22/06/2018

Des espions qui venaient de Russie

Stars chéries des films hollywoodiens depuis les années 1950, et de Red Sparrow aujourd’hui, les espions et espionnes russes sont en voie de disparition. Car la réalité et la technologie dépassent la fiction.


L’image des Russes dans la culture populaire occidentale fait partie des choses désagréables qu’ils doivent supporter depuis des générations. L’inimitable Rosa Klebb, la brute qui essaie de tuer le héros britannique James Bond avec une lame empoisonnée dissimulée dans la pointe de sa chaussure, est toujours la mère (marâtre) de tous les maux. Les Russes, hommes ou femmes, sont en général brutaux, froids et dénués de conscience morale, et quand par hasard ils sont sympathiques, comme Lev Andropov, le gentil cosmonaute d’Armageddon, ils portent la chapka et sont ivres.

Aujourd’hui on pense plus souvent qu’on ne le souhaiterait à Rosa Klebb, et c’est moins à cause du cinéma que de la réalité. Le récent empoisonnement de l’ancien agent double russe Sergueï Skripal est un crime digne de la guerre froide, comme l’histoire de Trinh Xuan Thanh, ce Vietnamien kidnappé en plein Berlin à l’été 2017 sur ordre des services secrets de la République socialiste du Vietnam. Les services des pays communistes, ou plutôt des pays autoritaires, auxquels appartiennent entre autres les Russes, ont aussi peu de pitié pour leurs victimes que de respect pour l’État de droit. 
Le malaise se répand en Occident. 

Le péril terroriste. 


La fin de la guerre froide et la montée du terrorisme islamiste ont longtemps fait disparaître les agents russes de l’esprit des Européens et des Américains. L’incarnation du mal n’était plus le vieil apparatchik du Bureau politique prêt à appuyer sur le bouton nucléaire, mais un prêcheur menaçant sous une tente en Afghanistan. Les islamistes connaissent le pouvoir des images mieux que les communistes. La réalité n’a jamais autant dépassé la fiction que le 11 septembre 2001, quand Al-Qaida a mis en scène un meurtre à grande échelle devant les caméras de télévision. Les services secrets américains ont ensuite combattu ce péril avec des méthodes que l’Occident aurait plutôt attribuées à l’Union soviétique – enlèvements, torture et détention hors de tout droit. 

À cette époque, les Russes post-soviétiques n’avaient pas arrêté d’espionner l’Occident, mais ils ne suscitaient plus vraiment d’inquiétude. En 2010 par exemple, un de leurs réseaux d’espionnage a été démantelé aux États-Unis : dix hommes et femmes qui se faisaient passer depuis des années pour de bons citoyens, tout en faisant discrètement leur rapport à Moscou. Les Américains ont réagi à la nouvelle avec stupéfaction et humour plutôt qu’avec inquiétude. [Après son rapatriement en Russie dans le cadre d’un échange de prisonniers], Anna Chapman, l’une des membres du réseau, a fait une brillante carrière à la télévision russe – ce qui correspondait bien à l’époque.

Joe Weisberg a conçu à partir de cette afaire une série télévisée [The Americans] sur les espions qui vivent “parmi nous” : Philip et Elizabeth élèvent deux enfants dans la banlieue de Washington et travaillent accessoirement – ou principalement – pour Moscou. Ils séduisent, torturent ou tuent. Weisberg n’avait qu’un problème : plus personne n’avait peur des Russes. Il a donc décidé de situer
l’action dans les années 1980, époque où le président Ronald Reagan considérait l’Union soviétique comme “l’empire du Mal”.

Si Weisberg écrivait sa série aujourd’hui, il pourrait sans problème situer l’action de nos jours. Vladimir Poutine qui pense que son pays est assiégé par l’Occident – essentiellement à cause de l’élargissement de l’Otan – vient d’atteindre son objectif déclaré : la Russie est à nouveau prise au sérieux, voire crainte. Depuis qu’il a annexé la Crimée et affiche son alliance avec le dictateur syrien Bachar El-Assad, l’Occident est convaincu que Poutine est capable de tout ou presque. Le gouvernement britannique estime même qu’il est personnellement responsable de l’attaque contre Skripal. Il n’y a aucune preuve, mais la presse britannique aime à rappeler que Poutine a été agent du KGB, ce qui manifestement lui suffit. Poutine a conforté cette image en déclarant que les “traîtres” finissaient “mal”, après avoir proclamé qu’il irait “buter [les terroristes] jusque dans les chiottes”.

Mais les services secrets des pays qui se trouvent à l’est du rideau de fer sont-ils vraiment plus impitoyables que ceux de l’Ouest ? 


Une chose est sûre, l’histoire regorge d’exemples en ce sens. En 1959, l’anticommuniste ukrainien Stepan Bandera est assassiné à Munich avec un pistolet spécial qui lui projette du cyanure au visage. En 1978, le KGB et les services secrets bulgares assassinent le dissident Georgi Markov en le piquant à la jambe sur un pont de Londres avec un parapluie qui lui a injecté de la ricine. En 1981, la Stasi tente de se débarrasser de Wolfgang Welsch [un dissident qui avait monté une organisation pour aider des Allemands de l’Est à fuir la RDA], en assaisonnant ses boulettes de viande au thallium.

C’est vrai, bien d’autres services secrets ont recours à des mesures extrêmes. Le Mossad a tué des centaines de terroristes, vrais ou supposés palestinien et iranien. L’opération commando américaine destinée à tuer Oussama Ben Laden, le chef d’Al-Qaida, au Pakistan restera elle aussi dans les livres d’histoire. Elle a donné lieu par la suite à un film intitulé Zero Dark Thirty. La réalité et la fiction passent leur temps à se courir après et si la réalité gagne souvent, ce n’est certainement pas uniquement grâce aux Russes.

Cependant, les services secrets sont utilisés plus souvent à l’Est qu’à l’Ouest contre les dissidents ou les opposants. Après le stalinisme, la direction soviétique avait placé les services secrets sous le contrôle du Parti et du Bureau politique de façon à éviter qu’une seule personne puisse décider arbitrairement d’y faire appel. Avec Poutine en revanche, c’est à nouveau un homme venu des services et travaillant avec les services qui est au pouvoir et il n’y a pas la moindre force politique en vue pour le surveiller.

Aux États-Unis non plus, ce ne sont pas toujours les principes de l’État de droit qui guident les méthodes des services secrets. Dans les années 1950, la CIA a élaboré des plans grotesques pour assassiner le révolutionnaire cubain Fidel Castro. L’organisation s’est par la suite éloignée de ce type de méthodes, mais tous ses scrupules ont à nouveau disparu avec les attentats de 2001. Le président Barack Obama a commencé par étendre sa guerre des drones avant de limiter les assassinats ciblés aux terroristes qui constituaient un danger “immédiat”.

L’humain superflu.


Le caractère impitoyable des appareils d’État autoritaires trouve une illustration particulière dans les “pièges à miel” – ces espionnes ou espions qui séduisent les autres ou acceptent d’avoir des relations sexuelles avec eux. Les services occidentaux y ont certes eu recours, mais l’Union soviétique était imbattable à ce jeu, ce qui du point de vue occidental montre qu’elle est impitoyable. Comme l’expliquait l’ancien inspecteur général de la CIA Frederick Hitz : “Il n’y a que très peu de services occidentaux qui peuvent dicter à leurs citoyens que leur corps appartient à l’État.”

