CrowdStrike, l’Ukraine, et le serveur DNC : Chronologie et faits

Article original datant du 03/12/2019

La politisation de la cybersécurité ne fait que saper la confiance dans ses pratiques et son objectivité, craignent les experts

Le président Donald Trump, le sénateur John Kennedy de Louisiane et le secrétaire d’État Mike Pompeo ont tous donné du crédit à ce que les experts en cybersécurité et la communauté du renseignement américaine tournent en dérision comme une théorie du complot sans fondement poussée par la Russie. Cette théorie postule que l’Ukraine, et non la Russie, est responsable du piratage des réseaux du Comité national démocratique (DNC) à l’approche de l’élection présidentielle de 2016.

Kennedy a rapidement fait marche arrière pour ne pas accuser l’Ukraine d’avoir piraté le DNC, mais il a néanmoins laissé une marge de manœuvre pour revenir sur cette affirmation. Après avoir admis qu’il avait “tort” d’insinuer que c’est l’Ukraine et non la Russie qui a piraté le DNC (Comité National DémocrateWIKI), il a poursuivi en disant : “Il y a beaucoup de preuves, prouvées ou non – chacun a son opinion – que l’Ukraine a essayé d’interférer, avec la Russie et probablement d’autres, dans l’élection de 2016.”

Cette promotion d’une théorie discréditée par les plus hauts responsables gouvernementaux sape les efforts déployés pour faire face à la principale menace consensuelle, estiment les experts en sécurité. Elle jette également le doute sur les pratiques forensics établies en matière de sécurité.

D’où vient la théorie du piratage des élections en Ukraine ?

Cette théorie frustrante a fait couler beaucoup d’encre depuis que le président Trump a publié les notes d’un appel téléphonique qu’il a eu avec Volodymyr Zelensky le 25 juillet 2019, au cours duquel Trump a dit au président ukrainien nouvellement élu : ” J’aimerais que vous découvriez ce qui s’est passé avec toute cette situation avec l’Ukraine, ils disent CrowdStrike…. Je suppose que vous avez une de vos personnes riches…. Le serveur, ils disent que l’Ukraine l’a.”

La semaine dernière, M. Trump a donné plus de relief à sa conviction lors d’un entretien avec les animateurs de l’émission télévisée Fox and Friends. Au cours d’une interview de 53 minutes, il a déclaré : “Une grande partie de cela avait à voir, disent-ils, avec l’Ukraine. Ils ont le serveur, non ? Du DNC … ils ont donné le serveur à CrowdStrike – ou quel que soit son nom – qui est une société appartenant à un très riche Ukrainien, et je veux toujours voir ce serveur. Vous savez, le FBI n’a jamais eu ce serveur. C’est une grande partie de toute cette affaire. Pourquoi l’ont-ils donné à une société ukrainienne ?

Du point de vue de la communauté de la cybersécurité et de certains membres de la communauté du renseignement, la mention de CrowdStrike dans les notes d’appel de Zelensky a d’abord semblé sortir de nulle part, une non-sequitur déroutante. Certes, Trump avait mentionné le serveur du DNC avant son appel avec Zelensky.

Lors d’une conférence de presse conjointe tenue avec le président russe Vladimir Poutine en juillet 2018, Trump a déclaré : “Nous avons des groupes qui se demandent pourquoi le FBI n’a jamais pris le serveur. Pourquoi n’ont-ils pas pris le serveur ? Pourquoi a-t-on dit au FBI de quitter le bureau du Comité National Démocrate ? Je me suis posé cette question.”

Le FBI a correctement collecté les preuves forensics

La mention par Trump de l’échec du FBI à prendre le serveur présumé unique a été considérée à l’époque et maintenant comme une accusation trompeuse, étant donné que le DNC a mis hors service plus de 140 serveurs après le piratage russe, comme le conseiller spécial Robert Mueller l’a documenté dans son rapport sur l’enquête sur l’ingérence russe dans l’élection présidentielle de 2016. De plus, le FBI a pris des images de ces serveurs, s’est livré à des vidages de mémoire des appareils connectés et a recueilli des journaux de réseau, rassemblant suffisamment de preuves médico-légales pour mener leur analyse.

La plupart des experts soutiennent que les méthodes d’expertise du FBI ont produit des preuves supérieures à celles que l’on obtiendrait en débranchant la machine et en l’emportant, ce qui aurait fait disparaître d’importantes preuves stockées dans la mémoire. Enfin, un serveur DNC physique piraté par les Russes se trouve maintenant dans le sous-sol du DNC, à côté de l’armoire d’archives forcée par les cambrioleurs du Watergate.

CrowdStrike a obtenu une image forensic, qui a été fournie au FBI”, selon un analyste des cybermenaces du ministère de la Défense qui s’est entretenu avec CSO. “Plus personne n’a besoin du matériel physique“.

Faits essentiels sur le piratage du DNC

D’autres faits contradictoires entourant le pointage du doigt de Trump sur l’Ukraine semblent également incontestables.

