Qui est CozyBear, le groupe de hackers derrière le piratage des mails du Pentagone ?

C’est un nouveau piratage retentissant pour le gouvernement américain. Après les quelques 4 millions de fonctionnaires touchés début juin dans le piratage de l’Office of Personnel Management (OPM), avec au total plus de 20 millions d’Américains touchés, c’est une autre attaque qui secoue l’administration Obama. Aux alentours du 25 juillet, un groupe de hackers dénommé CozyBear (ou CozyDuke, ou CozyCar, ou « Office Monkey’s ») a piraté les mails non classifiés du Pentagone. Au total, ce sont 4.000 personnes, civiles et militaires, qui ont été infectées par un logiciel espion ou « malware ». Les mails non classifiés sont considérés comme importants, mais pas autant que des communications « secret-défense ».

En une minute, les hackers russes sont parvenus à amasser et rediffuser sur internet les informations collectées. Le 6 août, le gouvernement américain a accusé la Russie d’être derrière l’attaque, même si aucune preuve n’a encore été apportée. Selon un expert informatique cité par NBC News, l’attaque viendrait de CosyBear, un groupe de hackers connus pour ses méthodes et ses cibles gouvernementales.

Une vidéo de singes en costume

La méthode de CozyBear est plutôt atypique. Comme le décrit le site spécialisé SecureList, une fois la cible choisie, les hackers emploient en général deux moyens : envoyer un lien renvoyant vers un site web malveillant, ou bien une vidéo de singes en costumes, dans un bureau. La vidéo, qui fait rire la cible, contient en réalité un malware qui s’installe pendant la lecture et permettra de contrôler l’ordinateur à distance. La cible, qui aime partager l’objet de son rire, envoie en général la vidéo à ses collègues.

C’est ainsi que les attaques de CozyBear restent en général dans les mails non classifiés des institutions visées. Parmi elles, le Département d’Etat américain en novembre 2014, des organisations gouvernementales en Ouzbékistan et en Corée du Sud, mais aussi des entités commerciales en Allemagne.

Comme le mentionne SecureList, le logiciel utilisé contourne les sécurités d’antivirus comme Comodo, Kaspersky ou Avira. Pour s’en protéger, la firme de sécurité Kaspersky propose de restreindre les droits des employés pour télécharger ce genre de fichiers, ce qui diminuerait les risques « de 85 % ». Mais en soi, il y a peu de moyens de se protéger contre une vidéo de singes en costumes.

Les Etats-Unis, cible de choix pour les pirates

En matière de cybersécurité, les Etat-Unis jouent un rôle prépondérant, que ce soit dans le rôle « d’attaquant » (le pirate) que de « défenseur » (la cible). En mars, un hack des mails d’Hillary Clinton a révélé qu’elle utilisait sa boîte personnelle pour envoyer des informations professionnelles, et donc relativement confidentielles. Ce scandale, qui empoisonne sa campagne, n’est pas le premier ni le dernier à toucher les hautes instances américaines. Le hacker derrière l’attaque, dont le pseudonyme est Guccifer, est aujourd’hui en prison. Il vient de Râmnicu Vâlcea une ville surnommée Hackerville, la ville des hackers.

Le piratage de l’Office of Personnel Management, découvert en juin dernier mais en réalité présent depuis 2014, révèle également à quel point les attaques contre le gouvernement américain peuvent être sophistiquées et réfléchies. Le fournisseur de sécurité Norse, qui propose une carte en temps réél des attaques sur le web, montre également le nombre d’attaques et de piratages reçus par les Etats-Unis. Le gouvernement Obama a accusé la Chine et la Russie d’être derrière la majorité des attaques.