe (28 décembre 2016), en ligne : BBC News <http://www.bbc.com/news/world-europe-38451064>.
[24] APT : Advanced Persistent Threat
[25] Etats-Unis, DHS et FBI, supra note 14 aux pp 2‑3.
[26] Kate Connolly, « German spy chief says Russian hackers could disrupt elections », The Guardian, sect World news (29 novembre 2016), en ligne : The Guardian <https://www.theguardian.com/world/2016/nov/29/german-spy-chief-russian-hackers-could-disrupt-elections-bruno-kahl-cyber-attacks>; Kaveh Waddell, « Does Russia’s Election Hacking Signal a New Era in Espionage? », The Atlantic (15 décembre 2016), en ligne : The Atlantic <https://www.theatlantic.com/technology/archive/2016/12/russias-election-meddling-was-an-intelligence-coup/510743/>; Katie Mansfield, « Europe ready for CYBERWAR over fears Russia will hack Germany, France and Netherlands vote », Express.co.uk (13 décembre 2016), en ligne : Express.co.uk <http://www.express.co.uk/pictures/galleries/3216/Vladimir-Putin-Russian-president-politician-pictures>.
[27] Michel Martin et Lucian Kim, « Baltic States Nervous Over Trump’s Attitude Toward Russia » (13 novembre 2016), en ligne : NPR <http://www.npr.org/2016/11/13/501935916/baltic-states-nervous-over-trumps-attitude-toward-russia>; Radvile Kasperaviciute, « Why the people of the Baltic states are fearful of a President Trump », The Guardian, sect Opinion (15 novembre 2016), en ligne : The Guardian <https://www.theguardian.com/commentisfree/2016/nov/15/baltic-states-fearful-president-trump-nato-latvia-estonia-lithuania-ukraine>.
[28] David E Sanger, « Chinese Curb Cyberattacks on U.S. Interests, Report Finds », The New York Times (20 juin 2016), en ligne : The New York Times <http://www.nytimes.com/2016/06/21/us/politics/china-us-cyber-spying.html>.