Ce n’est pas un hasard si un film qui traite de la question est actuellement diffusé au cinéma. Red Sparrow, qui raconte l’histoire d’une espionne russe chargée de séduire des hommes, n’aurait pas suscité l’intérêt du public en 2010. Il rejoint aujourd’hui la longue liste des films occidentaux dans lesquels les Russes manifestent mépris de l’être humain et violence. Red Sparrow aurait pu sortir en 1988 (si ce n’est que Jennifer Lawrence, l’actrice américaine qui joue l’espionne russe, n’était pas encore née à l’époque).

Doit-on encore coucher avec l’ennemi pour obtenir des informations ? 


Pour les services secrets, les plus grands bouleversements sont aujourd’hui davantage liés à la technologie qu’à l’idéologie. Pourquoi entraîner quelqu’un au lit pour lui arracher ses secrets quand on peut pirater son téléphone ? Pourquoi risquer la vie d’un agent quand on peut abattre l’ennemi avec un drone ?

On dit toujours que le film d’espionnage est un genre increvable : les régimes et les idéologies vont et viennent, mais il y aura toujours des individus prêts à s’exposer aux plus grands dangers pour un noble but. Cependant, deux des missions centrales des services secrets, obtenir des informations et tuer, nécessitent de moins en moins d’êtres humains. Si l’utilisation de robots et de drones se maintient, le film d’espionnage perdra bientôt son élément le plus important : l’agent lui-même.


21/06/2018

Des passeports européens à vendre

Réunis en Suisse, les acteurs de ce marché n’apprécient pas que l’on s’intéresse à eux

Maintenant, vous êtes invités à sortir. » « Arrêtez de héler les participants, sinon nous appelons la po- lice. » Les journalistes du Monde n’étaient clairement pas les bienvenus, mardi 5 juin, à la grande rencontre annuelle des vendeurs de passeports « en or ». Baptisée « Forum de la citoyenneté par l’investissement », cette conférence a réuni pendant trois jours à Genève les principaux acteurs de ce business contesté. En plein essor, il consiste à commercialiser auprès de super-riches du monde entier la citoyenneté de pays leur permettant de circuler plus facilement sur la planète.

Pour un montant allant de quelques centaines de milliers à 2 millions d’euros, ceux-ci peuvent notamment s’offrir des passeports d’Etats caribéens, de Chypre ou de Malte – qui permettent de voyager librement dans l’Union européenne (UE). Ce négoce jusqu’ici très discret fait l’objet depuis quelques mois de révélations inquiétantes dans la presse. Proches de Vladimir Poutine pourvus de passeports chypriotes ; Iraniens ayant acheté la nationalité de Saint- Kitts-et-Nevis (Caraïbes), pour échapper aux sanctions internationales ; contournement des règles européennes à Malte...

Ces scandales ont jeté un froid parmi les représentants gouvernementaux des pays vendeurs, les cabinets d’avocats et les experts de la vérification d’identité, qui avaient l’habitude de se retrouver en toute tranquillité dans le cadre luxueux du Grand Hôtel Kempinski, au bord du lac Léman. « Il y a beaucoup d’incompréhension de la part de la presse, qui est mal renseignée sur le sujet, déclare ainsi Bruno L’Ecuyer, directeur de la principale association professionnelle du secteur, organisatrice du forum. Les articles à charge et les gros titres font vendre, mais nous parlons ici d’une activité bénéfique pour les pays et les gens. Il ne faut pas ostraciser ceux qui investissent dans l’économie. »

Les scandales ont pourtant attiré l’attention de la Commission européenne et de l’Organisation de coopération et de développement économiques (OCDE), qui réfléchissent toutes deux à la façon de réguler ce secteur jusqu’ici très peu contrôlé. Les deux institutions s’inquiètent, notamment, du fait que ces passeports « en or » puissent servir à contourner des procédures fiscales ou judiciaires dans les pays d’origine. Mais Le Monde n’a pas pu assister à plus de deux heures de conférence. Les organisateurs ont notamment argué de discussions « trop techniques » et « confidentielles », ou d’articles trop critiques » pour nous laisser y assister.

Sur la défensive

Pas question, par exemple, de suivre les débats sur la question très sensible du contrôle des acheteurs de passeports, souvent issus de pays exposés au risque de corruption ou de blanchiment d’argent, à l’image de la Chine, de la Russie ou du Moyen-Orient. Grands pourvoyeurs de passeports, les pays caribéens sont particulièrement sur la défensive. Les cinq pays de la région qui ont ouvert leur nationalité à la vente utilisent en effet largement, comme argument de vente, les accords signés en 2009 et 2015 avec l’UE, permettant à leurs citoyens de circuler librement sans visa dans l’espace Schengen.

« Or, si Schengen fait pression, il faudra forcément qu’on change les programmes », redoute déjà Mark Scott, promoteur immobilier à Grenade. Cela ne sera pas facile, tant le marché des passeports est devenu crucial pour ces petits territoires insulaires. « Pour la Dominique, c’est 1 milliard de dollars caribéens, soit 25 % de notre PIB », explique Emmanuel Nanthan, représentant du programme sur l’île. Tout aussi inquiet, Dimitry Kochenov, professeur à l’université néerlandaise de Groningen et président du Forum de la citoyenneté par l’investissement, a carrément assimilé ce business à la défense de la démocratie libérale, dans son discours d’ouverture. « Notre secteur est menacé par la progression des populistes qui veulent juste être entourés des gens de leur village et geler le monde en empêchant les gens de vivre la vie qu’ils veulent dans un monde ouvert », s’est-il alarmé depuis la tribune de l’un des plus beaux hôtels cinq étoiles de Genève...



06/06/2018

La mafia italienne en Roumanie

Un entrepreneur italien de 43 ans, suspecté d’appartenir à la mafia napolitaine, est incarcéré depuis avril en Roumanie. La justice le soupçonne d’être, dans le pays, l’homme de confiance du boss Michele Zagaria. 


Tout a commencé comme dans les films d’action, avec une trentaine de policiers cagoulés, munis d’armes d’assaut. L’aube s’était à peine levée sur un quartier résidentiel de la ville roumaine de Pitesti, jeudi 12 avril, quand ils ont déboulé dans la rue Petre-Ispirescu. A 6 heures, les voici devant le numéro 60, une villa couleur pistache. Un coup de sonnette. Pas de réponse. Alors, ils escaladent les murs d’enceinte, zigzaguent entre les fontaines du jardin, longent la piscine intérieure, puis pénètrent dans le salon rococo où ils menottent le propriétaire, hébété, vêtu d’un caleçon : Nicola Inquieto, un Italien de 43ans, considéré comme le principal entrepreneur immobilier de cette ville tranquille et besogneuse.

Ce coup de filet orchestré par la Direction d’investigation antimafia de Naples (DIA) parachève deux ans de filatures, étayées d’écoutes téléphoniques et de confidences de repentis. Nom de code : « Opération Transilvania ». Ou l’art de pister jusqu’en Roumanie l’argent de la mafia napolitaine, la Camorra...

Cette fois, il s’agit d’un trésor d’exception: celui de Michele Zagaria, alias « Capastorta » (« Tête tordue »), aussi connu comme le « roi du ciment», l’un des boss les plus influents de la région de Naples, pourtant derrière les verrous depuis sept ans. Faire fructifier le patrimoine du chef à 2 000 kilomètres de son territoire: telle aurait été la mission d’Inquieto, ex-fiancheggiatore (« homme de main ») devenu nabab à Pitesti, 170 000 habitants et un beau surnom de « cité des tulipes ».

