Le service de sécurité et de renseignements militaires néerlandais (MIVD) a déjoué une opération d'espions russes visant l'Organisation pour l'Interdiction des Armes Chimiques (OIAC) installée à La Haye. Voilà ce qu'a révélé hier Ank Bijleveld, la ministre néerlandaise de la Défense. Quatre Russes ont entre-temps été expulsés des Pays-Bas.

L'opération était l'oeuvre du service de renseignements militaire russe (GROe). Les quatre officiers russes expulsés envisageaient de pirater et de contaminer le réseau wifi de l'OIAC, selon le général-major Onno Echelsheim, directeur du MIVD. Ils étaient arrivés le 10 avril aux Pays-Bas munis d'un passeport diplomatique. Ils disposaient aussi de grandes quantités d'argent liquide: 20.000 euros et 20.000 dollars américains. Ils avaient aussi un grand nombre de téléphones et un équipement spécial pour effectuer le piratage de l'OIAC.

Enquête MH17

Sur l'équipement de communication des Russes, on a trouvé des informations indiquant qu'ils s'étaient aussi rendus en Suisse fin 2016. A l'époque, un fonctionnaire de l'agence antidopage WADA avait fait l'objet d'un piratage. Ils ont aussi mené des activités ciblant l'enquête MH17. Pour rappel, le MH17 est cet avion qui a été abattu en juillet 2014 au-dessus de l'Ukraine. Après leur opération aux Pays-Bas, les Russes envisageaient de retourner en Suisse car des tickets de train ont été trouvés et confisqués par le MIVD.

Sur les ordinateurs des individus, le MIVD a trouvé des renseignements à propos d'un laboratoire qui a effectué des recherches sur l'affaire Skripal et sur des attaques au gaz toxique en Syrie. Ces attaques au gaz toxique sont aussi examinées par l'OIAC. Elles auraient été exécutées par le régime syrien du président Bashar Assad, un allié de la Russie. Et l'OIAC enquêtait également sur la mort de l'espion double russe Sergej Skripal, empoisonné en mars au cyanogène novitsjok.

Une photo des quatre individus prise à l'aéroport de Schiphol © MIVD

Des membres de Fancy Bear

Sur les photos montrées durant la conférence de presse, on pouvait voir l'arrivée des quatre individus à Schiphol. Ils y ont été accueillis par un collaborateur de l'ambassade russe. Il est très rare que des noms et des photos d'espions soient rendus publics. Ce qui et étonnant, c'est que le service de sécurité et de renseignements militaire néerlandais (MIVD) ait lors de la conférence de presse parlé de Unit 26165. C'est là l'une des appellations de Fancy Bear, même si le groupe est aussi connu sous les noms APT28, Pawn Storm, Sofacy Group, Sednit et STRONTIUM. Ce groupe de pirates russe est accusé d'avoir commis une grande partie des vastes cyber-attaques de ces dernières années. Il se serait notamment immiscé dans le parti démocrate américain. Des courriels de membres dirigeants de ce parti ont ainsi abouti sur WikiLeaks. Fancy Bear aurait aussi agressé la Maison Blanche, l'OTAN, des ministères allemands et l'agence antidopage mondiale.

On soupçonne depuis assez longtemps déjà que le groupe travaille sous les ordres du GROe. "Il s'agit d'un vaste groupe assez actif et disposant d'une grande connaissance", déclare l'entreprise de sécurité Trend Micro au service d'actualité néerlandais ANP. "Il a accès à de la technologie sophistiquée et très ingénieuse. Il dispose aussi de beaucoup de moyens. Il ne s'intéresse pas à l'argent, au contraire de la plupart des hackers, mais aux informations.''

