Une première attaque à l'été 2015
Cette opération, que le rapport baptise "Grizzly Steppe", a pris la forme de deux cyberattaques contre le parti, organisées par deux groupes différents liés aux services de renseignement russes.
Durant cette première attaque, un groupe baptisé APT29 a envoyé des courriels contenant un lien vers un virus à plus de 1000 destinataires, dont de nombreux membres du gouvernement. Le virus était hébergé sur des adresses associées à des organisations et des institutions éducatives américaines légitimes.
"Durant cette campagne, APT29 a réussi à compromettre un parti politique américain", explique le rapport: au moins l'un des destinataires des courriels a cliqué sur le lien et fait rentrer le virus dans le système informatique du parti.
Une seconde au printemps 2016
Le logiciel est ensuite entré en action, augmentant progressivement les accès dont il bénéficiait et exfiltrant discrètement des courriels de plusieurs comptes à travers des connexions chiffrées.
Le même parti politique a été victime d'une deuxième attaque, conduite par un autre groupe (APT28). Là encore, les cyberattaquants ont envoyé des courriels trompeurs. Cette fois-ci, ils demandaient aux destinataires de changer leurs mots de passe, et les renvoyaient sur un faux site internet ressemblant à un site légitime mais opéré en réalité par les pirates.
Ces derniers ont ensuite utilisé ces mots de passe pour accéder au système informatique du parti et y voler des informations, "conduisant probablement à l'exfiltration d'informations de multiples membres haut placés du parti", selon le rapport.
Au-delà de l'élection présidentielle
Le gouvernement américain estime que les pirates ont ensuite organisé des fuites dans la presse et rendu ces informations publiques. Des correspondances internes de responsables du parti, et des courriels de John Podesta, président de l'équipe de campagne de Hillary Clinton, s'étaient notamment retrouvés sur WikiLeaks.
Le rapport estime que des acteurs probablement associés aux services de renseignement russe continuent de mener des attaques par hameçonnage contre les Etats-Unis. L'une d'entre elles avait été lancée seulement quelques jours après l'élection, en novembre 2016.
Les Américains accusent aussi les Russes d'avoir utilisé des techniques similaires pour influencer les opinions publiques en Europe et en Asie.
Les faits
Le scandale éclate en juin quand CrowdStrike, une entreprise américaine de sécurité informatique, révèle que deux groupes de hackers, Fancy Bear et Cozy Bear, ont pénétré les ordinateurs du Parti démocrate. Le premier s'est infiltré dès l'été 2015 pour intercepter toutes les communications du parti tandis que le second a ciblé et volé, à partir de mars 2016, des dossiers relatifs à Donald Trump. CrowdStrike en est persuadé : Cozy Bear est lié aux services russes de renseignement militaire (GRU) et Fancy Bear aux services spéciaux russes (FSB).
Un mois après ces révélations, le site WikiLeaks commence à publier une partie des e-mails piratés.
Le 7 octobre, les 17 agences américaines de renseignements concluent que le piratage a été orchestré à partir de la Russie. La campagne électorale bat alors son plein, marquée par la publication quasi quotidienne d'e-mails piratés du compte de John Podesta, le président de l'équipe de campagne d'Hillary Clinton. Les accusations continuent après la victoire de Donald Trump et le Washington Post cite un document de la CIA affirmant que la Russie est intervenue pour faire élire le milliardaire.
Le 12 décembre, le Congrès annonce le lancement d'une enquête parlementaire sur les ingérences russes dans l'élection.
La Russie a-t-elle les moyens techniques de ce type de piratage ?
Incontestablement, les hackeurs russes sont talentueux. Une tradition héritée de l'époque soviétique, quand l'URSS était en pointe en matière d'espionnage économique. Depuis, la Russie est passée à des cibles plus politiques. Le premier pays à en avoir fait les frais est l'Estonie en 2007. Après un différend diplomatique, les principaux sites internet du petit "État balte sont bombardés de requêtes, jusqu'à les rendre inutilisables. Une attaque inédite à l'échelle d'un pays : le numéro national des urgences restera indisponible pendant plus d'une heure. L'Ukraine et la Géorgie, autres pays aux relations tendues avec Moscou, ont plus tard été la cible d'attaques similaires.
"Étant donné l'histoire de la Russie en matière de cyberattaques, j'aurais tendance à penser qu'il s'agit d'une coordination d'acteurs privés et gouvernementaux, coordonnés au plus haut niveau", explique à l'AFP le rédacteur en chef du site Agenta.ru spécialisé dans les affaires de renseignement, Andreï Soldatov.
Quels en sont les mobiles ?
Nombre d'observateurs ont estimé que l'objectif des interférences russes était avant tout de saper la confiance dans la légitimité de l'élection américaine, pour affaiblir la future administration. Mais un rapport de la CIA qui a fuité dans la presse est allé plus loin, en affirmant que Moscou avait mené ces opérations dans le but de faire gagner Donald Trump, qui a souvent loué les qualités de dirigeant du président Vladimir Poutine. Andreï Soldatov croit plutôt à une opération visant à affaiblir Mme Clinton, considérée par le Kremlin comme "une sorte d'ennemie jurée" depuis que, secrétaire d'État, elle avait apporté son soutien en 2011 à des manifestations anti-Poutine à Moscou. "Je ne suis pas certain que le premier objectif était de faire élire Trump", estime M. Soldatov.
TF121