Avant de se retrouver menotté sur son canapé chesterfield, Nicola Inquieto était le maître en sa demeure, un château fort kitsch de trois étages, dignes de ceux des caïds de Casal di Principe, fief camorriste des environs de Naples. « A Pitesti, c’était le promoteur numéro un, assure Sorin Apostoliceanu, maire adjoint. Les gens ont été surpris par son arrestation, mais je me doutais que cela arriverait un jour... Des rumeurs circulaient sur son passé, et je l’avais surpris à construire sur un terrain sans autorisation. »

Le mandat d'arrêt émis à l’encontre d’Inquieto par la juge napolitaine Federica Colucci. Ce docu- ment de 324 pages raconte l’exil forcé de ce père de famille au crâne rasé et aux lunettes fumées, soupçonné d’avoir animé une filiale roumaine des activités du clan Zagaria. Charpentier de formation, il aurait bâti un empire de plusieurs centaines de millions d’euros à Gavana, un quartier de Pitesti prisé des classes moyennes: plus de quatre cents appartements neufs vendus selon un système de leasing permettant aux acquéreurs de se passer des banques, en payant sur dix ans sans frais. Ces blocs de six étages forment autour de sa villa une sorte d’«Inquieto City » encore en chantier.

YOGA ET AQUAGYM


Derrière l’entrepreneur, la police poursuit l’argent de Michele « Tête tordue » Zagaria. Leurs familles respectives sont liées à la vie à la mort. A la fin des années 1990, lorsque le boss en cavale est acculé par la police, les trois frères Inquieto – Giuseppe, Vincenzo et donc Nicola – lui servent aussi bien de prête-noms pour ses affaires que de logeurs dévoués, bricoleurs et discrets.

En 2004, une fois repérée l’une de ses premières cachettes – une adresse au nom de Nicola –, Zagaria ordonne à celui-ci de quitter l’Italie afin de protéger sa propre fuite et son business. Le jeune homme, alors marié à une Roumaine originaire de Pitesti, n’a pas à trop gamberger pour choisir son exil. Une fois sur place, il a tôt fait de repérer le potentiel des terrains en friche du quartier de Gavana. Il crée alors Italy Constructii, puis Daniela Constructii, deux sociétés de construction qui, selon les enquêteurs, sont directement alimentées par l’argent de Zagaria et permettent à celui-ci de faire fructifier son pactole.

Pendant ce temps, en Italie, Vincenzo Inquieto – le grand frère, surnommé «il Tubista » (« le plombier ») – façonne un bunker au sous-sol de la maison familiale, à Casapesenna. Un réduit sommaire de 20 mètres carrés d’où Zagaria commande ses fidèles, en utilisant un ingénieux système d’interphone. Il faudra attendre le 7 décembre 2011 pour qu’il soit débusqué.

Tandis que Vincenzo purge quatre ans de prison pour complicité, Nicola, que certains surnommaient « o Chiattone » (« le Gros Lard») du temps où il vivait en Italie, revient régulièrement au pays, depuis Pitesti, au volant de bolides toujours plus rutilants, la silhouette toujours plus affinée... L’enquête préliminaire évoque les rendez-vous furtifs où le fils de Zagaria, poursuivant l’œuvre paternelle, indique qu’« “o Chiattone” doit venir [lui] donner quelque chose». Ou encore cette colère du bouillant Nicola, qui affirme disposer des ressources financières d’un puissant protecteur capable de « manger le cœur» de ses rivaux...

Si la DIA truffe ses voitures de micros espions et épluche ses transactions bancaires, nul besoin de filature experte pour suivre les faits et gestes du nouveau roi de Gavana. L’Italien raconte sur les réseaux sociaux ses vacances, ses sorties, ses prouesses au karaoké, installé au bord de sa piscine siglée de ses initiales en mosaïque... On y lit son coup de foudre pour sa dernière compagne, une Roumaine de 25 ans, fille d’un entrepreneur local. En janvier, le couple inaugure le Vitality Spa, le club de gym le plus luxueux de la région, où l’on se presse aux cours de yoga et d’aquagym autant qu’aux entraînements de MMA, un sport de combat où tous les coups sont permis. S’il se fait discret en ville, préférant vivre caché derrière les palissades de sa villa à colonnades, l’ex-fiancheggiatore est toujours resté dans le viseur des enquêteurs napolitains.

«Le démantèlement complet de l’organisation de Michele Zagaria ne peut être effectif qu’en éliminant tous les canaux de financements qui lui permettent de survivre, précise le procureur adjoint antimafia de Naples, Giuseppe Borrelli. Le nom de Nicola Inquieto émergeait dès 2009 dans nos écoutes, mais nous devions retracer la provenance des capitaux. Cela a été possible grâce à l’appui efficace de la Roumanie, un modèle de coopération judiciaire internationale. »

Le centre névralgique de l’enquête roumaine est un modeste bureau aux murs de crépi blanc, au premier étage du siège de la Direction d’investigation des crimes organisés et du terrorisme de Pitesti. «Inquieto était surveillé par nos services depuis son arrivée, en 2004, mais les investigations sur ses liens avec la mafia sont désormais menées par la justice italienne», précise le procureur en chef, Valentin Preoteasa, impassible derrière ses lunettes aux verres loupes.

«Les liens culturels et linguistiques, le positionnement géographique, l’intensité de l’économie souterraine et le ratio de paiement en cash font de la Roumanie une destination privilégiée pour les mafias italiennes», souligne, pour sa part, Michele Riccardi, chercheur à Transcrime, un réseau universitaire étudiant la criminalité organisée.

Depuis l’opération policière du 12 avril, Me Ion Radu Rotaru, l’avocat roumain de Nicola Inquieto, piaffe sur son fauteuil de style baquet de formule 1 : « Mon client est un homme d’affaires discret, un travailleur, il sait poser un carrelage, peindre, c’est un artiste. Il paie ses impôts en honnête homme. » Le pénaliste ne nie pas la poignée d’affaires locales en cours, dont des faits de menaces et un accident de chantier ayant entraîné la mort d’un ouvrier tombé d’une grue. Mais il entend avant tout limiter la durée de l’extradition de son client, prévue pour les jours à venir. Nicola Inquieto serait alors pendant six mois à la disposition des enquêteurs italiens, bien décidés à obtenir des révélations susceptibles de faire vaciller l’empire roumain de la Camorra. Pour Me Rotaru, tout cela relève de la fiction : « La mafia n’existe plus, c’est de l’imagination. Et, en plus, personne n’a jamais surnommé mon client “le Gros Lard”... »

« TRAGÉDIE SOCIALE »


Pendant ce temps, enfermé dans la prison locale, le bâtisseur déchu tourne en rond comme un fauve en cage. Au lendemain de notre rencontre avec Me Rotaru sonne l’appel d’un émetteur inconnu. «Allô, c’est Nicola...» Depuis la cabine téléphonique du poste de police de Pitesti, le charpentier italien veut s’expliquer. Il commence, d’une voix claire et déterminée : « Je n’ai rien à voir avec l’argent de Zagaria. Je suis un artisan, ici j’ai fait des sacrifices, même ma maison, je l’ai construite de mes mains. La vérité, c’est que les procureurs sont prêts à tout pour retrouver la fortune de Zagaria, mais ils se trompent de cible et ils le savent... Les collaborateurs de justice, eux, se mettent d’accord pour dire n’importe quoi. »

