Operation d'espionnage en Belgique

Comment les espions britanniques ont espionné Proximus

Lorsque des courriels entrants ont cessé d'arriver, cela semblait être anodin au début. Mais il devien finalement clair que ce n'était pas un problème technique de routine. À l'intérieur d'une rangée d'immeubles de bureaux gris à Bruxelles, une attaque de piratage majeure était en cours. Et les auteurs sont des espions du gouvernement britannique.

C'est en été 2012 que les anomalies ont d'abord été détectées par les employés de Belgacom, le plus grand fournisseur de télécommunications en Belgique. Mais ce n'est qu'un an plus tard, en juin 2013, que les experts en sécurité de l'entreprise ont pu comprendre ce qui se passait. Les systèmes informatiques de Belgacom était infectés par un logiciel malveillant très sophistiqué et se déguisaient en logiciel Microsoft tout en volant discrètement des données.

L'an dernier, des documents du lanceur d'alerte de l'Agence nationale de sécurité, Edward Snowden, ont confirmé que l'agence de surveillance britannique Government Communications Headquarters était à l'origine de l'attaque, baptisée Operation Socialist. Et en novembre, les documents de la GCHQ ont révélé que le malware présent sur les systèmes de Belgacom était l'un des outils d'espionnage les plus avancés jamais identifiés par les chercheurs en sécurité, qui l'ont baptisé "Regin".

Cependant, l'histoire complète de l'infiltration de Belgacom par le GCHQ n'a jamais été racontée. Les détails clés sur l'attaque sont restés enveloppés de mystère - et la portée de l'attaque n'est pas claire.

Reconstitution complète des événements qui ont eu lieu avant, pendant et après l'opération secrète de piratage du GCHQ.

Sur la base de nouveaux documents issus des archives de Snowden et d'entretiens avec des sources proches de l'enquête sur les logiciels malveillants chez Belgacom, des chercheurs ont établi que l'attaque contre Belgacom était plus agressive et plus profonde que prévu. Elle s'est déroulé par étapes entre 2010 et 2011, pénétrant chaque fois plus profondément dans les systèmes de Belgacom, compromettant éventuellement le cœur même des réseaux de l'entreprise.

Snowden a déclaré à The Intercept que les dernières révélations constituaient une attribution sans précédent d'une cyberattaque gouvernementale contre une infrastructure critique.

Le piratage de Belgacom, a-t-il déclaré, est le "premier exemple documenté montrant qu'un État membre de l'UE organise une cyberattaque contre un autre membre de l'UE... un exemple stupéfiant de l'ampleur du problème de piratage financé par l'État".

Publiquement, Belgacom a minimisé l'étendue du compromis en insistant sur le fait que seuls ses systèmes internes ont été violés et que les données des clients n'ont jamais été jugées à risque. Mais les documents secrets du GCHQ montrent que l'agence a obtenu un accès bien au-delà des ordinateurs internes des employés de Belgacom et qu'elle était capable de saisir des flux cryptés et non chiffrés de communications privées des clients gérées par la société. Ce qui était le but ultime de l'operation des services secrets britannique.

Belgacom a investi plusieurs millions de dollars dans ses efforts pour assainir ses systèmes et renforcer sa sécurité après l'attaque. Toutefois, ont apprend que des personnes qui ont travaillé sur l'enquête sur les logiciels malveillants dans l'entreprise ne sont pas à l'aise avec la façon dont l'opération de nettoyage a été gérée, et ils croient que certaines parties du programme malveillant GCHQ n'ont jamais été entièrement supprimées et quel peuvent etre toujours présente.

Les révélations sur la portée de l'opération de piratage doivent alarmer les clients de Belgacom à travers le monde. La société exploite un grand nombre de liaisons de données à l'échelle internationale (voir la carte interactive ci-dessous) et dessert des millions de personnes à travers l'Europe ainsi que des hauts fonctionnaires de la Commission européenne, du Parlement européen et du Conseil européen. Les nouveaux détails seront également examinés de près par un procureur fédéral en Belgique, qui mène actuellement une enquête criminelle sur l'attaque contre l'entreprise.

Sophia in 't Veld, une politicienne hollandaise qui présidait la récente enquête du Parlement européen sur la surveillance de masse exposée par Snowden, a déclaré qu'elle pensait que le gouvernement britannique devrait faire face à des sanctions si les dernières révélations étaient prouvées. "Compenser Belgacom devrait être le moins qu'il devrait faire", a déclaré 't Veld. "Mais je suis plus préoccupé par la responsabilité qu'elle est enfreint la loi, violé les droits fondamentaux et manipulé nos systèmes démocratiques."

D'autres attaques malveillantes parrainées par des États, semblables à celles que les États occidentaux auraient perpétrées, ont impliqué Stuxnet, un virus utilisé pour saboter les systèmes nucléaires iraniens, et Flame, un logiciel espion collectant des données sur des systèmes situés principalement au Moyen-Orient.

Ce qui distingue l'infiltration britannique secrète de Belgacom, c'est qu'il a été perpétré contre un proche allié - et est soutenu par une série de documents top-secrets.

Le GCHQ a refusé de faire des commentaires sur cette histoire et a insisté sur le fait que ses actions étaient «nécessaires et légales et proportionnées».






Le début

L'origine de l'attaque de Belgacom remonte à 2009, lorsque le GCHQ a commencé à développer de nouvelles techniques pour pirater les réseaux de télécommunications. Les méthodes ont été discutées et développées au cours d'une série de conférences top secrètes sur le développement des signaux. C'est réunion sont organisées annuellement par les pays de l'alliance de surveillance americaine dite «Five Eyes»: États-Unis, Royaume-Uni, Australie, Nouvelle-Zélande et Canada. .


Entre 2009 et 2011, le GCHQ a travaillé avec ses alliés pour développer de nouveaux outils sophistiqués et des technologies qu'il pourrait utiliser pour analyser les faiblesses des réseaux mondiaux et ensuite les pénétrer. Selon des documents top-secrets du GCHQ, l'agence voulait adopter les nouvelles méthodes agressives en partie pour contrer l'utilisation du cryptage protégeant la vie privée - ce qu'elle a appelé le «problème de cryptage» en interne.


