POLITIQUE & INSTITUTIONS — Monde

Campagne présidentielle de 2016

L’ingérence russe via le Luxembourg?



223696.jpg

Le camp de la candidate démocrate Hillary Clinton accuse la Russie d’avoir interféré dans la présidentielle de 2016. (Photo: Shutterstock)

Un rapport publié jeudi dernier devant la justice américaine pointe la holding luxembourgeoise XBT-Webzilla et sa filiale Root comme les canaux de l’ingérence russe dans l’élection présidentielle américaine de 2016. Faux, répond le groupe. Un enjeu qui va plus loin que ce cas particulier.

Les hackers russes qui auraient tenté (ou réussi) d’espionner le camp démocrate lors de l’élection présidentielle de 2016 sont-ils passés par des serveurs de deux sociétés luxembourgeoises, XBT et sa filiale Root?

La question était centrale, jeudi 14 mars, au tribunal de Miami dans une affaire… de diffamation, qui oppose le CEO de XBT (Luxembourg)–Webzilla, Aleksej Gubarev, et le site d’information américain BuzzFeed. Le premier accuse le second après la publication, en janvier 2017, de 16 mémos d’un espion britannique. Cet agent du MI6 mettait en évidence le rôle passif joué par XBT et 12 filiales, dont la luxembourgeoise Root, dans l’interception des e-mails d’Hillary Clinton, de son directeur de campagne John Podesta et des cadres du Parti démocrate.

Expert contre expert

Chacun des deux camps est venu à la barre avec son expert en cybersécurité. L’ancien directeur de la cybersécurité au FBI et à la Maison Blanche, Anthony J. Ferrante, pour BuzzFeed.

L’ex-membre de la CIA, ancien directeur technique de McAfee, directeur de recherche au SANS Institute et fondateur de Secure Anchor Consulting, Eric Cole, qui a aussi défini la stratégie de défense américaine en matière de cybersécurité pour Obama, pour XBT et Root.

Après avoir sollicité les avocats de XBT et Root, Paperjam a pu consulter les mémos confidentiels que ces deux experts à la renommée mondiale ont produits à la barre du tribunal pour défendre chaque partie.

Pour M. Ferrante, devenu expert pour le cabinet privé FTI Consulting, «des preuves techniques suggèrent que les groupes d’espionnage russes ont utilisé les infrastructures de XBT pour diffuser des campagnes ciblées de phishing contre les dirigeants du parti démocrate.»

Puis, un peu plus loin, une adresse IP «a été créée» avec Root, une filiale luxembourgeoise de XBT depuis 2012, «avec l’intention de voler les logins et mots de passe de John Podesta (via Bitly) comme de générer une partie des cyberattaques lancées contre le Congrès démocrate américain et les leaders du Parti démocrate».

L’abus d’adresses IP, un sport courant

Cela ne prouve rien, répond en substance M. Cole. «La seule analyse à laquelle s’est livré M. Ferrante est celle des adresses IP, qui ne contient aucune preuve qu’une entité soit engagée dans aucun comportement coupable. Des adresses IP de beaucoup de grosses sociétés ont été utilisées dans le cadre d’attaques, à l’insu des sociétés qui détiennent ces adresses IP. Cette fausse analyse de M. Ferrante démontre soit un manque de connaissance des cyberattaques ou sa créativité pour tordre la vérité au-delà d’aucune preuve factuelle.» Il se demande pourquoi, selon la logique de BuzzFeed, si des centaines de milliers d’adresses ont été utilisées, XBT est la seule société désignée comme coupable.

Le rapport de M. Ferrante évoque l’absence de réaction des sociétés du groupe XBT face à l’activité des hackers russes, citant par exemple 400.000 alertes chez Root en sept ans qui n’auraient peut-être pas été traitées. Alors, il faudrait désigner Seagate, «puisque les virus étaient stockés sur leurs disques durs», ou Microsoft «puisque les virus ont ciblé Windows», répond l’expert de XBT. «Que M. Ferrante affirme que Webzilla est sur une liste des mauvais acteurs présumés n’a rien d’exceptionnel pour un fournisseur de service internet puisqu’on y trouve aussi GoDaddy ou Google.»

Obligation de réagir... en cas de connaissance

Derrière ce cas précis se cache un enjeu majeur: la protection de l’écosystème contre les hackers. Utiliser une adresse IP, une identité numérique, ce qu’on appelle en anglais l’«IP adress spoofing» est de plus en plus un jeu d’enfant que les hackers maîtrisent à la perfection et se heurte à certaines réalités. Les fournisseurs de service n’ont pas le droit de surveiller leurs clients et la manière dont ils utilisent leur infrastructure.

Confrontés à des masses de données générées en permanence, il peut leur être difficile de détecter les cyberattaques.

Au terme de la loi e-commerce et du paquet telecom, les opérateurs ne sont pas tenus de chercher activement des vulnérabilités, logiciels malveillants ou autres activités illégales. Mais quand ils en ont connaissance, ils ont l’obligation de réagir et de faire en sorte que cela s’arrête.

À l’heure de l’explosion annoncée du volume des données avec la 5G, la «solution» ne pourra être que globale, disent les experts contactés par Paperjam.