La conversation se poursuit. Inquieto justifie ses virées en Italie, détaille les factures de 2017, ces 100 000 euros retirés en cash : «C’était pour me payer un beau mariage, les anneaux, la robe, les chanteurs... Tout est prouvé dans ma comptabilité. » La conversation se coupe brusquement. Il remet une pièce dans la machine. « Je reprends des médicaments contre les attaques de panique qui me reviennent. Surtout, ma fille de 8ans pleure tout le temps, elle voit un psychologue...» Il s’effondre en sanglots, puis se reprend. « Je savais qu’ils me suivraient. J’aurais été d’accord pour être contrôlé, calmement. Mais là ils ont débarqué chez moi à 6 heures du matin et ont fait un festival, sans trouver aucune preuve. Je vais prouver mon innocence. Ma vie est ici, en Roumanie, plus en Italie. »

Tandis qu’Inquieto est détenu depuis le 31mai à la prison de Rebibbia à Rome pour s’expliquer devant les magistrats, la rue Petre- Ispirescu poursuit sa mue. Les saisies empêchent certes les reventes, mais pas les cours d’aquagym ni la vie de quartier. «Cette affaire implique une tragédie sociale pour les citoyens roumains », s’alarme Liviu Stancu, ex-secrétaire d’Etat à la justice, revenu à Pitesti comme avocat. Il défend aujourd’hui un fournisseur de ciment d’Inquieto, ainsi que deux habitants craignant de voir leurs biens confisqués. Le scénario catastrophe serait que les acheteurs se retrouvent complices malgré eux d’avoir fait fructifier la fortune du boss Zagaria en échange d’un appartement idéalement situé entre ville et forêt...

Désormais, la rue est murée dans le silence. Personne ne souhaite évoquer le sort du promoteur. En face de la villa, les travaux se poursuivent pour faire monter un dernier immeuble de l’Italy Constructii. Parmi les ouvriers, une silhouette familière : Vincenzo, le frère plombier, a rejoint l’eldorado roumain après sa sortie de prison. Il prête aujourd’hui sa science des canalisations au quartier de Gavana, dix ans après avoir caché « Tête tordue », l’un des mafieux les plus célèbres d’Italie, dont l’ombre continue de flotter sur Pitesti.



15/04/2018

Operation d'espionnage en Belgique

Comment les espions britanniques ont espionné Proximus



Lorsque des courriels entrants ont cessé d'arriver, cela semblait être anodin au début. Mais il devien finalement clair que ce n'était pas un problème technique de routine. À l'intérieur d'une rangée d'immeubles de bureaux gris à Bruxelles, une attaque de piratage majeure était en cours. Et les auteurs sont des espions du gouvernement britannique.

C'est en été 2012 que les anomalies ont d'abord été détectées par les employés de Belgacom, le plus grand fournisseur de télécommunications en Belgique. Mais ce n'est qu'un an plus tard, en juin 2013, que les experts en sécurité de l'entreprise ont pu comprendre ce qui se passait. Les systèmes informatiques de Belgacom était infectés par un logiciel malveillant très sophistiqué et se déguisaient en logiciel Microsoft tout en volant discrètement des données.

L'an dernier, des documents du lanceur d'alerte de l'Agence nationale de sécurité, Edward Snowden, ont confirmé que l'agence de surveillance britannique Government Communications Headquarters était à l'origine de l'attaque, baptisée Operation Socialist. Et en novembre, les documents de la GCHQ ont révélé que le malware présent sur les systèmes de Belgacom était l'un des outils d'espionnage les plus avancés jamais identifiés par les chercheurs en sécurité, qui l'ont baptisé "Regin".

Cependant, l'histoire complète de l'infiltration de Belgacom par le GCHQ n'a jamais été racontée. Les détails clés sur l'attaque sont restés enveloppés de mystère - et la portée de l'attaque n'est pas claire.

Reconstitution complète des événements qui ont eu lieu avant, pendant et après l'opération secrète de piratage du GCHQ.

Sur la base de nouveaux documents issus des archives de Snowden et d'entretiens avec des sources proches de l'enquête sur les logiciels malveillants chez Belgacom, des chercheurs ont établi que l'attaque contre Belgacom était plus agressive et plus profonde que prévu. Elle s'est déroulé par étapes entre 2010 et 2011, pénétrant chaque fois plus profondément dans les systèmes de Belgacom, compromettant éventuellement le cœur même des réseaux de l'entreprise.

Snowden a déclaré à The Intercept que les dernières révélations constituaient une attribution sans précédent d'une cyberattaque gouvernementale contre une infrastructure critique.

Le piratage de Belgacom, a-t-il déclaré, est le "premier exemple documenté montrant qu'un État membre de l'UE organise une cyberattaque contre un autre membre de l'UE... un exemple stupéfiant de l'ampleur du problème de piratage financé par l'État".

Publiquement, Belgacom a minimisé l'étendue du compromis en insistant sur le fait que seuls ses systèmes internes ont été violés et que les données des clients n'ont jamais été jugées à risque. Mais les documents secrets du GCHQ montrent que l'agence a obtenu un accès bien au-delà des ordinateurs internes des employés de Belgacom et qu'elle était capable de saisir des flux cryptés et non chiffrés de communications privées des clients gérées par la société. Ce qui était le but ultime de l'operation des services secrets britannique.

Belgacom a investi plusieurs millions de dollars dans ses efforts pour assainir ses systèmes et renforcer sa sécurité après l'attaque. Toutefois, ont apprend que des personnes qui ont travaillé sur l'enquête sur les logiciels malveillants dans l'entreprise ne sont pas à l'aise avec la façon dont l'opération de nettoyage a été gérée, et ils croient que certaines parties du programme malveillant GCHQ n'ont jamais été entièrement supprimées et quel peuvent etre toujours présente.

Les révélations sur la portée de l'opération de piratage doivent alarmer les clients de Belgacom à travers le monde. La société exploite un grand nombre de liaisons de données à l'échelle internationale (voir la carte interactive ci-dessous) et dessert des millions de personnes à travers l'Europe ainsi que des hauts fonctionnaires de la Commission européenne, du Parlement européen et du Conseil européen. Les nouveaux détails seront également examinés de près par un procureur fédéral en Belgique, qui mène actuellement une enquête criminelle sur l'attaque contre l'entreprise.

Sophia in 't Veld, une politicienne hollandaise qui présidait la récente enquête du Parlement européen sur la surveillance de masse exposée par Snowden, a déclaré qu'elle pensait que le gouvernement britannique devrait faire face à des sanctions si les dernières révélations étaient prouvées. "Compenser Belgacom devrait être le moins qu'il devrait faire", a déclaré 't Veld. "Mais je suis plus préoccupé par la responsabilité qu'elle est enfreint la loi, violé les droits fondamentaux et manipulé nos systèmes démocratiques."

D'autres attaques malveillantes parrainées par des États, semblables à celles que les États occidentaux auraient perpétrées, ont impliqué Stuxnet, un virus utilisé pour saboter les systèmes nucléaires iraniens, et Flame, un logiciel espion collectant des données sur des systèmes situés principalement au Moyen-Orient.