Lorsque les communications sont envoyées à travers les réseaux sous un format crypté, il est beaucoup plus difficile pour les espions d'intercepter et de comprendre les courriels, les appels téléphoniques, les messages texte, les discussions en ligne et les sessions de navigation. Pour le GCHQ, il y avait une solution simple. L'agence a décidé que, dans la mesure du possible, elle trouverait des moyens de pirater les réseaux de communication pour saisir le trafic avant qu'il ne soit crypté.


Les espions britanniques ont identifié Proximus (nom ancien de l'entreprise, Belgacom) comme une cible majeure à infiltrer. L'entreprise, avec sa filiale Belgacom International Carrier Services, joue un rôle important en Europe et a des partenariats avec des centaines d'entreprises de télécommunications à travers le monde - en Afrique, en Asie, en Europe, au Moyen-Orient et aux États-Unis. La filiale de Proximus gère l'un des plus grands hubs d'itinérance au monde, ce qui signifie que lorsque les visiteurs étrangers voyagent en Europe en vacances ou en voyage d'affaires et utilisent leurs téléphones portables, beaucoup d'entre eux se connectent aux réseaux internationaux de Belgacom.


Les documents de Snowden montrent que le GCHQ voulait avoir accès à Proximus pour pouvoir espionner et siphonner les téléphones utilisés comme des cibles de surveillance qui voyageant en Europe. Mais l'agence avait aussi un arrière-pensée. Une fois piraté les systèmes de Belgacom, le GCHQ prévoyait de briser les liaisons de données reliant Belgacom et ses partenaires internationaux, en surveillant les communications transmises entre l'Europe et le reste du monde. Une carte dans les documents du GCHQ, intitulée «Belgacom_connections», souligne la portée de l'entreprise en Europe, au Moyen-Orient et en Afrique du Nord, illustrant pourquoi les espions britanniques la jugeaient d'une telle valeur.


Planification d'attaque

Avant que le GCHQ ne lance son attaque sur les systèmes de Belgacom, l'agence d'espionnage a effectué une reconnaissance approfondie, utilisant ses puissants systèmes de surveillance pour cartographier le réseau de l'entreprise et identifier les employés clés «dans les domaines de la maintenance et de la sécurité».


Les documents du GCHQ montrent qu'il maintienne des bases de données spéciales à cet effet, stockant des détails sur les ordinateurs utilisés par les ingénieurs et les administrateurs système qui travaillent dans le centre nerveux, ou «centre d'opérations réseau», de réseaux informatiques dans le monde entier. Les ingénieurs et les administrateurs système sont des cibles particulièrement intéressantes pour les espions car ils gèrent des réseaux et détiennent les clés qui peuvent être utilisées pour débloquer de grandes quantités de données privées.


GCHQ a développé un système appelé NOCTURNAL SURGE pour rechercher des ingénieurs et des administrateurs système particuliers en trouvant leurs adresses IP sur internet, des identifiants uniques qui sont attribués aux ordinateurs quand ils se connectent à Internet. Au début de 2011, les documents montrent que le GCHQ a perfectionné le système NOCTURNAL SURGE avec l'aide de ses homologues canadiens, qui avaient mis au point un outil similaire appelé PENTAHO.


Le GCHQ a réduit les adresses IP liées aux ingénieurs de Belgacom en utilisant les données recueillies par ses systèmes de surveillance sur l'activité Internet, avant de passer aux dernières étapes avant le lancement de son attaque. Les documents montrent que l'agence a utilisé un outil appelé HACIENDA pour rechercher des points d'accès potentiels vulnérables dans les réseaux de Belgacom; il est ensuite allé chercher des ingénieurs ou des administrateurs particuliers qu'il pourrait infecter avec des logiciels malveillants.

L'infection

Les espions britanniques, qui font partie de l'unité spéciale appelée Network Analysis Center, ont commencé à traîner dans leurs vastes base de données pour obtenir plus de détails sur les individus qu'ils avaient identifiés comme étant des ingénieurs de Belgacom suspects.


Les espions utilisaient les adresses IP qu'ils avaient associées aux ingénieurs comme termes de recherche pour passer en revue leurs trésors de surveillance, ils ont été rapidement en mesure de trouver ce dont ils avaient besoin pour confirmer l'identité des employés et les cibler individuellement avec des logiciels malveillants.


La confirmation est venue sous la forme de «cookies» Google, Yahoo et LinkedIn, de petits fichiers uniques qui sont automatiquement placés sur les ordinateurs pour identifier et parfois suivre les internautes qui naviguent sur Internet, souvent à des fins publicitaires. GCHQ maintient un énorme dépôt appelé MUTANT BROTH qui stocke des milliards de ces cookies interceptés, qu'il utilise pour corréler avec des adresses IP pour déterminer l'identité d'une personne. GCHQ fait référence aux cookies en interne en tant que "identifiants de détection de cible".


Les documents secrets du GCHQ nomment trois ingénieurs de Belgacom qui ont été identifiés comme des cibles à attaquer. L'interception a confirmé l'identité des hommes, tous les trois ont refusé de commenter et ont demandé que leur identité ne soit pas divulguée.


Le GCHQ a surveillé les habitudes de navigation des ingénieurs et s'est préparé à entrer dans la phase la plus importante et la plus sensible de l'opération secrète. L'agence prévoyait d'effectuer une attaque dite «Quantum Insert», qui consiste à rediriger les personnes ciblées pour la surveillance vers un site Web malveillant qui infecte leurs ordinateurs à un rythme effréné. Dans ce cas, les documents indiquent que GCHQ a mis en place une page malveillante ressemblant à LinkedIn pour tromper les ingénieurs de Belgacom. (La NSA utilise également des encarts publicitaire pour cibler des personnes, comme déjà rapporté dans des nombreux cas.)


Un document du GCHQ passant en revue les opérations menées entre janvier et mars 2011 a noté que le piratage sur Belgacom était un succès, et a déclaré que l'agence avait obtenu l'accès aux systèmes de l'entreprise comme prévu. En installant le logiciel malveillant sur les ordinateurs des ingénieurs, les espions avaient pris le contrôle de leurs machines, et étaient en mesure d'exploiter l'accès large aux réseaux informatique que les ingénieurs avaient acces.