La Belgique aussi visée

Les pirates russes qui ont tenté de dérober des données de l'OIAC à La Haye, auraient aussi sévi dans notre pays, selon les journaux de Mediahuis. Le parquet fédéral examine ainsi un incident datant de 2014, lorsque des hackers se sont introduits par effraction dans le SPF Intérieur. Lors de cette intrusion, un rapport diplomatique confidentiel sur l'Ukraine aurait été intercepté. L'enquête du parquet est encore en cours, mais jusqu'à présent, personne n'a encore été inculpé.

Et la Grande-Bretagne

A peu près en même temps que se tenait la conférence de presse aux Pays-Bas, le ministre britannique des affaires étrangères Jeremy Hunt accusait le service de renseignements militaire russe d'être responsable de six cyber-attaques ciblant des institutions politiques et sportives, des entreprises et des médias de par le monde. Et de se référer à une enquête menée par le centre britannique pour la cyber-sécurité (NCSC). "Ce comportement montre qu'ils se conduisent sans tenir compte du droit international ou des normes en vigueur, et qu'ils se considèrent comme intouchables", peut-on lire dans le communiqué de presse. Le ministre a menacé de "répondre conjointement avec nos alliés aux tentatives de saper la stabilité internationale". Hunt tient le Kremlin pour responsable.

Mesures judiciaires

La Belgique n'est pas le seul pays qui examine ce groupe de près. C'est ainsi que le Ministère Public néerlandais a lancé une enquête suite aux résultats obtenus par le MIVD. Mais le ministère américain de la Justice a aussi introduit une plainte à l'encontre du groupe. Aux Etats-Unis, sept officiers de renseignements russes sont accusés d'avoir piraté l'autorité antidopage internationale WADA, ainsi que les instances antidopage américaine et canadienne. Ces officiers ont pour nom Dmitriy Sergeyevich Badin, Artem Andreyevich Malyshev, Alexey Valerevich Minin, Aleksei Sergeyevich Morenets, Evgenii Mikhaylovich Serebriakov, Oleg Mikhaylovich Sotnikov et Ivan Sergeyevich Yermakov. Selon le ministère américain, les opérations en question étaient des représailles suite à la suspension de la Russie lors des Jeux Olympiques d'Hiver en raison du programme de dopage à grande échelle dirigé par l'état russe.

Quatre des sept individus sont les mêmes qui ont tenté aux Pays-Bas de pirater l'Organisation pour l'Interdiction des Armes Chimiques (OIAC). Trois d'entre eux avaient en été déjà été accusés d'immixtion dans les élections présidentielles américaines. Le ministère américain a rendu publiques les accusations ce jeudi, quelques heures après que le gouvernement néerlandais ait dévoilé comment une opération de piratage russe avait été déjouée à La Haye.

Qu'est ce que Fancy Bear?

Le groupe de hackers Fancy Bear, aussi connu sous les appellations Pawn Storm, APT28 et autres, existe probablement depuis le début des années 2000 déjà et est depuis assez longtemps considéré comme un 'bras de l'état russe', qui opère dans les intérêts du Kremlin.

Le secteur du 'piratage' et de l''espionnage' n'est pas le plus transparent, ce qui requiert donc une certaine prudence, mais toujours est-il que le groupe est associé aux attaques suivantes:

Fancy Bear est également cité dans des attaques visant le Parlement allemand et les Jeux Olympiques en Corée du Sud, mais les preuves sont ici contestées par des chercheurs en sécurité.

Réactions de leaders

Divers politiciens se hâtent aujourd'hui de dénoncer ces attaques. Le premier ministre néerlandais Mark Rutte et son homologue britannique Theresa May ont ainsi condamné les ''cyber-opérations inacceptables'' du service de renseignements militaire russe contre l'OIAC, dans un communiqué conjoint. ''La tentative d'accéder aux systèmes sécurisés d'une organisation internationale, qui milite au niveau mondial en faveur du bannissement des armes chimiques, montre une fois encore que le GROe ne respecte ni les valeurs mondiales ni l'ordre international qui nous protège tous'', selon Rutte et May.