Ce qui distingue l'infiltration britannique secrète de Belgacom, c'est qu'il a été perpétré contre un proche allié - et est soutenu par une série de documents top-secrets.

Le GCHQ a refusé de faire des commentaires sur cette histoire et a insisté sur le fait que ses actions étaient «nécessaires et légales et proportionnées».






Le début

L'origine de l'attaque de Belgacom remonte à 2009, lorsque le GCHQ a commencé à développer de nouvelles techniques pour pirater les réseaux de télécommunications. Les méthodes ont été discutées et développées au cours d'une série de conférences top secrètes sur le développement des signaux. C'est réunion sont organisées annuellement par les pays de l'alliance de surveillance americaine dite «Five Eyes»: États-Unis, Royaume-Uni, Australie, Nouvelle-Zélande et Canada. .


Entre 2009 et 2011, le GCHQ a travaillé avec ses alliés pour développer de nouveaux outils sophistiqués et des technologies qu'il pourrait utiliser pour analyser les faiblesses des réseaux mondiaux et ensuite les pénétrer. Selon des documents top-secrets du GCHQ, l'agence voulait adopter les nouvelles méthodes agressives en partie pour contrer l'utilisation du cryptage protégeant la vie privée - ce qu'elle a appelé le «problème de cryptage» en interne.


Lorsque les communications sont envoyées à travers les réseaux sous un format crypté, il est beaucoup plus difficile pour les espions d'intercepter et de comprendre les courriels, les appels téléphoniques, les messages texte, les discussions en ligne et les sessions de navigation. Pour le GCHQ, il y avait une solution simple. L'agence a décidé que, dans la mesure du possible, elle trouverait des moyens de pirater les réseaux de communication pour saisir le trafic avant qu'il ne soit crypté.


Les espions britanniques ont identifié Proximus (nom ancien de l'entreprise, Belgacom) comme une cible majeure à infiltrer. L'entreprise, avec sa filiale Belgacom International Carrier Services, joue un rôle important en Europe et a des partenariats avec des centaines d'entreprises de télécommunications à travers le monde - en Afrique, en Asie, en Europe, au Moyen-Orient et aux États-Unis. La filiale de Proximus gère l'un des plus grands hubs d'itinérance au monde, ce qui signifie que lorsque les visiteurs étrangers voyagent en Europe en vacances ou en voyage d'affaires et utilisent leurs téléphones portables, beaucoup d'entre eux se connectent aux réseaux internationaux de Belgacom.


Les documents de Snowden montrent que le GCHQ voulait avoir accès à Proximus pour pouvoir espionner et siphonner les téléphones utilisés comme des cibles de surveillance qui voyageant en Europe. Mais l'agence avait aussi un arrière-pensée. Une fois piraté les systèmes de Belgacom, le GCHQ prévoyait de briser les liaisons de données reliant Belgacom et ses partenaires internationaux, en surveillant les communications transmises entre l'Europe et le reste du monde. Une carte dans les documents du GCHQ, intitulée «Belgacom_connections», souligne la portée de l'entreprise en Europe, au Moyen-Orient et en Afrique du Nord, illustrant pourquoi les espions britanniques la jugeaient d'une telle valeur.


Planification d'attaque

Avant que le GCHQ ne lance son attaque sur les systèmes de Belgacom, l'agence d'espionnage a effectué une reconnaissance approfondie, utilisant ses puissants systèmes de surveillance pour cartographier le réseau de l'entreprise et identifier les employés clés «dans les domaines de la maintenance et de la sécurité».


Les documents du GCHQ montrent qu'il maintienne des bases de données spéciales à cet effet, stockant des détails sur les ordinateurs utilisés par les ingénieurs et les administrateurs système qui travaillent dans le centre nerveux, ou «centre d'opérations réseau», de réseaux informatiques dans le monde entier. Les ingénieurs et les administrateurs système sont des cibles particulièrement intéressantes pour les espions car ils gèrent des réseaux et détiennent les clés qui peuvent être utilisées pour débloquer de grandes quantités de données privées.


GCHQ a développé un système appelé NOCTURNAL SURGE pour rechercher des ingénieurs et des administrateurs système particuliers en trouvant leurs adresses IP sur internet, des identifiants uniques qui sont attribués aux ordinateurs quand ils se connectent à Internet. Au début de 2011, les documents montrent que le GCHQ a perfectionné le système NOCTURNAL SURGE avec l'aide de ses homologues canadiens, qui avaient mis au point un outil similaire appelé PENTAHO.


Le GCHQ a réduit les adresses IP liées aux ingénieurs de Belgacom en utilisant les données recueillies par ses systèmes de surveillance sur l'activité Internet, avant de passer aux dernières étapes avant le lancement de son attaque. Les documents montrent que l'agence a utilisé un outil appelé HACIENDA pour rechercher des points d'accès potentiels vulnérables dans les réseaux de Belgacom; il est ensuite allé chercher des ingénieurs ou des administrateurs particuliers qu'il pourrait infecter avec des logiciels malveillants.




Belgacom


L'infection

Les espions britanniques, qui font partie de l'unité spéciale appelée Network Analysis Center, ont commencé à traîner dans leurs vastes base de données pour obtenir plus de détails sur les individus qu'ils avaient identifiés comme étant des ingénieurs de Belgacom suspects.


Les espions utilisaient les adresses IP qu'ils avaient associées aux ingénieurs comme termes de recherche pour passer en revue leurs trésors de surveillance, ils ont été rapidement en mesure de trouver ce dont ils avaient besoin pour confirmer l'identité des employés et les cibler individuellement avec des logiciels malveillants.


La confirmation est venue sous la forme de «cookies» Google, Yahoo et LinkedIn, de petits fichiers uniques qui sont automatiquement placés sur les ordinateurs pour identifier et parfois suivre les internautes qui naviguent sur Internet, souvent à des fins publicitaires. GCHQ maintient un énorme dépôt appelé MUTANT BROTH qui stocke des milliards de ces cookies interceptés, qu'il utilise pour corréler avec des adresses IP pour déterminer l'identité d'une personne. GCHQ fait référence aux cookies en interne en tant que "identifiants de détection de cible".


Les documents secrets du GCHQ nomment trois ingénieurs de Belgacom qui ont été identifiés comme des cibles à attaquer. L'interception a confirmé l'identité des hommes, tous les trois ont refusé de commenter et ont demandé que leur identité ne soit pas divulguée.


Le GCHQ a surveillé les habitudes de navigation des ingénieurs et s'est préparé à entrer dans la phase la plus importante et la plus sensible de l'opération secrète. L'agence prévoyait d'effectuer une attaque dite «Quantum Insert», qui consiste à rediriger les personnes ciblées pour la surveillance vers un site Web malveillant qui infecte leurs ordinateurs à un rythme effréné. Dans ce cas, les documents indiquent que GCHQ a mis en place une page malveillante ressemblant à LinkedIn pour tromper les ingénieurs de Belgacom. (La NSA utilise également des encarts publicitaire pour cibler des personnes, comme déjà rapporté dans des nombreux cas.)


Un document du GCHQ passant en revue les opérations menées entre janvier et mars 2011 a noté que le piratage sur Belgacom était un succès, et a déclaré que l'agence avait obtenu l'accès aux systèmes de l'entreprise comme prévu. En installant le logiciel malveillant sur les ordinateurs des ingénieurs, les espions avaient pris le contrôle de leurs machines, et étaient en mesure d'exploiter l'accès large aux réseaux informatique que les ingénieurs avaient acces.