Le document indiquait que l'attaque de piratage contre Belgacom avait pénétré "à la fois profondément dans le réseau et à la périphérie du réseau", ajoutant que le travail en cours aiderait "à poursuivre ce nouvel accès".


En décembre 2011, dans le cadre d'une deuxième «poussée de piratage» contre Belgacom, GCHQ identifiait d'autres opérateurs de téléphonie mobile dans le monde se connectant au réseau de l'entreprise dans le cadre de partenariats itinérants internationaux et piratant avec succès des liaisons de données transportant des informations via un protocole GPRS entre clients et operateurs, sessions de navigation et messages multimédia.


L'agence d'espionnage a pu obtenir des données envoyées entre Belgacom et d'autres opérateurs via des tunnels cryptés connus sous le nom de «réseaux privés virtuels». Le GCHQ s'est vanté que son travail d'exploitation contre ces réseaux privés avait été très productif. »Un autre document, daté de la fin de l'année 2011, ajoutait:« L'analyse de réseau sur BELGACOM a permis une exploitation extrêmement réussie ».


Le GCHQ a atteint son objectif. L'agence avait gravement compromis les systèmes de Belgacom et pouvait intercepter des données privées cryptées et non chiffrées transitant par ses réseaux. Le hack restait non détecté pendant deux ans, jusqu'au printemps 2013.










La découverte

À l'été 2012, les administrateurs système ont détecté des erreurs dans les systèmes de Belgacom. Dans les bureaux de la société sur la rue Lebeau à Bruxelles, à quelques pas des bureaux belges du Parlement européen, les employés de la filiale BICS de Belgacom se sont plaints des problèmes de réception des courriels. Le serveur de messagerie fonctionne mal, mais l'équipe technique de Belgacom n'a pas pu déterminer pourquoi.


Le problème a été laissé en suspens jusqu'en juin 2013, quand il y a eu une flambée soudaine. Après l'envoi d'une mise à jour logicielle Windows au serveur d'échange de courriels de Belgacom, les problèmes sont retournés, pire qu'avant. Les administrateurs ont contacté Microsoft pour obtenir de l'aide, se demandant si la nouvelle mise à jour de Windows pouvait être à l'origine de la panne. Mais Microsoft, lui aussi, a eu du mal à identifier exactement ce qui n'allait pas. Il n'y avait toujours pas de solution à trouver. (Microsoft a refusé de commenter cette histoire.)


L'équipe de sécurité interne de Belgacom a commencé à soupçonner que les systèmes avaient été infectés par une sorte de virus, et l'entreprise a décidé qu'il était temps de faire appel à des experts externes. Il a fait appel à la firme de sécurité informatique néerlandaise Fox-IT pour venir scanner les systèmes à la recherche d'informations suspectes.


Rapidement, Fox-IT a découvert des fichiers bizarres sur le serveur de messagerie de Belgacom qui semblaient être déguisés en logiciels Microsoft légitimes. Les fichiers suspects permettaient à un hacker très sophistiqué de contourner les mises à jour logicielles automatiques de Microsoft sur les systèmes de Belgacom afin de continuer à s'infiltrer dans les systèmes de l'entreprise.


Environ un mois après que Belgacom ait identifié le logiciel malveillant, il a informé la police belge et l'unité criminelle informatique spécialisée du pays, selon des sources proches de l'incident. Le rSGRS a également été appelé pour enquêter sur le piratage, en collaboration avec Fox-IT.


Les experts de Fox IT et du renseignement militaire ont travaillé à disséquer le malware sur les systèmes de Belgacom, et ont été choqués par ce qu'ils ont trouvé. Dans des interviews des sources proches de l'enquête ont décrit le malware comme le plus avancé qu'ils aient jamais vu, et ont déclaré que si le serveur d'échange de mails n'avait pas mal fonctionné, le bug d'espionnage serait probablement resté à l'intérieur de Belgacom pendant plusieurs années.


Une violation profonde

Tout en travaillant pour évaluer l'étendue de l'infection chez Belgacom, l'équipe d'enquêteurs s'est rendu compte que les dommages étaient beaucoup plus importants qu'ils ne le pensaient. Le logiciel malveillant a non seulement compromis les serveurs de messagerie de Belgacom, mais il a infecté plus de 120 systèmes informatiques exploités par l'entreprise, y compris jusqu'à 70 ordinateurs personnels.


La découverte la plus sérieuse a été que les gros routeurs qui constituent le cœur même des réseaux de télécommunications internationaux de Belgacom, fabriqués par la société américaine Cisco, ont également été trouvés compromis et infectés par des patch de sécurité mis a jours. Les routeurs sont l'une des parties les plus étroitement surveillées de l'infrastructure de l'entreprise, car ils gèrent de grands flux de communications privées sensibles transitant par ses réseaux.


Les premières fuites de Snowden ont montré comment la NSA peut compromettre les routeurs, tels que ceux exploités par Cisco; l'agence peut les pirater à distance ou les intercepter et les intercepter physiquement avant qu'ils ne soient installés dans une entreprise en amont. Dans le cas de Belgacom, on ne sait pas exactement quelle méthode a été utilisée par le GCHQ, ni s'il y a eu une assistance directe de la NSA. (La NSA a refusé de commenter cette histoire.)


Dans tous les cas, les enquêteurs de Proximus n'ont jamais eu l'occasion d'étudier les routeurs. Après que l'infection des backdoor des routeurs Cisco a été trouvé, la société a émis une volonté que personne ne pousse les toucher. Les patrons de Proximus ont insisté sur le fait que seuls les employés de Cisco pouvaient gérer les routeurs !, ce qui a provoqué des malaises chez certains enquêteurs vu que l'entreprise compte comme actionnaire principale des américains comme partenaire dans le capitale de Proximus.


"Vous pourriez demander à de nombreuses sociétés de sécurité d'enquêter sur ces routeurs", a déclaré l'un des enquêteurs. En amenant des employés de Cisco pour faire l'enquête, "vous ne pouvez pas effectuer une inspection indépendante", a déclaré la source, qui a parlé sous couvert d'anonymat parce qu'il n'était pas autorisé à parler aux médias.


