Selon les renseignements américains, Moscou aurait attaqué la cérémonie d’ouverture des JO et tout fait pour que les soupçons se portent sur le régime de Pyongyang.
À voir aussi sur Konbini
Le 9 février dernier, alors que la délégation française défilait derrière Martin Fourcade pendant la cérémonie d’ouverture des Jeux olympiques (JO) d’hiver de Pyeongchang, en Corée du Sud, la compétition subissait sa première attaque informatique d’ampleur, qui mettait HS le site officiel, les systèmes d’achat de billets en ligne, plusieurs serveurs et les réseaux wifi du stade olympique et de la salle de presse pendant plus de douze heures.
Le Comité international olympique (CIO) avait alors déclaré qu’il connaissait l’identité des assaillants, mais qu’il préférait garder cette information pour lui, ce qui n’avait fait que raviver les suspicions.
À l’aune des contextes géographiques et politiques dans lesquels se tenait l’événement et de la manière dont l’attaque était menée, les soupçons s’étaient alors immédiatement tournés vers la Corée du Nord, plutôt friande de ce genre de méthodes. D’autres, dont nous faisions partie, pariaient également sur une source russe, le pays venant de se faire quasi intégralement disqualifier des épreuves sportives, après les révélations du documentaire Icare sur son système de dopage institutionnalisé.
Bingo : selon des sources du renseignement américain, relayées par une enquête du Washington Post parue le 24 février, c’est bien Moscou qui serait derrière l’attaque. Et les assaillants avaient visiblement pour but d’incriminer la Corée du Nord, explique la journaliste du Post : toute l’opération serait en réalité un false flag, une initiative menée délibérément à découvert visant à incriminer quelqu’un d’autre, grâce à une série d’indices sciemment disséminés.
Patchwork de signatures numériques
L’attaque aurait donc été perpétrée par les hackers du GRU, la plus importante agence de renseignement extérieur de Moscou, qui aurait eu accès à plus de 300 ordinateurs au sein du personnel olympique et ce dès le début du mois de février, grâce à l’obtention frauduleuse d’identifiants de connexion. Une fois les ordinateurs infectés, les hackers russes auraient ensuite pris le contrôle des routeurs, ce qui leur aurait ensuite permis de contrôler à loisir le trafic de données dans les réseaux du CIO. Des attaques extrêmement puissantes, mais également difficiles à mettre en place.
Pour ne pas attirer l’attention sur leurs activités, les assaillants ont apparemment utilisé tout un spectre de techniques permettant de masquer leurs traces, comme le détaille Ars Technica : déviation du trafic vers des adresses IP associées au régime nord-coréen, similarités entre l’outil utilisé pour infecter les ordinateurs et le malware NotPetya, attribué plus tôt cette année à la Russie, nomenclature de noms de fichiers empruntée au groupe de hackers nord-coréen Lazarus (soupçonné d’être à l’origine du cataclysmique WannaCry), et même des petits fragments de code au sein du malware portant explicitement la signature de trois groupes de hackers chinois différents. Bref, un pot-pourri de différentes menaces (Corée du Nord, Chine et Russie) volontairement assemblé pour brouiller les pistes et rendre toute attribution formelle impossible.
Après la révélation du modus operandi, cependant, reste encore à déterminer le mobile du crime. Pour le Washington Post comme pour Ars Technica, la réponse n’est pas à chercher très loin : l’attaque n’était qu’une simple vengeance après la décision du CIO d’écarter la délégation russe des compétitions sportives, ni plus ni moins.
En 2016 déjà, des attaques informatiques contre l’Agence mondiale antidopage et plusieurs responsables du CIO avaient été attribuées au régime de Moscou, en guise de protestation contre les accusations de dopage de ses athlètes. Aux JO d’hiver, l’histoire s’est simplement répétée. Vivement les prochaines compétitions majeures.