Le document indiquait que l'attaque de piratage contre Belgacom avait pénétré "à la fois profondément dans le réseau et à la périphérie du réseau", ajoutant que le travail en cours aiderait "à poursuivre ce nouvel accès".


En décembre 2011, dans le cadre d'une deuxième «poussée de piratage» contre Belgacom, GCHQ identifiait d'autres opérateurs de téléphonie mobile dans le monde se connectant au réseau de l'entreprise dans le cadre de partenariats itinérants internationaux et piratant avec succès des liaisons de données transportant des informations via un protocole GPRS entre clients et operateurs, sessions de navigation et messages multimédia.


L'agence d'espionnage a pu obtenir des données envoyées entre Belgacom et d'autres opérateurs via des tunnels cryptés connus sous le nom de «réseaux privés virtuels». Le GCHQ s'est vanté que son travail d'exploitation contre ces réseaux privés avait été très productif. »Un autre document, daté de la fin de l'année 2011, ajoutait:« L'analyse de réseau sur BELGACOM a permis une exploitation extrêmement réussie ».


Le GCHQ a atteint son objectif. L'agence avait gravement compromis les systèmes de Belgacom et pouvait intercepter des données privées cryptées et non chiffrées transitant par ses réseaux. Le hack restait non détecté pendant deux ans, jusqu'au printemps 2013.





Belgacom




La découverte

À l'été 2012, les administrateurs système ont détecté des erreurs dans les systèmes de Belgacom. Dans les bureaux de la société sur la rue Lebeau à Bruxelles, à quelques pas des bureaux belges du Parlement européen, les employés de la filiale BICS de Belgacom se sont plaints des problèmes de réception des courriels. Le serveur de messagerie fonctionne mal, mais l'équipe technique de Belgacom n'a pas pu déterminer pourquoi.


Le problème a été laissé en suspens jusqu'en juin 2013, quand il y a eu une flambée soudaine. Après l'envoi d'une mise à jour logicielle Windows au serveur d'échange de courriels de Belgacom, les problèmes sont retournés, pire qu'avant. Les administrateurs ont contacté Microsoft pour obtenir de l'aide, se demandant si la nouvelle mise à jour de Windows pouvait être à l'origine de la panne. Mais Microsoft, lui aussi, a eu du mal à identifier exactement ce qui n'allait pas. Il n'y avait toujours pas de solution à trouver. (Microsoft a refusé de commenter cette histoire.)


L'équipe de sécurité interne de Belgacom a commencé à soupçonner que les systèmes avaient été infectés par une sorte de virus, et l'entreprise a décidé qu'il était temps de faire appel à des experts externes. Il a fait appel à la firme de sécurité informatique néerlandaise Fox-IT pour venir scanner les systèmes à la recherche d'informations suspectes.


Rapidement, Fox-IT a découvert des fichiers bizarres sur le serveur de messagerie de Belgacom qui semblaient être déguisés en logiciels Microsoft légitimes. Les fichiers suspects permettaient à un hacker très sophistiqué de contourner les mises à jour logicielles automatiques de Microsoft sur les systèmes de Belgacom afin de continuer à s'infiltrer dans les systèmes de l'entreprise.


Environ un mois après que Belgacom ait identifié le logiciel malveillant, il a informé la police belge et l'unité criminelle informatique spécialisée du pays, selon des sources proches de l'incident. Le rSGRS a également été appelé pour enquêter sur le piratage, en collaboration avec Fox-IT.


Les experts de Fox IT et du renseignement militaire ont travaillé à disséquer le malware sur les systèmes de Belgacom, et ont été choqués par ce qu'ils ont trouvé. Dans des interviews des sources proches de l'enquête ont décrit le malware comme le plus avancé qu'ils aient jamais vu, et ont déclaré que si le serveur d'échange de mails n'avait pas mal fonctionné, le bug d'espionnage serait probablement resté à l'intérieur de Belgacom pendant plusieurs années.


Une violation profonde

Tout en travaillant pour évaluer l'étendue de l'infection chez Belgacom, l'équipe d'enquêteurs s'est rendu compte que les dommages étaient beaucoup plus importants qu'ils ne le pensaient. Le logiciel malveillant a non seulement compromis les serveurs de messagerie de Belgacom, mais il a infecté plus de 120 systèmes informatiques exploités par l'entreprise, y compris jusqu'à 70 ordinateurs personnels.


La découverte la plus sérieuse a été que les gros routeurs qui constituent le cœur même des réseaux de télécommunications internationaux de Belgacom, fabriqués par la société américaine Cisco, ont également été trouvés compromis et infectés par des patch de sécurité mis a jours. Les routeurs sont l'une des parties les plus étroitement surveillées de l'infrastructure de l'entreprise, car ils gèrent de grands flux de communications privées sensibles transitant par ses réseaux.


Les premières fuites de Snowden ont montré comment la NSA peut compromettre les routeurs, tels que ceux exploités par Cisco; l'agence peut les pirater à distance ou les intercepter et les intercepter physiquement avant qu'ils ne soient installés dans une entreprise en amont. Dans le cas de Belgacom, on ne sait pas exactement quelle méthode a été utilisée par le GCHQ, ni s'il y a eu une assistance directe de la NSA. (La NSA a refusé de commenter cette histoire.)


Dans tous les cas, les enquêteurs de Proximus n'ont jamais eu l'occasion d'étudier les routeurs. Après que l'infection des backdoor des routeurs Cisco a été trouvé, la société a émis une volonté que personne ne pousse les toucher. Les patrons de Proximus ont insisté sur le fait que seuls les employés de Cisco pouvaient gérer les routeurs !, ce qui a provoqué des malaises chez certains enquêteurs vu que l'entreprise compte comme actionnaire principale des américains comme partenaire dans le capitale de Proximus.


"Vous pourriez demander à de nombreuses sociétés de sécurité d'enquêter sur ces routeurs", a déclaré l'un des enquêteurs. En amenant des employés de Cisco pour faire l'enquête, "vous ne pouvez pas effectuer une inspection indépendante", a déclaré la source, qui a parlé sous couvert d'anonymat parce qu'il n'était pas autorisé à parler aux médias.


Un porte-parole de Cisco a refusé de commenter l'enquête de Proximus, citant la politique de l'entreprise. "Cisco ne commente pas publiquement les relations avec ses clients ou les incidents spécifiques de ses clients", a déclaré le porte-parole.


Peu de temps après que le malware a été trouvé sur les routeurs, Proximus a demandé à Fox-IT d'arrêter son enquête. Des chercheurs de la société de sécurité néerlandaise ont été invités à rédiger un rapport sur leurs découvertes dès que possible. Dans le cadre d'un accord de non-divulgation, ils ne pouvaient pas parler de ce qu'ils avaient trouvé, ni mettre en garde publiquement contre le logiciel malveillant. De plus, ils n'étaient pas autorisés à supprimer le logiciel malveillant...


Entre fin août et mi-septembre 2013, il y a eu une intense période d'activité autour de Belgacom.
Le 30 août, certaines parties du logiciel malveillant ont été supprimées à distance des systèmes infectés de l'entreprise - apparemment après que les espions britanniques aient réalisé qu'il avait été détecté. Mais le malware n'a pas été complètement supprimé, selon des sources proches de l'enquête.


