Qui donc se cache derrière la cyberattaque contre les ministères de la Défense et des Affaires étrangères allemands ? L’agence Deutsche Presse-Agentur, qui l’a révélée, l’attribue à un groupe de hackers russe, APT28, aussi appelé Fancy Bears, soupçonné d’être l’auteur d’une médiatique attaque contre TV5 Monde en 2015, et d’être impliqué dans l’ingérence russe au cours de la campagne présidentielle américaine ou encore le piratage du site d’En Marche ! durant la campagne française 2017.

Le journal allemand Der Spiegel, ainsi que DPA dans un second temps, s’est plutôt orienté sur la piste d’un autre groupe russe nommé Snake, également connu sous les noms de Turla et Uruburos. L’hypothèse d’une attaque de hackers en lien avec le pouvoir russe est donc mise en avant, bien que le Kremlin a démenti être impliqué. 20 Minutes fait le point sur cette attaque d’une ampleur inédite.

La piste russe est-t-elle crédible ?

Attribuer une cyberattaque avec certitude est techniquement très compliquée, voire impossible, surtout dans le cas présent : « On est devant une logique d’attaque en profondeur, explique Nicolas Arpagian, directeur scientifique de l’Institut National des Hautes Études de la Sécurité et de la Justice (Inhesj) et auteur d’un Que Sais-Je ? sur La Cybersécurité. Ce n’est pas de l’agitprop, le but est de laisser le moins de trace possible. »

Le ministre allemand de l’Intérieur Thomas de Maizière a décrit « une attaque techniquement ambitieuse et préparée depuis longtemps ». « L’infection initiale remonterait à 2016, c’est une logique de renseignement avec un agenda long », poursuit Nicolas Arpagian.

Loïc Guézo, administrateur du Club de la sécurité de l’information français (Clusif), confirme la nature de cette attaque qui « a cherché à rester furtive afin d’exfiltrer des données intéressantes dans la durée ». Pour le spécialiste, c’est « clairement de l’espionnage d’Etat ». Et qui assume totalement pratiquer ce que ses représentants militaires appellent « guerre hybride », un mix de guerre « classique » entre armées et de cyberguerre ? La Russie.

« Ce sont les centres névralgiques de la politique institutionnelle allemande qui sont visés », ajoute Nicolas Arpagian, le Bundestag, le parlement allemand, étant également attaqué. Que cette attaque soit du fait de Fancy Bears ou Snake, dans les deux cas, il s’agit de groupes « aux activités alignés sur la politique gouvernementale russe, qui pratiquent ce type d’attaques contre des pays de l’Ouest depuis au moins 5 ans », dit Loïc Guézo.

La Russie, piste très crédible donc. « L’objectif était de collecter de l’info de la manière la plus indolore possible, en général afin de connaître les agendas et marges de manœuvres des interlocuteurs dans les négociations internationales en cours », poursuit le directeur scientifique de l’Inhesj.

Pourquoi l’Allemagne ne l’a pas annoncé avant ?

Angela Merkel avait prévenu fin 2016, dans la foulée d’une attaque contre Deutsche Telekom, que ce type de cyberattaques « appartient désormais au quotidien et nous devons apprendre à y répondre ». Dans le cas présent, le gouvernement allemand a été contraint de communiquer du fait des révélations de médias du pays, alors que les services de renseignements avaient été avertis de l’attaque le 19 décembre « par les renseignements d’un pays ami », selon la radio rbb et DPA.

Une stratégie du silence qui a poussé le député Vert Constantin von Notz, membre de la commission de contrôle des services secrets, a qualifié de « totalement inacceptable » le fait que les Allemands en soient informés par la presse.

« Le fait d’en parler poussera l’assaillant à changer son mode opératoire, puisqu’il sait qu’il a été démasqué », justifie Loïc Guézo. Forcé par ces révélations, le pouvoir allemand tente donc de reprendre la main en accusant directement le Kremlin : « Ils veulent jouer la transparence auprès des citoyens désormais. En mettant l’opinion publique dans le coup, il y a une forme d’avertissement officiel, voire une volonté de faire monter la température avec la Russie », conclut Jean-Philippe Bichard, journaliste et fondateur de cyberisques.com.