Les alliés au sein de l'OTAN ont appelé la Russie à cesser ses ''tentatives éhontées de bafouer le droit et les institutions internationales". Voilà ce qu'a déclaré le secrétaire général de l'OTAN, Jens Stoltenberg, hier jeudi au terme d'une réunion des ministres de la défense de l'alliance. ''La Russie doit renoncer à son comportement imprudent, en ce compris l'utilisation de la violence contre ses voisins, l'immixtion dans les campagnes électorales, et ses propres campagnes de désinformation largement diffusées", a ajouté Stoltenberg. Selon lui, des citoyens dans de nombreux pays sont touchés, et d'importants dommages économiques sont ainsi causés. Stoltenberg a qualifié la cyber-attaque visant l'OIAC d'élément d'une campagne russe de cyber-attaques dans le monde entier.

''Nous sommes très préoccupés par cette tentative de saper l'intégrité de l'OIAC, une organisation internationale respectée, installée aux Pays-Bas'', écrivent à leur tour le président de l'UE Donald Tusk, le président de la Commission européenne Jean-Claude Juncker et la représentante de l'UE à l'étranger Federica Mogherini dans un communiqué commun. ''Cette opération agressive témoigne un mépris pour l'objectif louable de l'OIAC, qui milite dans le monde en faveur de l'éradication des armes chimiques sous le mandat des Nations Unies. Nous regrettons ce genre d'actions qui sapent le droit et les institutions internationales. L'UE entend renforcer encore les institutions et les états membres, les partenaires et les organisations internationales dans le domaine numérique'', selon le communiqué.

Et les Russes...

Le ministère russe des affaires étrangères ne se laisse pas impressionner et affirme que les accusations britanniques à l'adresse du service de renseignements militaire GROe témoignent de la 'plus pure fantaisie''. Le ministère déclare qu'il est question d'une campagne de désinformation destinée à nuire aux intérêts russes, selon l'agence de presse TASS. La délégation russe au sein de l'OIAC n'a, elle, pas souhaité réagir aux accusations néerlandaises, indique le site d'actualités russe Sputnik. (Belga, ANP, Data News)

Expulsés, pas arrêtés

Les Pays-Bas et spécifiquement le MIVD ont expulsé les quatre individus. On ne sait du reste pas très bien pourquoi ils n'ont pas été arrêtés. Le directeur du MIVD, Eichelsheim, a déclaré que cette décision était la sienne et que la police n'avait pas été impliquée dans cette enquête. Il n'a fait aucun commentaire quant à savoir s'il n'avait pas été possible de pratiquer des arrestations. Ce n'était en tout cas pas dû au fait que le quatuor détenait des passeports diplomatiques, selon Eichelsheim. Ces passeports n'étaient en effet pas accrédités aux Pays-Bas, ce qui fait que les quatre individus ne bénéficiaient pas de l'immunité diplomatique.

Selon la ministre Ank Bijleveld (Défense), ''il était important pour nous de collecter des informations". L'opération a été organisée dans le cadre de la Loi sur les services de renseignements et de sécurité néerlandaise (WIV). Il en résulte que les quatre agents russes ont pu être expulsés du pays, mais pas leur équipement qui est resté sur place. ''Ce qui nous a fourni beaucoup d'informations. Si tel n'avait pas été le cas, cela se serait avéré nettement plus compliqué."

C'est une décision qui est peut-être pratique, mais le fait est que les suspicions alimentent aussi le sentiment selon lequel ces personnes sont intouchables. L'entreprise de sécurité Symantec ne se fait pas non plus de soucis à cet égard: "Il est clair à présent qu'APT28, après avoir été lié aux attaques lors des élections présidentielles américaines de 2016, ne se laisse pas intimider par la publicité qu'il suscite, et qu'il continue à lancer de nouvelles attaques avec des outils existants", selon l'entreprise dans un communiqué posté sur son blog

.