Deux semaines plus tard, le 14 septembre, des employés de Belgacom, des enquêteurs, de la police et des services de renseignements militaires ont entrepris une tentative intensive pour éliminer complètement le virus de l'espionnage des systèmes. Au cours de cette opération, des sources proches de l'enquête suspectaient la NSA ou le GCHQ d'avoir été responsables de l'attaque.


Le même jour où l'histoire a éclaté, le 16 septembre, Proximus a publié un communiqué de presse. "A ce stade, il n'y a aucune indication d'impact sur les clients ou leurs données", indique le communiqué. "À aucun moment la livraison de nos services de télécommunication n'a été compromise. "


Proximus





Des ressources significatives

Au lendemain des révélations, Belgacom a refusé de commenter le rôle du GCHQ en tant qu'architecte de l'intrusion. Les hauts responsables de l'entreprise ont été appelés à comparaître devant un comité du Parlement européen enquêtant sur l'étendue de la surveillance de masse révélée par Snowden.


Les patrons de Belgacom ont déclaré au comité que les systèmes de Belgacom ne posaient aucun problème après une opération de nettoyage «méticuleuse» et ont de nouveau affirmé que les communications privées n'étaient pas compromises. Ils ont rejeté les rapports des médias sur l'attaque, et ont refusé de discuter de quoi que ce soit à propos de l'auteur, disant seulement que "les pirates [responsables] ont des ressources considérables derrière eux".


Les personnes ayant connaissance de l'enquête sur les logiciels malveillants ont regardé les déclarations publiques de Belgacom avec intérêt. Et certains d'entre eux ont remis en question la version des événements de l'entreprise.


"Il n'y avait qu'un nettoyage partiel", a déclaré une source familière avec l'enquête sur les logiciels malveillants. "Je crois qu'il est toujours là. C'est très difficile à enlever et, d'après ce que j'ai vu, Belgacom n'a jamais fait de tentative sérieuse pour l'enlever. " Belgacom a refusé de commenter cette histoire, citant l'enquête criminelle en cours en Belgique.

Le virus de l'espionnage a été décrit par les chercheurs en sécurité comme l'un des logiciels malveillants les plus sophistiqués jamais découverts, ciblant de nombreux réseaux de télécommunications, gouvernements et organismes de recherche dans des pays comme l'Allemagne, l'Iran, le Brésil et la Russie. , et la Syrie, ainsi que la Belgique.


Le GCHQ a refusé de commenter Regin, tout comme la NSA et Proximus. Mais les documents de Snowden contiennent des preuves solides, qui n'ont jamais été rapportées auparavant, qui relient directement les espions britanniques au malware.


En plus de montrer comment les espions britanniques infiltraient l'entreprise et plantaient des logiciels malveillants pour voler des données clients, les documents GCHQ de l'archive Snowden contiennent des noms de code qui apparaissent également dans les échantillons de malware Regin trouvés sur les systèmes de Belgacom, tels que "Legspin" et " Marelle."


Un document du GCHQ sur l'utilisation des méthodes de piratage fait référence à l'utilisation de «Legspin» pour exploiter les ordinateurs. Un autre document décrit «Hopscotch» comme faisant partie d'un système que le GCHQ utilise pour analyser les données recueillies par la surveillance.


Ronald Prins, directeur de la société de sécurité informatique Fox-IT, a étudié les logiciels malveillants et joué un rôle clé dans l'analyse des réseaux infectés de Belgacom. "Les documents de Snowden et ce que j'ai vu du malware ne peuvent mener qu'à une conclusion", a déclaré Prins à The Intercept. "Cela a été utilisé par le GCHQ."


Analyse de Regin


Le 22 janvier 2015, la société Kasperky publie une analyse de deux modules de Regin : « Legspin », une porte dérobée qui pourrait dater de 2002 et « Hopscotch », un nouvel outil utilisé pour circuler au sein des réseaux informatiques visés. Trojan de type backdoor, Regin est un malware complexe dont la structure suppose des compétences techniques rarement vues.

Comme décrit dans le livre blanc publié par Symantec, Backdoor.Regin est une menace en différentes phases, chacune d’entre elles étant dissimulée et chiffrée, à l’exception de la première. L’exécution de la première étape génère un effet domino de déchiffrement et de chargement de la phase suivante. Chaque étape individuelle fournit peu d’informations sur l’ensemble de la menace. Seule la réalisation de l’ensemble permet l’analyse et la compréhension de la menace.

Regin utilise également une approche modulaire, lui permettant de charger des fonctionnalités adaptées selon la cible. Cette approche modulaire a déjà été vue dans des familles de malwares sophistiqués tels que Flamer et Weevil (TheMask), alors que l’architecture en plusieurs étapes est similaire à celle observé dans Duqu/Stuxnet


Proximus


Vecteur d’infection et charges utiles


Le vecteur d’infection varie selon les cibles et aucun vecteur reproductible n’a été identifié à l’heure où ce rapport a été rédigé. Symantec estime que certaines cibles ont été leurrées vers la visite de fausses versions de site Internet bien connus, et que la menace s’est installée via un navigateur web ou lors de l’exploit d’une application. Sur un ordinateur, les fichiers log montraient que venait de Yahoo ! Instant Messenger via une faille non confirmée.

Regin utilise une approche modulaire, donnant ainsi une certaine flexibilité à ses commanditaires et opérateurs qui peuvent ainsi adapter ses fonctionnalités selon les cibles individuelles et les besoins. Certaines charges utiles sont particulièrement avancées et laissent supposer un haut degré d’expertise dans des secteurs bien précis: une preuve supplémentaire du niveau de ressources dont ont bénéficié les auteurs de Regin.

Regin comporte des douzaines de charges utiles. Ses capacités de base incluent plusieurs fonctionnalités de Remote Access Trojan (RAT), telles que la capture d’écrans, la prise de contrôle de la souris, le vol de mots de passe, la surveillance du trafic réseau et la restauration de fichiers supprimés.

Des modules de charge utile plus spécifiques et avancés ont également été découverts, tels que le monitoring de trafic de serveur web Microsoft IIS et l’aspiration du trafic des contrôleurs des stations de téléphonie mobile.


Furtivité

Les développeurs de Regin ont fourni des efforts considérables pour le rendre indétectable. Son caractère discret semble indiquer une utilisation lors de campagnes d’espionnage qui ont duré plusieurs années. Même lorsque sa présence est détectée, il est très difficile de déterminer précisément ses actions. Symantec n’a été en mesure d’analyser les charges utiles qu’après déchiffrement des échantillons de fichiers.

Regin présente plusieurs fonctionnalités de furtivité, notamment des capacités anti-forensics, un système de fichiers virtuel chiffré unique, un chiffrement alternatif sous la forme d’une variante de RC5, qui n’est pas communément utilisé. Regin utilise de multiples moyens sophistiqués pour communiquer avec l’attaquant, notamment via ICMP/ping qui intègre des commandes dans les cookies http, via des protocoles TCP et UDP sur mesure.




Trojan Regin





L’un des modules de Regin vise clairement les opérateurs de télécommunications, car il permet spécifiquement d’espionner ce que font les administrateurs informatiques des réseaux mobiles10,18.

Le 26 novembre, le journal Le Monde indique que selon « une source proche du dossier, qui tient à rester anonyme [...] Regin avait été trouvée au sein des réseaux de plusieurs institutions européennes »20.