Un porte-parole de Cisco a refusé de commenter l'enquête de Proximus, citant la politique de l'entreprise. "Cisco ne commente pas publiquement les relations avec ses clients ou les incidents spécifiques de ses clients", a déclaré le porte-parole.


Peu de temps après que le malware a été trouvé sur les routeurs, Proximus a demandé à Fox-IT d'arrêter son enquête. Des chercheurs de la société de sécurité néerlandaise ont été invités à rédiger un rapport sur leurs découvertes dès que possible. Dans le cadre d'un accord de non-divulgation, ils ne pouvaient pas parler de ce qu'ils avaient trouvé, ni mettre en garde publiquement contre le logiciel malveillant. De plus, ils n'étaient pas autorisés à supprimer le logiciel malveillant...


Entre fin août et mi-septembre 2013, il y a eu une intense période d'activité autour de Belgacom.
Le 30 août, certaines parties du logiciel malveillant ont été supprimées à distance des systèmes infectés de l'entreprise - apparemment après que les espions britanniques aient réalisé qu'il avait été détecté. Mais le malware n'a pas été complètement supprimé, selon des sources proches de l'enquête.


Deux semaines plus tard, le 14 septembre, des employés de Belgacom, des enquêteurs, de la police et des services de renseignements militaires ont entrepris une tentative intensive pour éliminer complètement le virus de l'espionnage des systèmes. Au cours de cette opération, des sources proches de l'enquête suspectaient la NSA ou le GCHQ d'avoir été responsables de l'attaque.


Le même jour où l'histoire a éclaté, le 16 septembre, Proximus a publié un communiqué de presse. "A ce stade, il n'y a aucune indication d'impact sur les clients ou leurs données", indique le communiqué. "À aucun moment la livraison de nos services de télécommunication n'a été compromise. "

Des ressources significatives

Au lendemain des révélations, Belgacom a refusé de commenter le rôle du GCHQ en tant qu'architecte de l'intrusion. Les hauts responsables de l'entreprise ont été appelés à comparaître devant un comité du Parlement européen enquêtant sur l'étendue de la surveillance de masse révélée par Snowden.


Les patrons de Belgacom ont déclaré au comité que les systèmes de Belgacom ne posaient aucun problème après une opération de nettoyage «méticuleuse» et ont de nouveau affirmé que les communications privées n'étaient pas compromises. Ils ont rejeté les rapports des médias sur l'attaque, et ont refusé de discuter de quoi que ce soit à propos de l'auteur, disant seulement que "les pirates [responsables] ont des ressources considérables derrière eux".


Les personnes ayant connaissance de l'enquête sur les logiciels malveillants ont regardé les déclarations publiques de Belgacom avec intérêt. Et certains d'entre eux ont remis en question la version des événements de l'entreprise.


"Il n'y avait qu'un nettoyage partiel", a déclaré une source familière avec l'enquête sur les logiciels malveillants. "Je crois qu'il est toujours là. C'est très difficile à enlever et, d'après ce que j'ai vu, Belgacom n'a jamais fait de tentative sérieuse pour l'enlever. " Belgacom a refusé de commenter cette histoire, citant l'enquête criminelle en cours en Belgique.

Le virus de l'espionnage a été décrit par les chercheurs en sécurité comme l'un des logiciels malveillants les plus sophistiqués jamais découverts, ciblant de nombreux réseaux de télécommunications, gouvernements et organismes de recherche dans des pays comme l'Allemagne, l'Iran, le Brésil et la Russie. , et la Syrie, ainsi que la Belgique.


Le GCHQ a refusé de commenter Regin, tout comme la NSA et Proximus. Mais les documents de Snowden contiennent des preuves solides, qui n'ont jamais été rapportées auparavant, qui relient directement les espions britanniques au malware.


En plus de montrer comment les espions britanniques infiltraient l'entreprise et plantaient des logiciels malveillants pour voler des données clients, les documents GCHQ de l'archive Snowden contiennent des noms de code qui apparaissent également dans les échantillons de malware Regin trouvés sur les systèmes de Belgacom, tels que "Legspin" et " Marelle."


Un document du GCHQ sur l'utilisation des méthodes de piratage fait référence à l'utilisation de «Legspin» pour exploiter les ordinateurs. Un autre document décrit «Hopscotch» comme faisant partie d'un système que le GCHQ utilise pour analyser les données recueillies par la surveillance.


Ronald Prins, directeur de la société de sécurité informatique Fox-IT, a étudié les logiciels malveillants et joué un rôle clé dans l'analyse des réseaux infectés de Belgacom. "Les documents de Snowden et ce que j'ai vu du malware ne peuvent mener qu'à une conclusion", a déclaré Prins à The Intercept. "Cela a été utilisé par le GCHQ."

Analyse de Regin

Le 22 janvier 2015, la société Kasperky publie une analyse de deux modules de Regin : « Legspin », une porte dérobée qui pourrait dater de 2002 et « Hopscotch », un nouvel outil utilisé pour circuler au sein des réseaux informatiques visés. Trojan de type backdoor, Regin est un malware complexe dont la structure suppose des compétences techniques rarement vues.

Comme décrit dans le livre blanc publié par Symantec, Backdoor.Regin est une menace en différentes phases, chacune d’entre elles étant dissimulée et chiffrée, à l’exception de la première. L’exécution de la première étape génère un effet domino de déchiffrement et de chargement de la phase suivante. Chaque étape individuelle fournit peu d’informations sur l’ensemble de la menace. Seule la réalisation de l’ensemble permet l’analyse et la compréhension de la menace.

Regin utilise également une approche modulaire, lui permettant de charger des fonctionnalités adaptées selon la cible. Cette approche modulaire a déjà été vue dans des familles de malwares sophistiqués tels que Flamer et Weevil (TheMask), alors que l’architecture en plusieurs étapes est similaire à celle observé dans Duqu/Stuxnet

Vecteur d’infection et charges utiles

Le vecteur d’infection varie selon les cibles et aucun vecteur reproductible n’a été identifié à l’heure où ce rapport a été rédigé. Symantec estime que certaines cibles ont été leurrées vers la visite de fausses versions de site Internet bien connus, et que la menace s’est installée via un navigateur web ou lors de l’exploit d’une application. Sur un ordinateur, les fichiers log montraient que venait de Yahoo ! Instant Messenger via une faille non confirmée.

