Close
  • Français
  • English

L’Union européenne inflige ses premières sanctions à la suite de cyberattaques (par le général d’armée (2s) Watin-Augouard, fondateur du FIC)

29/09/2020

Le 30 juillet 2020, un peu plus d’un an après leur publication, le Conseil de l’UE vient de mettre en application la décision cadre et le règlement en date du 17 mai 2019 permettant d’infliger des mesures restrictives visant les personnes physiques ou morales, entités ou organismes qui sont responsables de cyberattaques ou de tentatives de cyberattaques. Ces mesures concernent six personnes physiques et trois personnes morales.

 

Les textes mis en application

Le 19 juin 2017, le Conseil européen a adopté les conclusions relatives à un cadre pour une réponse diplomatique conjointe face aux actes de cybermalveillance. La « boîte à outils cyberdiplomatique » répond à la nécessité de protéger l’Union, ses États membres et leurs citoyens à l’égard des acteurs étatiques et non étatiques qui mènent des cyberattaques. Elle concourt à la prévention des conflits, à la coopération et à la stabilité dans le cyberespace en précisant les mesures pouvant être décidées dans le cadre de la PESC, y compris les mesures restrictives, pour prévenir les actes de cybermalveillance et y répondre.

Lors du sommet numérique de Tallinn (29 septembre 2017), Jean-Claude Juncker, alors président de la Commission européenne, a déclaré que « Les cyberattaques ne connaissent pas de frontières, pourtant, nos capacités de réaction varient fortement d’un pays à l’autre, ce qui crée des failles et des vulnérabilités qui favorisent les cyberattaques. L’UE doit se doter de structures plus robustes et plus efficaces pour améliorer sa cyber-résilience et réagir aux cyberattaques ». Il ajoutait « Nous ne voulons pas être le maillon faible de la lutte contre cette menace mondiale »

Les 19 et 20 octobre 2017, toujours à Tallinn, le Conseil européen a demandé une approche commune de la cybersécurité au sein de l’UE qui s’est traduite par le Cybersecurity Act, approuvé par le Parlement européen, le 12 mars 2019 (voir Veille juridique du CREOGN – mai 2019)

Le 17 mai 2019, le Conseil de l’Union européenne a pris une décision cadre et un règlement qui s’inscrivent dans la logique de la « boite à outil cyberdiplomatique ».

La décision (PESC) 2019/797 du Conseil, du 17 mai 2019, concerne les mesures restrictives contre les auteurs des cyberattaques qui menacent l’Union ou ses États membres. Pour le Conseil, « les mesures relevant de la politique étrangère et de sécurité commune (PESC), y compris, si nécessaire, les mesures restrictives, adoptées dans le cadre des dispositions pertinentes des traités, conviennent à un cadre pour une réponse diplomatique conjointe de l’Union face aux actes de cybermalveillance, le but étant d’encourager la coopération, de faciliter la réduction des menaces immédiates et à long terme, et d’influencer le comportement d’agresseurs potentiels à long terme ».

Ces mesures ont pour but de dissuader et contrer les cyberattaques qui ont une origine externe au territoire de l’Union et visent l’Union ou ses États membres (la cybercriminalité interne n’est donc pas concernée). Mais elles peuvent aussi être mises en œuvre, si cela est jugé nécessaire, pour réaliser les objectifs de la PESC figurant dans les dispositions pertinentes de l’article 21 du traité sur l’Union européenne, lorsque les cyberattaques visent des pays tiers ou des organisations internationales.

Les mesures restrictives fixées par la décision portent sur l’interdiction d’entrée ou de passage en transit sur le territoire des États membres et sur le gel des fonds et ressources économiques appartenant aux personnes physiques ou morales, entités ou organismes qui sont responsables de cyberattaques ou de tentatives de cyberattaques.  S’agissant du gel des fonds et ressources, le règlement (UE) ­ du Conseil du 17 mai 2019, concernant des mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres, apporte les précisions relatives à sa mise en œuvre.

Comme le précise la décision cadre, les mesures ciblées doivent être distinguées de l’imputation à des tiers de la responsabilité des cyberattaques, décision politique souveraine prise au cas par cas. Chaque État membre demeure libre d’apprécier l’implication d’un État tiers.

Les décisions du 30 juillet 2020

Le 16 avril 2018, le Conseil a fermement condamné les cyberattaques, connues sous le nom de “ WannaCry ” et de “ NotPetya ”, qui ont causé des dommages et des pertes économiques importants dans l’Union. Rançongiciel pour la première, destruction de données pour la seconde, ces cyberattaques constituent des références par leur ampleur et leurs conséquences. NotPetya, visant principalement l’Ukraine, a eu des effets collatéraux importants, notamment en France (Saint-Gobain, SNCF, Auchan, BNP).