  1. CrowdStrike est une société américaine dont le siège est situé à Sunnyvale, en Californie, fondée par trois citoyens américains, tous issus de la société de cybersécurité McAfee. Le directeur technique et cofondateur de l’entreprise, Dmitri Alperovitch, est né à Moscou et s’est enfui aux États-Unis avec sa famille alors qu’il était encore adolescent, à l’époque soviétique. La société est cotée à la bourse américaine Nasdaq.
  2. En mai 2016, l’équipe de réponse aux incidents de CrowdStrike a été appelée par le DNC pour répondre à une faille de sécurité et a découvert deux adversaires russes sophistiqués (Cozy Bear et Fancy Bear) sur le réseau du DNC. CrowdStrike a discuté de son enquête dans un post de blog après que le DNC ait rendu l’attaque publique. En décembre 2016, CrowdStrike a publié un rapport plus détaillé sur son analyse.
  3. En janvier 2017, une évaluation complète de la communauté du renseignement américain a conclu, entre autres, que les services de renseignement russes ont eu accès aux réseaux du DNC à partir de juillet 2015 et ont maintenu cet accès jusqu’en mars 2016.
  4. En juillet 2018, le conseiller spécial Robert Mueller a présenté un acte d’accusation contre 12 agents des services de renseignement russes pour le piratage du DNC et de la campagne Clinton. L’acte d’accusation offre des preuves spécifiques et convaincantes sur la façon dont la Russie a accompli les piratages. Il décrit également comment ces preuves ont été utilisées comme armes par le biais du faux personnage Guccifer 2.0, entre autres moyens de diffusion de l’information.
  5. Le rapport de 448 pages de Mueller sur l’enquête de son équipe sur l’ingérence de la Russie dans l’élection de 2016, soumis au procureur général William Barr le 22 mars 2019, a conclu que le gouvernement russe “s’est ingéré dans l’élection présidentielle de 2016 de façon généralisée et systématique” et “a violé le droit pénal américain.” Le rapport a offert des détails fins de l’acte d’accusation et d’autres travaux du bureau de l’avocat spécial comme preuve que le renseignement militaire russe a piraté “les réseaux informatiques du Comité de Campagne du Congrès Démocratique (DCCC) et du Comité National Démocratique (DNC).”

Le piratage du DNC est lié à celui du Parlement allemand

Les agences de renseignement et les spécialistes de la cybersécurité suivaient les groupes de menaces russes bien avant le piratage du DNC, en étudiant leurs empreintes digitales et en surveillant leurs activités. Peu de temps après la révélation du piratage du DNC, Matt Tait, un chercheur réputé en cybersécurité qui travaillait auparavant pour le projet Zero de Google et qui est maintenant chercheur principal en cybersécurité au Robert S. Strauss Center for International Security and Law de l’université du Texas à Austin, a mis en lumière une découverte technique de l’expert en cybersécurité et auteur Thomas Rid, qui établit un lien entre la Russie et le piratage du serveur du DNC.

Rid a découvert que les serveurs de contrôle des logiciels malveillants utilisés dans le piratage du DNC sont les mêmes ordinateurs que les serveurs de contrôle des logiciels malveillants utilisés dans le piratage du Parlement allemand des années auparavant. Le piratage du Bundestag allemand a été attribué aux services de renseignement russes par le chef du service de renseignement allemand BfV.

Une attaque contre la réalité objective

Face à toutes ces preuves, comment les experts en cybersécurité font-ils face à ce qui semble être une marée montante contre ce qu’ils perçoivent comme une réalité objective ? La plupart des professionnels de l’info-sécurité soulignent vaillamment que la théorie de l’Ukraine n’est pas fondée sur la vérité. Ou comme le dit un analyste des cyber-menaces du ministère de la Défense à CSO : “L’histoire du serveur du DNC en Ukraine est une énorme connerie qui n’a aucun sens.”

Chris Vickery, directeur de la recherche sur les cyber-risques chez Upguard, a essentiellement déclaré que dans l’environnement politique actuel, les faits sont l’ennemi de la vérité, pour citer le Don Quichotte de Cervantès. “Toutes les agences de renseignement américaines ont conclu que le GRU [renseignement militaire russe] a mené, et mène toujours, un assaut prolongé contre l’intégrité et le processus des élections américaines. C’est un fait“, déclare-t-il au CSO.

Mais comme le président des États-Unis déclare ouvertement qu’il n’est pas d’accord et que toute cette situation est un “canular“, les conclusions de ces agences de renseignement deviennent soudainement une affaire politique floue”, a-t-il déclaré.

Nicholas Weaver, chercheur principal spécialisé dans la sécurité informatique à l’International Computer Science Institute de Berkeley, en Californie, déclare à ‘CSO Online‘ que “le piratage du DNC et de Podesta par la Russie n’est couvert que par un ‘déni invraisemblable’. Ceux qui veulent se convaincre du contraire ne font qu’ignorer volontairement les montagnes de preuves. La seule raison d’agir ainsi est d’admettre que la vérité se heurte aux délires personnels du président.”

Ces illusions, cependant, ont probablement pour origine les renseignements militaires russes eux-mêmes. Buzzfeed a examiné en profondeur les origines de la théorie du complot en Ukraine, notant que la théorie du complot CrowdStrike a d’abord fait surface dans les organes de propagande russes Russia Today et Sputnik News. La théorie a ensuite pris feu dans les marais fiévreux de 4chan et reddit et s’est transformée en ce qu’elle est aujourd’hui.

L’ancienne responsable du Conseil National de Sécurité, Fiona Hill, a rejeté la théorie de la conspiration en Ukraine directement sur la Russie lors de son témoignage à l’audition de mise en accusation de la Chambre des représentants. Il s’agit, a-t-elle dit, d’un “récit fictif propagé et perpétré par les services de sécurité russes eux-mêmes“.

En bref, selon M. Vickery d’Upguard, “l’histoire de l’Ukraine n’a aucune preuve derrière elle, si ce n’est les déclarations insipides du gouvernement russe. J’aimerais bien voir leurs preuves“.

CrowdStrike, Ukraine, and the DNC server: Timeline and facts
Politicizing cybersecurity only serves to undermine trust in its practices and objectivity, experts fear.

Chapitres

Informations