Regin utilise une approche modulaire, donnant ainsi une certaine flexibilité à ses commanditaires et opérateurs qui peuvent ainsi adapter ses fonctionnalités selon les cibles individuelles et les besoins. Certaines charges utiles sont particulièrement avancées et laissent supposer un haut degré d’expertise dans des secteurs bien précis: une preuve supplémentaire du niveau de ressources dont ont bénéficié les auteurs de Regin.

Regin comporte des douzaines de charges utiles. Ses capacités de base incluent plusieurs fonctionnalités de Remote Access Trojan (RAT), telles que la capture d’écrans, la prise de contrôle de la souris, le vol de mots de passe, la surveillance du trafic réseau et la restauration de fichiers supprimés.

Des modules de charge utile plus spécifiques et avancés ont également été découverts, tels que le monitoring de trafic de serveur web Microsoft IIS et l’aspiration du trafic des contrôleurs des stations de téléphonie mobile.


Furtivité

Les développeurs de Regin ont fourni des efforts considérables pour le rendre indétectable. Son caractère discret semble indiquer une utilisation lors de campagnes d’espionnage qui ont duré plusieurs années. Même lorsque sa présence est détectée, il est très difficile de déterminer précisément ses actions. Symantec n’a été en mesure d’analyser les charges utiles qu’après déchiffrement des échantillons de fichiers.

Regin présente plusieurs fonctionnalités de furtivité, notamment des capacités anti-forensics, un système de fichiers virtuel chiffré unique, un chiffrement alternatif sous la forme d’une variante de RC5, qui n’est pas communément utilisé. Regin utilise de multiples moyens sophistiqués pour communiquer avec l’attaquant, notamment via ICMP/ping qui intègre des commandes dans les cookies http, via des protocoles TCP et UDP sur mesure.










L’un des modules de Regin vise clairement les opérateurs de télécommunications, car il permet spécifiquement d’espionner ce que font les administrateurs informatiques des réseaux mobiles10,18.

Le 26 novembre, le journal Le Monde indique que selon « une source proche du dossier, qui tient à rester anonyme [...] Regin avait été trouvée au sein des réseaux de plusieurs institutions européennes »20.

Le 28 novembre, le journal autrichien Der Standard indique que selon plusieurs sources anonymes, le maliciel Regin aurait également été découvert dans les systèmes informatiques de l'Agence internationale de l'énergie atomique (AIEA) basée à Vienne21. Le journal rappelle que la NSA avait espionné cette agence internationale, comme l'avait révélé Der Spiegel en août 201322,23 sur la base des révélations d'Edward Snowden.

Le 28 décembre 2014, le quotidien allemand Bild révèle que Regin a été découvert sur la clé USB d'une proche collaboratrice de la chancelière Angela Merkel24. Les services de sécurité informatique de la Chancellerie ont détecté Regin, lorsque cette collaboratrice, qui avait finalisé l'écriture d'un discours sur l'Europe à son domicile et enregistré le document sur la clé USB, a ensuite transféré son document sur son ordinateur professionnel une fois revenue au bureau25.

Enquête sur les mercenaires en Syrie

Une armée russe fantôme

L’attaque américaine à Deir Ez-Zor début février a révélé la présence de nombreux mercenaires russes en Syrie. Le site d’investigation russe The Bell a mené l’enquête pour en savoir plus sur ces mystérieux volontaires russes.

La SMP Wagner et sa participation à la guerre en Syrie ont été mentionnées pour la première fois en octobre 2015 [période d’entrée en guerre de l’aviation russe] par le site d’information de Saint-Pétersbourg Fontanka. Vadim Goussev et Evgueni Sidorov, dirigeants de la société de sécurité privée Moran Security Group, auraient formé, en 2013, un groupe de 267 “contractuels” afin de “protéger les gisements et les installations pétrolières” dans la Syrie en guerre. Ce détachement a été baptisé Corps slave. Ses membres ont par la suite fondé le groupe Wagner, qui aurait d’abord pris part aux opérations militaires à l’est de l’Ukraine en soutien aux indépendantistes du Donbass et aurait participé au désarmement des bases militaires ukrainiennes en Crimée. Selon les enquêtes de plusieurs médias, les entraînements des combattants de la SMP se déroulent à Krasnodar [dans le sud de la Russie] sur le polygone militaire de Molkino, actif depuis la mi-2015. D’après le journal russe RBK citant une source proche des opérations, en 2016, entre 1 000 et 1 600 mercenaires de Wagner se trouvaient en permanence en Syrie suivant le niveau de tension du conflit.

D’après différents médias, le fondateur du groupe Wagner serait Dmitri Outkine, alias Wagner. Officier de réserve, il commandait jusqu’en 2013 le 700e détachement d’intervention de la 2e brigade des forces spéciales du GRU.

RBK a estimé le coût de fonctionnement du groupe Wagner entre 5,1 et 10,3 milliards de roubles [entre 72 millions et 146 millions d’euros] par an. Ce qui inclut les salaires, l’entretien de la base, l’hébergement et le ravitaillement. Plus les dépenses périodiques en équipement chifrées à 170 millions de roubles, et les compensations aux familles des défunts, qui atteindraient, suivant les estimations les plus basses, un total de 27 millions de roubles. Les soldats du groupe Wagner, sans aucun statut officiel, seraient payés en liquide, tandis que les achats d’armes et de munitions sont couverts par le secret défense.

Cuisinier de Poutine.

Selon les sources de RBK, le groupe serait financé par le gouvernement et des “hommes d’affaires haut placés”. À l’été 2016, Fontanka écrivait que depuis 2014 Outkine (Wagner) avait été vu à différents endroits de Russie en compagnie de personnes travaillant pour le restaurateur pétersbourgeois Evgueni Prigojine, surnommé “le cuisinier de Poutine”. Il n’y a pas de preuves directes du soutien financier de Prigojine au groupe Wagner. Mais il s’est néanmoins avéré que le cargo Kazan 60, qui, d’après Reuters, livrait des containers en Syrie, avait appartenu à la société ACP avant d’être racheté par la marine militaire russe. Or Prigojine est lié à une société du même nom qui a remporté plusieurs appels d’offres du ministère de la Défense pour assurer le nettoyage de leurs sites. 

