Méduse vs Serpent

Les États-Unis ont annoncé, mardi, avoir réussi à neutraliser Snake, un logiciel malveillant qui était utilisé par les cyber-espions russe du FSB depuis une vingtaine d’années. Il a longtemps été considéré comme l’un des outils les plus sophistiqués dans l’arsenal de Moscou pour s’emparer des secrets de l’Occident.

Cela faisait plus de vingt ans qu’il hantait les nuits des services de contre-espionnage des États-Unis et de leurs alliés. Snake, un logiciel malveillant présenté comme le principal outil de cyberespionnage du FSB russe, a été mis hors d’état de nuire, s’est réjoui le FBI mardi 9 mai.

“Le département de la Justice, en collaboration avec nos partenaires internationaux, a démantelé un réseau mondial d'ordinateurs infectés par des logiciels malveillants que le gouvernement russe utilise depuis près de deux décennies pour mener ses campagnes de cyber-espionnage, y compris contre nos alliés de l'Otan”, a résumé Merrick Garland, le ministre américain de la Justice, dans un communiqué.

Medusa contre Snake

Cette opération coordonnée par le FBI surnommée “Medusa” a permis d’identifier des milliers d’ordinateurs espionnés à distance par le FSB grâce à Snake, et ce dans une cinquantaine de pays.

Ce logiciel malveillant fonctionne en effet “comme un implant numérique qui s’installe sur le système informatique ciblé et permet d’en prendre le contrôle à distance”, résume Benoît Grunemwald, expert en cybersécurité pour la société slovaque Eset.

Mais pas n’importe quel “implant” numérique. Le FSB a eu 20 ans pour le perfectionner et le mettre à jour pour garder - du moins jusqu’à présent - une longueur d’avance sur les services de contre-espionnage des autres pays. “Lorsque son existence a été dévoilée au grand public en 2014, on s’est rendu compte qu’il était déjà déployé dans 43 pays depuis des années et que c’était, pour l’époque, une vraie Rolls-Royce du logiciel espion étatique”, souligne Pierre Delcher, chercheur en cybersécurité pour la société russe Kaspersky.

À l’époque, une vraie révélation pour une partie de la communauté cyber : un acteur étatique - le lien avec le FSB n’avait pas encore été établi - avait un temps d’avance non négligeable pour transformer le cyberespace en immense terrain de jeu pour espions.

Pièce maîtresse de l'unité militaire 71330

En 2013 déjà, Snake représentait “l’un des logiciels malveillants les plus sophistiqués au monde”, selon les dires du FBI. “Sa principale force a été et reste toujours sa furtivité”, assure Benoît Grunemwald. Il est quasiment indétectable sur les ordinateurs qu’il infecte et se fond parfaitement au sein des programmes légitimes. En outre, “il réussit très bien à brouiller ses communications avec les opérateurs à distance lorsqu’il envoie les informations récupérées sur les ordinateurs des victimes”, précise Pierre Delcher.

Des atouts qui ont fait de Snake la pièce maîtresse de l’unité militaire 71330 du FSB. Cette cellule de pirates informatiques, sous la direction directe des maîtres espions du Kremlin, l’utilise pour viser les cibles importantes.

C’est ainsi que Snake a permis au FSB d’espionner plusieurs ambassades de pays de l’Otan, des administrations étatiques dans une dizaine d’États, des groupes de médias aux États-Unis, mais aussi des entreprises des secteurs pharmaceutique ou énergétique.

Pas étonnant, dans ces conditions, que les agences de renseignement du monde entier mènent une vaste chasse au Snake depuis une dizaine d'années. “Ils ont déjà réussi, à plusieurs reprises, à découvrir et contrer des opérations menées avec Snake, mais sans jamais le neutraliser entièrement”, souligne Gérôme Billois, expert en cybersécurité pour le cabinet Wavestone.

La différence cette fois-ci, est que l’opération “Medusa” a “permis de désactiver une partie des infrastructures qui permettent d’utiliser ce logiciel espion”, assure Gerôme Billois. Autrement dit, les autorités ont neutralisé une grande partie du réseau Snake.

Pour y arriver, ils ont fait en sorte que Snake se morde la queue. Le FBI et ses partenaires ont pris le contrôle d’ordinateurs infectés à partir desquels des programmes permettant de désactiver ce réseau ont été envoyés aux serveurs contrôlés par les espions russes. “C’est un peu comme s’ils avaient demandé à Snake de s’autodétruire”, résume Gérôme Billois.

Avertissement à Moscou

C’est un coup dur pour le FSB, mais il devrait pouvoir s'en relever, d’après les experts interrogés par France 24. “Ils ont peut-être perdu une partie des infrastructures et un outil important, mais il n’y a pas eu d’arrestation ce qui veut dire que le FSB dispose encore des cerveaux qui l’opérait”, précise Gérôme Billois.

Nul doute que ces as du cyberespionnage vont se mettre au travail pour remettre leur réseau sur pied. “Cette opération va probablement ralentir les campagnes d’espionnage contre les cibles importantes pendant des mois”, estime Benoît Grunemwald.

Le FSB dispose probablement d'autres atouts dans sa hotte. “Cela fait dix ans au moins que cet acteur sait que tout le monde cherche à neutraliser cette menace, il a eu le temps de travailler sur des alternatives”, note Pierre Delcher.

Finalement, “cette victoire du FBI et de ses alliés ne va pas octroyer d’avantages opérationnels énormes sur la Russie”, juge Gerôme Billois. Mais l’important est peut-être ailleurs : “Si Washington a choisi d’infliger un camouflet aux espions de Moscou au lendemain des célébrations du 9 mai à Moscou [jour de fête nationale qui marque la victoire des Soviétiques sur l’Allemagne nazie en 1945, NDLR], ce n'est probablement pas anodin”, rappelle cet expert.

En pleine guerre en Ukraine, c’est pour Washington un moyen de faire comprendre à la Russie que les États-Unis sont capables “de manière tout à fait légale [ils ont obtenu des mandats judiciaires pour effectuer chaque étape de l’opération "Medusa", NDLR] et grâce à une collaboration internationale de comprendre et maîtriser l’outil le plus sophistiqué de l’arsenal des cyber-espions russes”, conclut Pierre Delcher. Cette opération permet, en fait, de signaler à Moscou que même les secrets les plus secrets du FSB ne le sont pas pour les grandes oreilles de Washington.

