Le moteur de recherche russe annonce avoir été victime en fin d’année dernière d’une attaque à des fins d’espionnage. Le malware utilisé s’avère très rare et ses utilisateurs habituels sont connus : les services de renseignement des Etats-Unis, du Canada, de l’Australie, du Royaume-Uni et de la Nouvelle-Zélande, les Five Eyes.
Entre l’Iran attaquée très officiellement par les Etats-Unis et les Chinois suspectés d’être derrière une campagne vieille de sept ans visant des opérateurs télécoms, le « cyberespace » devient le nouveau champ de bataille des Etats. Dernier exemple en date, le moteur de recherche russe Yandex se dit victime d’une attaque informatique, fin 2018, dont les Five Eyes, alliance des renseignements britanniques, canadiens, néo-zélandais, australiens et américains, seraient les instigateurs.
Selon Reuters, l’intrusion dans le réseau de Yandex a eu lieu entre octobre et novembre 2018. L’entreprise russe indique l’avoir détecté « rapidement », quoique plusieurs semaines après que les attaquants aient eu accès aux systèmes du navigateur, et qu’aucune donnée n’a été compromise. En outre, selon les sources de l’agence de presse, les hackers n’ont pas cherché à interrompre le service ou à dérober des secrets industriels et commerciaux, mais à comprendre comment Yandex authentifie les comptes utilisateurs.
Attribution facile
Le constat des sources est sans appel : il s’agissait bien d’espionnage et sans doute les informations collectées devaient-elles permettre aux attaquants de pouvoir a posteriori usurper l’identité d’utilisateurs du navigateur. Et ces attaquants ont utilisé un malware bien connu pour cibler le Russe : Regin. Découvert en 2013 lors de l’attaque visant l’opérateur belge Belgacom, le programme avait été attribué au GCHQ anglais et à la NSA.
Un an plus tard, les révélations d’Edouard Snowden confirmaient que Regin était bel et bien un outil utilisé par les Five Eyes. Dans le cas de Yandex, une partie du code du malware était encore inédit. Kaspersky, à qui le navigateur a fait appel, aurait selon Reuters attribué avec un très haut degré de probabilité l’attaque aux services de renseignement des Five Eyes. Une question à se poser, peut-être un peu naïve : dans le cas de Regin comme dans le cas des outils des Chinois d’APT10, pourquoi donc utiliser des instruments dont l’origine est de notoriété publique et qui vous identifie aussi sûrement qu’une énorme empreinte digitale sur l’arme du crime ?