L’homme d’affaires Evgueni Prigojine est l’un des premiers bénéficiaires des marchés publics russes dans divers domaines. D’après les estimations de RBK, la somme des contrats publics de Prigojine s’élevait, en 2015, à 70 milliards de roubles, tandis que l’année précédente elle avait modestement plafonné à 575 millions. Or c’est en 2015 que le groupe Wagner aurait été formé. Fin 2017, Dmitri Outkine a pris la tête de la branche restauration de Prigojine en devenant directeur général de la société Concord Management & Consulting. Prigojine serait par ailleurs lié à la création et au financement de la “fabrique de trolls” de Saint-Pétersbourg, accusée en 2017 par les États-Unis d’ingérence via les réseaux sociaux dans la présidentielle américaine (Prigojine lui- même a démenti les faits).

En décembre 2017, lors de sa visite surprise sur la base aérienne de Hmeimim, Vladimir Poutine a annoncé solennellement le début du retrait des soldats russes de Syrie. À ce moment-là, les pertes de l’armée russe en Syrie s’élevaient officiellement à 41 morts. Mais d’après les données de Reuters, pas moins de 131 Russes auraient trouvé la mort sur à peine neuf mois de l’année 2017 (contre 16 officiellement). D’où vient ce chiffre ? L’agence britannique a eu accès au certificat de décès du citoyen russe Sergueï Poddoubny délivré le 4 octobre 2017 par les services consulaires de l’ambassade de Russie en Syrie. Le certificat porte le numéro 131. La numérotation de pareils documents est annualisée, a-t-on expliqué au consulat. Ce qui signifie que le numéro de chaque certificat indique le nombre de morts enregistrés par le consulat depuis le début de l’année. Le consulat a également déclaré ne pas être chargé de l’enregistrement des décès de l’armée. Les membres du groupe Wagner ne sont pas assimilés à des soldats de l’armée régulière. Il ne fait donc aucun commentaire sur les pertes du groupe.

Loi sur les SMP. 

Le mercenariat est interdit en Russie. Les militaires ne peuvent travailler que pour le compte de l’État. Le Code pénal prévoit jusqu’à sept ans d’emprisonnement pour la participation à des confits armés sur le territoire d’un pays tiers, et jusqu’à quinze ans de prison pour recrutement, formation et rémunération de mercenaires. Cela fait de nombreuses années que la Russie tente de légaliser les sociétés militaires privées. La dernière initiative en ce sens date de janvier : Mikhaïl Emelianov, vice-président de la commission parlementaire pour la construction législative et étatique, a déclaré que le projet de loi sur les SMP serait examiné par la Douma dans un délai d’un mois.

Cette loi permettra aux combattants des SMP de participer à des opérations contre-terroristes à l’étranger, ainsi que d’assurer la protection de sites comme les gisements de gaz et de pétrole tout en bénéficiant de certains droits et avantages prévus pour les militaires de carrière.

The Bell, comme son nom
ne l’indique pas, est une jeune publication en ligne russophone. Axée sur le monde des afaires, elle a été fondée en juin 2017 par la journaliste Elizaveta Ossetinskaïa, qui fut successivement rédactrice en chef des journaux économiques russes d’obédience libérale RBK, Vedomosti et
la version russe de Forbes. 

Un nouveau repenti témoigne sur la mafia corse

L’homme a livré des éléments sur un double assassinat à Bastia fin 2017 et une alliance avec la criminalité des cités

Les policiers, pourtant expérimentés, ont cru avoir devant eux un invraisemblable mythomane. Mais ils ont fini par croire à son témoignage sur la mafia. Et début mars, sa vie a changé. Il a changé de nom et vit sous protection dans un lieu secret. Le statut de repenti lui a été accordé en contrepartie de ses informations sur le crime organisé corse.

Ses révélations, recueillies à partir de la mi-décembre, ont fourni des informations précieuses sur la préparation d’un double assassinat commis, en plein jour, le 5 décembre, à l’aéroport de Bastia. Elles lèvent également le voile sur des aspects inédits du fonctionnement interne du grand banditisme français et posent des questions sur les liens pouvant exister entre voyous et policiers.

En théorie, ce nouveau repenti, Philippe M. n’avait rien à faire dans cet univers criminel. Il a travaillé pour l’association des maires de France dans les années 2000 puis au cabinet d’un maire de banlieue avant de notamment tenter une carrière politique comme suppléant d’une candidate UMP aux législatives de 2012, finalement battue.

« On tourne un film »

Son chemin va dévier en février 2017. Alors qu’il séjourne quelques jours dans une résidence hôtelière à La Baule (Loire-Atlantique), il fait la connaissance de Jacques Mariani. Héritier d’un baron de la Brise de mer, clan mafieux insulaire qui a régné pendant près de trente ans, ce criminel de haut rang purge, alors, en travaillant à l’accueil, une fin de peine en régime aménagé sous bracelet électronique. Les deux hommes sympathisent et Mariani lui présente l’un de ses proches, Christophe Guazelli, fils d’un autre baron de la Brise de mer.

Le trio déjeune souvent chez Cocoche, un restaurant de La Baule. Philippe M. et son épouse aident Jacques Mariani dans ses démarches administratives et fréquentent sa famille quand elle vient, fin mars, dans la région. Début avril, sous couvert d’un investissement très rentable dans un projet im- mobilier en Allemagne, l’homme emprunte 75 000 euros en espèces à Mariani. Mais les fonds, qui lui sont remis par un inconnu, au bar du Méridien à Paris, vont vite s’évaporer. Le contact, à Dortmund en Allemagne, a disparu avec l’argent.

Tout bascule le 5 décembre 2017, à l’aéroport de Bastia. Antoine Quilichini et Jean-Luc Codaccioni, deux piliers du grand banditisme corse, tombent dans un guet- apens mortel. Deux hommes les attendaient à la sortie. Plein de sang-froid, alors que les coups de feu ont déjà retenti, l’un d’eux dit à une douanière présente sur les lieux, « ne vous inquiétez pas, on tourne un film ».

