Cyberattaque de la Russie : voici les “Vulkan Files”, le nouveau scandale entre le Kremlin et le monde occidental

Pendant un an, plusieurs journalistes ont travaillé main dans la main et ont mené un travail d’investigation sur la société privée russe Vulkan. Selon eux, elle aurait aidé le Kremlin à mettre en œuvre plusieurs campagnes de cyberattaques entre 2016 et 2021. De l’extérieur, cette entreprise fournissait des “conseils en cybersécurité ordinaire”, selon le Guardian. En réalité, elle aurait servi “à contribuer et à renforcer les capacités de guerre cybernétique de Vladimir Poutine.”

Initialement, c’est un journaliste du Der Spiegel qui a obtenu des informations d’un lanceur d’alerte. “Des milliers de pages de documents secrets dévoilés ont révélé comment les ingénieurs de Vulkan ont travaillé pour l’armée et les services de renseignements russes. Leur but ? Soutenir les opérations de piratage, former des agents avant des attaques contre des infrastructures nationales, diffuser de la désinformation et contrôler des sections d’Internet”, illustre le média. Cette mission aurait été orchestrée avec le service de renseignements russe du FSB, ainsi qu’avec certaines divisions de l’armée.

Cette source a transmis tous les documents en expliquant qu’il était indigné par la guerre en Ukraine. “Les gens devraient être conscients des dangers que cela représente”, précise-t-il. “L’entreprise fait de mauvaises choses et le gouvernement russe est lâche et dans l’erreur. Je suis en colère contre l’invasion de l’Ukraine et les terribles événements qui s’y déroulent. J’espère que vous pourrez utiliser ces informations pour montrer ce qui se passe derrière les portes closes”, avait-il expliqué à un journaliste allemand.

Alexeï et Masha, l’histoire tragique d’un père et d’une fille pourchassés pour un dessin en Russie

Quelles affaires sont en cause ?

Dans un article, le Washington Post a dévoilé plusieurs affaires dans lequel Vulkan est impliquée. “Parmi les clients de la société Vulkan figure un des plus célèbres groupes de hackeurs russe : une unité militaire connue sous le nom de ‘Sandworm’ [‘ver de sable’, en anglais]”, explique le média. “Des responsables occidentaux ont attribué à Sandworm de nombreux piratages spectaculaires par le passé. Parmi ceux-ci, on peut citer notamment la perturbation de la cérémonie d’ouverture des Jeux olympiques d’hiver de 2018 ainsi que la diffusion, en 2017, de NotPetya, un logiciel malveillant initialement destiné à l’Ukraine qui a finalement causé plus de 10 milliards de dollars de dommages en bloquant le transport maritime et d’autres activités dans le monde entier.”

Selon le consortium, Sandworm serait aussi à l’origine des “MacronLeaks”. À l’époque, il y avait eu une tentative d’interférence dans l’élection présidentielle française de 2017. Sous le nom de code Scan-V, leur outil détecte les vulnérabilités informatiques sur internet. Elles sont ensuite stockées afin d’être utilisées pour des futures cyberattaques.

Amezit est un autre système que Vulkan utilise. Il a pour but de prendre le contrôle internet dans les régions où la Russie a pris le contrôle territorial. L’année dernière, le Kremlin a pris le contrôle téléphonique des territoires occupés ukrainiens avec ce système. Via un sous-système, appelé PRR, l’armée russe a aussi créé des faux profils sur les médias sociaux. Objectif : diffuser de la désinformation. Pendant des mois, ils ont fait en sorte de laisser une trace crédible et réaliste sur le réseau. Ensuite, ils ont pu donner des informations erronées comme une théorie du complot sur Hillary Clinton par exemple. Ou en niant que des Syriens avaient été tués lors de frappes russes.

« Il faut s’arrêter maintenant, avant que ne commence l’escalade » : le président bélarusse appelle à une « trêve » entre l’Ukraine et la Russie

Des espions en Europe ?

Jusqu’à l’invasion de la Russie en Ukraine, le personnel de Vulkan était loin d’être marginalisé. Ouvertement, les employés se rendaient à des grands colloques en Europe ou ils assistaient à des conférences sur les technologies de l’information et la cybersécurité. Par ailleurs, les employés ont noué des liens importants avec des délégués d’entreprises de sécurité occidentales.

Aujourd’hui, certains d’entre eux vivent en Allemagne, en Irlande et dans d’autres pays de l’UE. D’autres évoluent même chez Amazon Web ou Siemens. Alors que le scandale intervient, il est très difficile de discerner lesquels des anciens employés présentent un risque pour la sécurité. Selon le consortium, la majorité de ces Russes ont encore une famille dans leur pays. Ce qui les contraint à coopérer. “Au début, je ne savais pas très bien à quoi mon travail allait servir”, explique notamment un ancien employé. “Au bout d’un certain temps, j’ai compris que je ne pouvais pas continuer et que je ne voulais pas soutenir le régime. J’avais peur qu’il m’arrive quelque chose ou que je finisse en prison.”

D’apparence, cette entreprise ne ressemble en rien à une entreprise d’espionnage. Elle comprend une équipe de football au sein de l’entreprise par exemple. Des courriels sont envoyés pour les différents événements ou l’avenir. Le patriotisme est au centre de l’entreprise également.

Pour vérifier la véracité des documents, cinq agences de renseignement occidentales et des entreprises de plusieurs sociétés de cybersécurité ont travaillé sur les dossiers. “Elles ont ensuite confirmé que les Vulkan Files semblaient authentiques”, assure The Guardian. Cependant, ils n’ont pu trouver des preuves concluantes que les outils de cyberguerre sont déployés par la Russie. En revanche, les dossiers mentionnent des paiements effectués par les services de sécurité russes à Vulkan.