Un rapport dérobé à la NSA estime que la Russie a essayé de pirater des politiques américains

Les informations de The Intercept proviennent d’un document reçu anonymement. Il s’agit d’un rapport classifié de la NSA sur des attaques ayant eu lieu au cours du dernier trimestre 2016, mais n’ayant été édité qu’en avril dernier.

Dans ce rapport, il est ainsi expliqué que le GRU se serait attaqué à VR Systems. Sept comptes email auraient été visés, et au moins un aurait été compromis. Toujours selon le document, la méthode serait similaire à celle utilisée contre des membres de l’équipe de campagne d’Hilary Clinton, où le renseignement russe était déjà suspecté.

Les informations obtenues auraient ensuite été patiemment analysées pour mettre au point une campagne de harponnage, ou spear phishing. Contrairement à une campagne classique de phishing qui fait appel à des emails relativement génériques, le harponnage est plus précis : les informations servent à personnaliser le message et donc à augmenter les chances de réussite, la victime pouvant penser que l’email s’adresse bien à elle et à personne d’autre.

Des figures politiques locales comme cibles

Cette campagne de harponnage prenait apparemment pour cible 127 personnalités politiques locales selon le rapport de la NSA. Ce dernier mentionne deux vagues d’envoi, dont la première s’est étalée entre le 31 octobre et le 1er novembre 2016.

Dans les emails envoyés, on trouvait notamment un texte personnalisé accompagné d’un document Word. Devait y être expliqué le mode d’emploi du logiciel qui permet de connaître le statut de l’enregistrement des votants. L’objectif était bien entendu de faire croire que les informations étaient tout à fait authentiques et provenaient de VR Systems, ou liées à cette entreprise.

Dans le document se trouvait a priori un code malveillant écrit en VBA (Visual Basic for Applications), autrement dit des macros. Ce dernier était conçu pour se connecter à certains sites et récupérer des malwares en vue de les installer. Malheureusement, les informations s’arrêtent ici.

Le rapport de la NSA précise en effet qu’on ne sait en l’état actuel si ces attaques ont réellement fonctionné, ou même quels sont les malwares téléchargés. On retrouve par contre les liens avant d’anciennes attaques attribuées au GRU. En outre, la présence de malwares semble avoir été établie dans une partie des cas, puisque la NSA prête à au moins l’un d’entre eux la capacité de se faire passer pour Firefox, ou au moins de tenter de le faire.

La source présumée déjà arrêtée par le FBI

Peu de temps après la publication de l’article de The Intercept, un communiqué était publié par le FBI. On peut y lire qu’une certaine Reality Leigh Winner a été arrêtée samedi 3 juin, pour avoir dérobé des informations classifiées. Elle est décrite comme sous-traitante, travaillant pour la société Pluribus International Corporation depuis février 2013. Elle possédait une autorisation de niveau Top Secret.

Toujours selon le communiqué, elle aurait imprimé ces informations le 9 mai, les gardant d’abord pour elle-même. Quelques jours plus tard, elle aurait ensuite communiqué ces documents à un site de presse qui, s’il n’est pas nommé, serait évidemment The Intercept.

Interrogée par The Guardian, la mère de la prévenue indique qu’elle ignore les raisons qui ont poussé sa fille à agir ainsi. Selon le communiqué du FBI, Reality Leigh Winner aurait déjà tout avoué, notamment l’accès aux données, leur impression, leur détention puis leur transfert à un organisme de presse dont elle savait qu’il « n’avait aucune autorisation » de les recevoir. La jeune femme a été entendue une première fois hier dans un tribunal de Géorgie. Elle risque dix ans de prison. La Russie, elle, a formellement démenti être à l'origine de ces attaques.

De The Intercept à la sous-traitante

L’histoire pose la question de la manière dont le FBI s’y est pris pour remonter aussi rapidement à Reality Leigh Winner. En fait, de nombreuses imprimantes apposent sur les documents une série de points jaunes pratiquement invisibles, permettant de savoir quand et où ils ont été imprimés. Malheureusement pour la jeune femme, le PDF publié par The Intercept contenant une version scannée des documents reçus. Ils comportaient donc les marques jaunes.

Dans le cas présent, les points indiquent que le document a été imprimé le 9 mai 2017 à 6h20 par un périphérique dont les numéros de modèle et de série sont respectivement 54 et 29535218. Il est évident que la NSA possède un journal complet de l’utilisation faite de ses imprimantes, et trouver Reality Leigh Winner n’a donc pas été compliqué. Pas plus que de la trouver puisqu’elle était à son domicile, à Augusta.

The Intercept ne s’est pas encore exprimé sur ce point, mais précisait dans son article d’hier que le document avait été reçu de manière anonyme. On s’étonne cependant que le site, cofondé notamment par le même Glenn Greenwald qui avait été le premier à interviewer Edward Snowden, ait pu publier un tel article sans avoir contrôlé le sérieux de sa source.

WikiLeaks veut châtier le journaliste responsable

Si l’on en croit WikiLeaks, la situation est un peu complexe. L’un des journalistes aurait contacté une connaissance travaillant chez un sous-traitant dont le nom n’est pas connu, pour savoir si le document était réel. Il aurait indiqué qu’il provenait d’Augusta en Géorgie. Curieusement, il aurait ensuite contacté une agence fédérale qui lui aurait indiqué que le document était authentique, avant de revenir vers sa connaissance pour lui faire part de cette information.

WikiLeaks cherche actuellement à savoir qui est ce journaliste et offre même 10 000 dollars de récompense pour le démasquer, ce qui a d’ailleurs provoqué la colère de nombreux internautes sur Twitter. 

WikiLeaks issues a US$10,000 reward for information leading to the public exposure & termination of this 'reporter': https://t.co/W9wijCk5d3

— WikiLeaks (@wikileaks) 6 juin 2017