Liens avec les services de l’Etat

Les victimes appartiennent au clan d’un homme redouté en Corse, Jean-Luc Germani, alors incarcéré, dont l’ombre plane derrière les règlements de comptes ayant causé la mort, en 2009, des pères de Jacques Mariani et de Christophe Guazzelli. Quilichini était venu accueillir Codaccioni, qui devait réintégrer, après une permission, la prison de Borgo (Haute-Corse) où il effectuait une peine prononcée dans un dossier de meurtre.

Ce que le trio de La Baule ne sait pas, c’est que, pendant toute l’année 2017, il a été sous surveillance policière dans le cadre d’une enquête pour extorsion de fonds et trafic de stupéfiants entre la Corse et Marseille. Or, certains éléments recueillis grâce aux écoutes et à la sonorisation du véhicule de Guazzelli ont permis d’avoir vent des visées criminelles contre le clan ennemi Germani. Mais faute de précisions, la police n’a pas pu empêcher la fusillade de Bastia. Elle parvient, néanmoins, à interpeller une dizaine de personnes, dont Jacques Mariani et Christophe Guazzelli, peu de temps après, dans le seul dossier d’extorsion et de trafic de drogue.

Pour consolider le dossier du double homicide, il restait, notamment, à convaincre Philippe M. de révéler ce qu’il savait des activités de ces deux amis corses de La Baule. Lors de la perquisition de son domicile, les enquêteurs sont d’abord surpris de l’entendre avouer qu’il a été prévenu de leur arrivée par une parente de Jacques Mariani, elle-même avertie par un policier. Les enquêteurs découvrent aussi une feuille sur laquelle figure une vingtaine de noms. Il s’agit de fonctionnaires de police en fonction, parfois de haut rang, à Marseille et à Nanterre, parfois à la retraite, et de connaissances de Jacques Mariani, tous considérés comme sources du clan Germani.

Philippe M. est entendu comme témoin. Il décrit sa relation amicale avec Mariani. Mais après la perte des 75 000 euros, il affirme avoir été mis sous pression pour rembourser par les proches de Mariani, dont trois frères gitans. Il assure, aussi, que la liste de noms de policiers a été fournie à Jacques Mariani par Redoine Faïd, un braqueur de banques connu pour son implication dans la mort d’une policière municipale, en 2010, et pour son évasion, en 2013, de la maison d’arrêt de Sequedin (Nord). En prison depuis, c’est l’un de ses frères, selon Philippe M., qui aurait fait le lien avec les voyous corses de La Baule.

D’après Philippe M., le duo Mariani-Guazzelli se serait allié avec Redouane Faïd, une figure de la criminalité des cités, pour se venger du clan Germani. Une rencontre au sommet aurait eu lieu, selon lui, en 2017, au Fouquet’s, un restaurant sur les Champs-Elysées, à Paris, avec une dizaine de personnes dont Jacques Mariani et le frère de Redoine Faïd. Selon Philippe M., qui n’était pas présent, la discussion aurait porté sur les moyens permettant d’éliminer des amis de Jean-Luc Germani.

Les deux hommes ayant tendu le guet-apens à l’aéroport de Bastia auraient d’ailleurs été recrutés parmi les relations de Redoine Faïd dans la région marseillaise. Enfin, le plan se serait cristallisé sur la personne de Jean-Luc Codac-cioni grâce à une information transmise par un gardien de la prison de Borgo (Haute-Corse) sur ses dates de sortie en permission. Un élément de plus sur les liens entre le monde criminel et les services de l’Etat qui pourraient, à eux seuls, motiver l’ouverture d’enquête distincte.

Interrogé sur son rôle, Philippe M. dit n’avoir eu de liens «que financiers » avec Jacques Mariani mais que ce dernier et Guazzelli parlaient librement en sa présence. Auditionnée, son épouse a confirmé la proximité entre son mari, Jacques Mariani et Christophe Guazzelli, qui venaient, selon elle, régulièrement à leur domicile.

Le conseil de Christophe Guazzelli, Me Jean-Louis Seatelli a indiqué que son client n’était visé que par la procédure liée aux stupéfiants et qu’il n’avait connaissance d’aucune charge sur le double homicide de l’aéroport de Bastia. Une réaction similaire à celle de l’un des avocats de Jacques Mariani, Me Jean-Sébastien de Casalta, qui assure que son client n’est poursuivi que par les soupçons d’extorsion qu’il dément avoir commis. Enfin, le conseil de Redoine Faïd, Me Cohen Sabban, a dit « tout ignorer de cette affaire» et ajouté que « ni son client ni son frère n’avaient été entendus dans ces dossiers ».

Les espions turcs en Europe

Les justices européennes coopèrent pour empêcher les agents du MIT d’éliminer des responsables kurdes

LE CONTEXTE : LUTTE AUTONOMISTE
Le Parti des travailleurs du Kurdistan (PKK) est une organisation politique et militaire fondée en Turquie, et en guerre contre Ankara depuis 1984. Il lutte pour l’autonomie des Kurdes de Turquie, mais s’est implanté dans l’ensemble des zones de peuplement kurde de la région. Depuis 2014, le PKK s’est illustré dans le combat contre l’organisation Etat islamique en Irak, mais surtout en Syrie, ou ses alliés locaux ont chassé les djihadistes de Rakka avec le soutien appuyé de la coalition internationale. Mais l’organisation reste officiellement considérée comme terroriste par l’Union européenne et les Etats-Unis.

Les justices européennes veulent s’attaquer aux commandos itinérants des puissants services secrets turcs (MIT) contre les dirigeants kurdes liés au PKK. Depuis 2017, la Belgique, l’Allemagne et la France ont accru leur coopération judiciaire afin d’empêcher les agents du MIT d’agir à leur guise en surveillant et en liquidant les principaux chefs du Parti des travailleurs du Kurdistan (PKK). Cette offensive a été relancée par le dépôt d’une plainte pour « menaces de mort », le 1er décembre 2016, à Bruxelles par Remzi Kartal, l’un des principaux représentants de la communauté kurde en Belgique. Sa démarche faisait suite à la réception, sur son téléphone portable, de trois messages émis d’un numéro ukrainien. Leur contenu permettait de faire un lien direct avec des événements visant des membres de la communauté kurde en Allemagne et en France, et montrait l’étendue du périmètre d’action du MIT.
« Tu té (sic) réjouis des déclarations de la personne de Brême. (...) Nous t’aurons toujours à l’œil jus- qu’à ta mort », indiquait le premier message. L’allusion faisait référence à l’arrestation, fin 2016, à Brême, de Mehmet Fatih Sayan, suspecté de s’être fait passer pour un journaliste de la télévision kurde afin d’espionner les principales figures kurdes, dont Yuksel Koc, président de l’association des Kurdes d’Allemagne. Dénoncé par son ex-compagne, Sayan, présenté par le procureur, lors de son procès à Hambourg en octobre 2017, comme « un agent du MIT depuis 2013 », a été jugé pour espionnage. Il a été remis en liberté et n’a écopé que d’une faible peine, faute « de preuves », a dit le tribunal.