Le 28 novembre, le journal autrichien Der Standard indique que selon plusieurs sources anonymes, le maliciel Regin aurait également été découvert dans les systèmes informatiques de l'Agence internationale de l'énergie atomique (AIEA) basée à Vienne21. Le journal rappelle que la NSA avait espionné cette agence internationale, comme l'avait révélé Der Spiegel en août 201322,23 sur la base des révélations d'Edward Snowden.

Le 28 décembre 2014, le quotidien allemand Bild révèle que Regin a été découvert sur la clé USB d'une proche collaboratrice de la chancelière Angela Merkel24. Les services de sécurité informatique de la Chancellerie ont détecté Regin, lorsque cette collaboratrice, qui avait finalisé l'écriture d'un discours sur l'Europe à son domicile et enregistré le document sur la clé USB, a ensuite transféré son document sur son ordinateur professionnel une fois revenue au bureau25.


12/04/2018

Enquête sur les mercenaires en Syrie

Une armée russe fantôme

L’attaque américaine à Deir Ez-Zor début février a révélé la présence de nombreux mercenaires russes en Syrie. Le site d’investigation russe The Bell a mené l’enquête pour en savoir plus sur ces mystérieux volontaires russes.

La SMP Wagner et sa participation à la guerre en Syrie ont été mentionnées pour la première fois en octobre 2015 [période d’entrée en guerre de l’aviation russe] par le site d’information de Saint-Pétersbourg Fontanka. Vadim Goussev et Evgueni Sidorov, dirigeants de la société de sécurité privée Moran Security Group, auraient formé, en 2013, un groupe de 267 “contractuels” afin de “protéger les gisements et les installations pétrolières” dans la Syrie en guerre. Ce détachement a été baptisé Corps slave. Ses membres ont par la suite fondé le groupe Wagner, qui aurait d’abord pris part aux opérations militaires à l’est de l’Ukraine en soutien aux indépendantistes du Donbass et aurait participé au désarmement des bases militaires ukrainiennes en Crimée. Selon les enquêtes de plusieurs médias, les entraînements des combattants de la SMP se déroulent à Krasnodar [dans le sud de la Russie] sur le polygone militaire de Molkino, actif depuis la mi-2015. D’après le journal russe RBK citant une source proche des opérations, en 2016, entre 1 000 et 1 600 mercenaires de Wagner se trouvaient en permanence en Syrie suivant le niveau de tension du conflit.

D’après différents médias, le fondateur du groupe Wagner serait Dmitri Outkine, alias Wagner. Officier de réserve, il commandait jusqu’en 2013 le 700e détachement d’intervention de la 2e brigade des forces spéciales du GRU.

RBK a estimé le coût de fonctionnement du groupe Wagner entre 5,1 et 10,3 milliards de roubles [entre 72 millions et 146 millions d’euros] par an. Ce qui inclut les salaires, l’entretien de la base, l’hébergement et le ravitaillement. Plus les dépenses périodiques en équipement chifrées à 170 millions de roubles, et les compensations aux familles des défunts, qui atteindraient, suivant les estimations les plus basses, un total de 27 millions de roubles. Les soldats du groupe Wagner, sans aucun statut officiel, seraient payés en liquide, tandis que les achats d’armes et de munitions sont couverts par le secret défense.

Cuisinier de Poutine.

Selon les sources de RBK, le groupe serait financé par le gouvernement et des “hommes d’affaires haut placés”. À l’été 2016, Fontanka écrivait que depuis 2014 Outkine (Wagner) avait été vu à différents endroits de Russie en compagnie de personnes travaillant pour le restaurateur pétersbourgeois Evgueni Prigojine, surnommé “le cuisinier de Poutine”. Il n’y a pas de preuves directes du soutien financier de Prigojine au groupe Wagner. Mais il s’est néanmoins avéré que le cargo Kazan 60, qui, d’après Reuters, livrait des containers en Syrie, avait appartenu à la société ACP avant d’être racheté par la marine militaire russe. Or Prigojine est lié à une société du même nom qui a remporté plusieurs appels d’offres du ministère de la Défense pour assurer le nettoyage de leurs sites. 

L’homme d’affaires Evgueni Prigojine est l’un des premiers bénéficiaires des marchés publics russes dans divers domaines. D’après les estimations de RBK, la somme des contrats publics de Prigojine s’élevait, en 2015, à 70 milliards de roubles, tandis que l’année précédente elle avait modestement plafonné à 575 millions. Or c’est en 2015 que le groupe Wagner aurait été formé. Fin 2017, Dmitri Outkine a pris la tête de la branche restauration de Prigojine en devenant directeur général de la société Concord Management & Consulting. Prigojine serait par ailleurs lié à la création et au financement de la “fabrique de trolls” de Saint-Pétersbourg, accusée en 2017 par les États-Unis d’ingérence via les réseaux sociaux dans la présidentielle américaine (Prigojine lui- même a démenti les faits).

En décembre 2017, lors de sa visite surprise sur la base aérienne de Hmeimim, Vladimir Poutine a annoncé solennellement le début du retrait des soldats russes de Syrie. À ce moment-là, les pertes de l’armée russe en Syrie s’élevaient officiellement à 41 morts. Mais d’après les données de Reuters, pas moins de 131 Russes auraient trouvé la mort sur à peine neuf mois de l’année 2017 (contre 16 officiellement). D’où vient ce chiffre ? L’agence britannique a eu accès au certificat de décès du citoyen russe Sergueï Poddoubny délivré le 4 octobre 2017 par les services consulaires de l’ambassade de Russie en Syrie. Le certificat porte le numéro 131. La numérotation de pareils documents est annualisée, a-t-on expliqué au consulat. Ce qui signifie que le numéro de chaque certificat indique le nombre de morts enregistrés par le consulat depuis le début de l’année. Le consulat a également déclaré ne pas être chargé de l’enregistrement des décès de l’armée. Les membres du groupe Wagner ne sont pas assimilés à des soldats de l’armée régulière. Il ne fait donc aucun commentaire sur les pertes du groupe.

Loi sur les SMP. 

Le mercenariat est interdit en Russie. Les militaires ne peuvent travailler que pour le compte de l’État. Le Code pénal prévoit jusqu’à sept ans d’emprisonnement pour la participation à des confits armés sur le territoire d’un pays tiers, et jusqu’à quinze ans de prison pour recrutement, formation et rémunération de mercenaires. Cela fait de nombreuses années que la Russie tente de légaliser les sociétés militaires privées. La dernière initiative en ce sens date de janvier : Mikhaïl Emelianov, vice-président de la commission parlementaire pour la construction législative et étatique, a déclaré que le projet de loi sur les SMP serait examiné par la Douma dans un délai d’un mois.

Cette loi permettra aux combattants des SMP de participer à des opérations contre-terroristes à l’étranger, ainsi que d’assurer la protection de sites comme les gisements de gaz et de pétrole tout en bénéficiant de certains droits et avantages prévus pour les militaires de carrière.


The Bell, comme son nom
ne l’indique pas, est une jeune publication en ligne russophone. Axée sur le monde des afaires, elle a été fondée en juin 2017 par la journaliste Elizaveta Ossetinskaïa, qui fut successivement rédactrice en chef des journaux économiques russes d’obédience libérale
RBK, Vedomosti et
la version russe de
Forbes