“Vulkan Files”: une fuite de milliers de documents révèle les plans de cyberguerre russe

“En raison des événements en Ukraine, j’ai décidé de rendre ces informations publiques. L’entreprise est mal intentionnée et le gouvernement russe est complice. Je suis en colère contre la guerre. J’espère que vous pourrez utiliser ces informations pour montrer ce qui se passe derrière les portes closes”, a déclaré le lanceur d’alerte russe à l’initiative de la fuite de 5.000 pages de documents et de l’enquête qui s’ensuit.

L’enquête est dirigée par des journalistes de Paper Trail Media et de Der Spiegel, en collaboration avec The Guardian, Le Monde, Süddeutsche Zeitung et The Washington Post.

La société russe NTC Vulkan est à première vue une entreprise de cybersécurité banale, mais les documents montrent que cette dernière est pleinement engagée dans le développement des ambitions de cyberguerre de la Russie. Les travaux de NTC Vulkan ont été liés aux services secrets russes FSB, aux services de renseignements militaires GRU et aux services de renseignements étrangers SVR.

Les ingénieurs de l’entreprise créent des programmes informatiques et des bases de données qui permettent aux services de renseignement russes et aux groupes de pirates informatiques de mieux trouver les failles, de coordonner les attaques et de surveiller les activités en ligne. Les documents suggèrent également que l’entreprise est impliquée dans la diffusion de désinformation et qu’elle a créé des systèmes capables de perturber à distance des cibles réelles, telles que des systèmes de contrôle maritimes, aériens et ferroviaires.

L’un des documents établit un lien entre un outil de cyberattaque et le redoutable groupe de pirates “Sandworm” qui, selon des responsables américains, a paralysé à deux reprises le réseau électrique ukrainien, perturbé les Jeux olympiques d’hiver de 2018 et lancé en 2017 “NotPetya”, la cyberattaque la plus destructrice de l’histoire. Sous le nom de code Scan-V, l’outil détecte les vulnérabilités via Internet, qui sont ensuite stockées pour être utilisées dans de futures cyberattaques.

Un autre système appelé Amezit constitue un plan de surveillance et de contrôle de la toile dans les régions placées sous le joug de la Russie. On ignore si ce système sera déployé dans les parties occupées de l’Ukraine, mais la Russie a déjà pris le contrôle des services Internet et téléphoniques ukrainiens de ces régions. Les citoyens ukrainiens ont été contraints de s’affilier à des opérateurs de télécommunications de Crimée, et des cartes SIM ont été distribuées dans des “camps de filtrage” dirigés par le FSB.

Avec PRR, un autre sous-système d’Amezit, l’armée russe crée de faux profils sur les réseaux sociaux, à l’aide de photos volées et utilisées pendant des mois pour laisser une trace numérique réaliste afin de les utiliser pour diffuser de la désinformation. Les documents montrent des captures d’écran de faux comptes Twitter entre 2014 et le début de cette année, qui diffusent notamment une théorie du complot sur Hillary Clinton et nient que des civils syriens ont été tués lors de frappes aériennes russes.

Un troisième système construit par Vulkan prend le nom de “Crystal-2V”. Et il est encore plus redoutable. Ce dernier simulerait des attaques contre une série d’infrastructures nationales essentielles, notamment des lignes de chemin de fer, des centrales électriques, des aéroports, des voies navigables, des ports et des systèmes de contrôle industriel.

Certains documents contiennent des illustrations de cibles potentielles. On y retrouve notamment une carte des États-Unis avec des dizaines de points clés ainsi qu’une illustration contenant des informations sur une centrale nucléaire suisse et son ministère des Affaires étrangères.

Cinq agences de renseignement occidentales et plusieurs entreprises de cybersécurité qui ont pu examiner les documents sont convaincues de leur authenticité.

Toutefois, les experts n’ont pas été en mesure de prouver que les outils précités avaient déjà été utilisés par la Russie.

Vulkan a été fondé en 2010 par Anton Markov et Alexander Irzhavsky. Les deux hommes ont servi dans l’armée russe par le passé et sont diplômés de l’Académie militaire de Saint-Pétersbourg, où ils ont obtenu respectivement les grades de capitaine et de major. “Ils avaient de bons contacts dans ce domaine”, explique un ancien employé de l’entreprise.

Cette dernière a été lancée à une époque où la Russie développait ses capacités informatiques à une vitesse fulgurante. En 2011, Vulkan a reçu des autorisations spéciales du gouvernement pour collaborer à des projets militaires secrets. Elle emploie plus de 120 personnes dont une soixantaine de développeurs. À cela s’ajoute une douzaine de travailleurs indépendants.

La philosophie officielle de l’établissement rappelle davantage celle d’une entreprise de la Silicon Valley que celle d’une société d’espionnage. On y retrouve une équipe de football propre et les employés reçoivent des e-mails contenant des conseils de remise en forme. Le slogan “Make the world a better place” est au centre d’une vidéo promotionnelle. Le patriotisme est tenu en haute estime chez Vulkan, et de nombreux membres du personnel ont étudié à l’Université technique d’État de Moscou, où, traditionnellement, de nombreux travailleurs du secteur de la défense ont pris leur retraite.

Jusqu’à l’invasion russe en Ukraine, le personnel de Vulkan se rendait régulièrement en Europe occidentale et assistait à des conférences sur les technologies de l’information et de cybersécurité.

D’anciens employés de Vulkan vivent même aujourd’hui en Allemagne, en Irlande et dans d’autres pays de l’UE. Certains travaillent pour de grandes entreprises technologiques. Deux d’entre eux travaillent chez Amazon Web Services et Siemens.

Il est difficile de savoir si les anciens ingénieurs de Vulkan qui vivent actuellement en Occident présentent un risque pour la sécurité et s’ils ont attiré l’attention des services de contre-espionnage occidentaux. La plupart d’entre eux semblent avoir de la famille en Russie, une vulnérabilité que le FSB utilise pour faire pression sur les professionnels russes à l’étranger et les contraindre à coopérer.

Un ancien employé de Vulkan a déclaré à un journaliste qu’il regrettait son travail. “Au début, on ne savait pas très bien en quoi cela consistait. Mais au bout d’un certain temps, j’ai compris que je ne pouvais pas continuer et surtout que je ne pouvais plus y adhérer. J’avais peur qu’il m’arrive quelque chose ou que je finisse en prison.”

Pour sa part, le lanceur d’alerte est conscient des dangers, mais il affirme avoir pris des précautions extrêmes en laissant sa vie antérieure derrière lui et en vivant désormais “comme un fantôme”.