Le deuxième message – « nous avons donné la mort à ceux qui devaient être éliminés (...) un hasard que tu aies pu t’échapper» – évoquait l’assassinat, à Paris le 9 janvier 2013, de trois hautes responsables du mouvement kurde en France, Sakine Cansiz, Fidan Dogan et Leyla Söylemez au siège du Centre d’information du Kurdistan (CIK). Le 16 janvier, Omer Güney, le chauffeur de Mme Cansiz, l’une des fondatrices du PKK, se rendait à la police pour aider les enquêteurs.

De témoin, il devenait vite le seul auteur présumé. La justice française a estimé qu’il travaillait pour le MIT et l’a renvoyé devant la Cour d’assises, mais l’action publique s’est éteinte avant qu’il soit jugé, après son décès de maladie, en décembre 2016.

Un policier et « un tireur d’élite »

Enfin, le troisième message –  « nous allons faire en sorte que les gens qui t’entourent t’abattent » – faisait écho à d’autres éléments fournis par Remzi Kartal qui ont permis aux enquêteurs belges d’étendre, en juin 2017, le champ de leurs investigations. Il est, en effet, apparu qu’un salarié d’origine kurde, Haci A., avait été approché par son employeur, habitant à Lovendegem, en Belgique, pour qu’il travaille pour le « gouvernement turc », selon un document judiciaire belge. Cet homme a alors tenté de recueillir des informations sur Remzi Kartal et Zubeyir Aydar, un autre dirigeant kurde en Belgique, avant qu’il lui soit demandé de passer à l’étape suivante : « Liquider les personnes concernées », d’après le même document.

Placés sous surveillance, Haci A. et ses deux agents traitants ont été contrôlés, le 14 juin 2017, par des policiers à Bruxelles dans un véhicule immatriculé en France. Ces derniers, qui communiquaient avec des numéros de téléphone français, montrèrent leur carte de police turque en guise de papier d’identité.

Le chauffeur et propriétaire de la voiture résidait, lui, à Argenteuil (Val-d’Oise). Deux jours plus tard, selon la justice belge, ces deux hommes rencontraient quatre autres Turcs, à Paris. Parmi eux, selon la même source, se trouvaient un policier turc de haut rang et « un tireur d’élite ».

La présence en France de ces individus a conduit la justice belge à émettre, le 14 octobre 2017, « une décision d’enquête européenne » par laquelle elle sollicitait l’aide du ministère public pour obtenir des éléments sur leurs agissements en France, susceptibles d’être rattachés au MIT. Des soupçons renforcés par le rôle de « coordination » des activités du MIT en Europe prêté, par la Belgique, dans sa demande d’entraide, à un haut responsable de la diplomatie turque à Paris.

La France avait déjà eu connaissance de menaces visant Remzi Kartal. Le réquisitoire définitif du 9 juillet 2015, dans l’affaire du triple homicide contre les dirigeantes kurdes à Paris, avait déjà conclu qu’Omer Güney, un Turc ultra-nationaliste infiltré, avait pris part à une campagne d’assassinats lancée par le MIT, visant les cadres du PKK en Europe, « dont Remzi Kartal ». Que son nom apparaisse de nouveau, en tant que cible du MIT, montre que les services secrets turcs n’auraient pas cessé, depuis 2012, jusqu’à aujourd’hui, de traquer les responsables kurdes en Europe.

La sonorisation des parloirs d’Omer Güney, lors de son incarcération à Fresnes (Val-de- Marne), avait, par ailleurs, montré les liens étroits existant entre le suspect et des agents du MIT en Allemagne et en Belgique. Des perquisitions menées par la police allemande avaient même confirmé le projet d’évasion de Güney monté avec l’appui logistique du MIT, prévue lors d’un séjour à l’hôpital parisien de la Salpêtrière. Dans son enquête actuelle, la justice belge a, d’ailleurs, saisi son homologue allemande au regard de nombreux éléments de l’affaire Kartal rattachés à son territoire.

« Impunité »

Le gouvernement turc a toujours nié être impliqué dans les opérations visant les dirigeants kurdes en Europe. Le MIT a démenti, publiquement, le 14 janvier 2014, les accusations le concernant, notamment celles sur le triple assassinat à Paris. Fortes des éléments fournis par la Belgique et faute d’avoir obtenu justice, les familles des trois victimes ont déposé, lundi 12 mars, à Paris, une nouvelle plainte contre les coauteurs de ces assassinats en soulignant « la connexité qui paraissait exister entre ces entreprises criminelles en Europe ». Selon l’un de leurs avocats, Me Antoine Comte, « l’impunité de ce genre de crime, parce que la Turquie serait un pays ami, constitue un grave danger pour les opposants politiques réfugiés à Paris ».

Interrogé par Le Monde, Adem Uzun, principale figure du conseil exécutif du Congrès national du Kurdistan (KNK), basé à Bruxelles, qui fédère la communauté kurde en Europe, s’est dit peu optimiste sur l’avancée de la justice européenne face aux intérêts des gouvernements. « Les pays européens ne veulent pas d’assassinats en pleine rue, d’où les tactiques d’infiltration douce du MIT, mais je ne suis pas sûr que l’Europe se soucie pour autant du sort des responsables kurdes sur son sol. A ce jour, quand la justice fonctionne, c’est davantage pour dire à Ankara: “Attention, on sait ce que vous faites”, que pour condamner. Au grand jour, la Turquie dit respecter les traités internationaux mais, en réalité, elle agit comme un Etat bandit. »