«Grizzly Steppe». C'est ainsi que le FBI et le département américain de la Sécurité intérieure baptisent l'opération menée «par les services de renseignement russes» pour «compromettre des réseaux associés à l'élection américaine. Le rapport, publié jeudi, identifie notamment –sans les nommer– les deux cyberattaques contre le parti démocrate et le directeur de la campagne d'Hillary Clinton, John Podesta. Et un nom revient souvent: celui du groupe de hackers Fancy Bear, qui travaillerait directement pour Moscou. Ils sont déjà soupçonnés d'être derrière le piratage de l'agence mondiale antidopage et celui de TV5 Monde, en 2015.
Guccifer 2.0, Fancy Bear, Cozy Bear, APT 28 et 29
On s'y perd dans les différents noms. Mais selon le FBI, il y a deux groupes de hackers qui sont à la solde de Moscou depuis 2008:
Advanced Persistent Threat 28, ou APT 28, également connu sous l'alias Fancy Bear, lié au GRU, le renseignement militaire russe.
APT 29, connu sous le nom Cozy Bear, lié au service secret FSB (le principal successeur du KGB)
Guccifer 2.0, qui avait revendiqué le piratage du parti démocrate et affirmait être un hacker roumain, serait en fait un alias rassemblant les deux groupes de pirates russes.
Phishing et RAT
Du côté du mode opératoire, le rapport confirme les conclusions de plusieurs entreprises privées (Crowdstrike et Mandiant, notamment). Les groupes ont utilisé des méthodes plutôt classiques de phishing (hameçonnage par un email) pour dérober des mots de passe et prendre le contrôle d'ordinateurs à distance via des RAT (Remote administration tool).
L'ironie de l'affaire, c'est que le piratage des emails de Podesta serait dû à une malheureuse faute de frappe: il y a deux semaines, le New York Times racontait qu'un technicien s'était rendu compte qu'un email reçu était frauduleux, mais il aurait écrit «legitimate» (authentique) au lieu d'«illegitimate». L'élection s'est peut-être jouée à deux lettres.