Le 4 octobre 2018, les présidents du Conseil européen et de la Commission européenne et la haute représentante de l’Union pour les affaires étrangères et la politique de sécurité ont ensemble condamné une tentative de cyberattaque visant l’Organisation pour l’interdiction des armes chimiques (OIAC) aux Pays-Bas. Dans une déclaration au nom de l’Union le 12 avril 2019, la haute représentante a exhorté les acteurs à cesser d’entreprendre des cyberactivités malveillantes qui visent à saper l’intégrité, la sécurité et la compétitivité économique de l’Union, y compris les actes d’espionnage portant atteinte à la propriété intellectuelle. Ces « vols cybernétiques » sont notamment ceux commis par le groupe dénommé « APT10 » (« Advanced Persistent Threat 10 »), impliqué dans l’opération « Cloud Hopper » qui a visé les entreprises via le cloud. Pour le Conseil, « l’opération Cloud Hopper» a ciblé les systèmes d’information de sociétés multinationales sur six continents, y compris des entreprises situées dans l’Union, et a obtenu un accès non autorisé à des données commercialement sensibles, entraînant des pertes économiques importantes ».

Les sanctions imposées comprennent une interdiction de pénétrer sur le territoire de l’UE et un gel des avoirs. En outre, il est interdit aux personnes et aux entités de l’UE de mettre des fonds à la disposition des personnes et entités inscrites sur la liste.

Les six personnes physiques et les trois personnes morales sont inscrites sur la liste des personnes physiques et morales, entités et organismes figurant à l’annexe I de la décision (PESC) 2020/1127 et du règlement (UE) 2019/796 et jusqu’alors vierge. Deux Chinois et quatre Russes sont visés ainsi que trois organismes : un Chinois, un Nord-Coréen, un Russe. On notera que l’UE n’hésite pas à sanctionner des organes liés aux Etats (Russie en particulier).

 

Ci-après sont reproduits deux extraits qui illustrent la forme que prend cette annexe.

 

Nom Données d’identification Les raisons
GAO Qiang Lieu de naissance : province du Shandong, Chine

Adresse : Salle 1102, Manoir de Guanfu, 46 Xinkai Road, Hedong District, Tianjin, Chine

Nationalité: chinoise

Genre masculin

Gao Qiang est impliqué dans « l’opération Cloud Hopper », une série de cyberattaques à effet significatif provenant de l’extérieur de l’Union et constituant une menace externe pour l’Union ou ses États membres et de cyberattaques ayant un effet significatif contre des États tiers.

L’opération « Cloud Hopper» a ciblé les systèmes d’information de sociétés multinationales sur six continents, y compris des entreprises situées dans l’Union, et a obtenu un accès non autorisé à des données commercialement sensibles, entraînant des pertes économiques importantes.

L’acteur connu publiquement sous le nom de « APT10 » (« Advanced Persistent Threat 10 ») (alias « Red Apollo », « CVNX », « Stone Panda », « MenuPass » et «Potassium ») a réalisé «Operation Cloud Hopper».

Gao Qiang peut être lié à APT10, notamment grâce à son association avec l’infrastructure de commande et de contrôle APT10. De plus, Huaying Haitai, une entité désignée pour fournir un soutien et faciliter « l’opération Cloud Hopper », a employé Gao Qiang. Il a des liens avec Zhang Shilong, qui est également désigné dans le cadre de « l’opération Cloud Hopper ». Gao Qiang est donc associé à la fois à Huaying Haitai et à Zhang Shilong.

 

Centre principal des technologies spéciales (GTsST) de la Direction principale de l’état-major général des forces armées de la Fédération de Russie (GU / GRU) Adresse : 22 Kirova Street, Moscou, Fédération de Russie Le Centre principal pour les technologies spéciales (GTsST) de la Direction principale de l’état-major général des forces armées de la Fédération de Russie (GU / GRU), également connu sous son numéro de poste sur le terrain 74455, est responsable de cyber-attaques avec un effet significatif provenant de l’extérieur de l’Union et constituant une menace extérieure pour l’Union ou ses États membres et pour les cyberattaques ayant un effet significatif contre des États tiers, y compris les cyberattaques publiquement connues sous le nom de «NotPetya» ou «EternalPetya» en juin 2017 et le cyberattaques dirigées contre un réseau électrique ukrainien à l’hiver 2015 et 2016.

«NotPetya» ou «EternalPetya» a rendu les données inaccessibles dans un certain nombre d’entreprises de l’Union, de l’Europe au sens large et du monde entier, en ciblant les ordinateurs avec des ransomwares et en bloquant l’accès aux données, entraînant entre autres des pertes économiques importantes. La cyberattaque contre un réseau électrique ukrainien a entraîné la désactivation de certaines parties de celui-ci pendant l’hiver.

L’acteur, connu publiquement sous le nom de «Sandworm» (alias «Sandworm Team», «BlackEnergy Group», «Voodoo Bear», «Quedagh», «Olympic Destroyer» et «Telebots»), est également à l’origine de l’attaque du réseau électrique ukrainien , «NotPetya» ou «EternalPetya».

Le Centre principal des technologies spéciales de la Direction principale de l’état-major général des forces armées de la Fédération de Russie joue un rôle actif dans les cyber-activités entreprises par Sandworm et peut être lié à Sandworm.