Qu’est-ce qu’APT28, ce groupe de hackers dirigé par les renseignements russes, derrière les «MacronLeaks» ?

APT28 est un acronyme peu inspirant. Il est aussi, selon le ministère français des Affaires étrangères, une menace pour la France, contre laquelle le gouvernement promet de mener une lutte sans merci. Selon une vidéo publiée ce 29 avril sur le compte X de Jean-Noël Barrot, «derrière ce sigle, se cache le nouveau visage d’une guerre silencieuse menée par la Russie contre la France». Aux commandes de cette entité, dont le sigle signifie littéralement Advanced Persistent Threat (menace persistante avancée), se trouvent des agents du service de renseignement militaire (GRU) russe, poursuivant deux objectifs distincts : «collecter des renseignements au profit du Kremlin» et «déstabiliser nos sociétés». 

Parmi les actions de ce groupe de hackers, existant depuis 2004 : le piratage de la chaîne TV5 Monde en 2015, subitement inondée de propagande djihadiste avant que ne s’affiche un écran noir, ou encore le piratage d’e-mails de l’équipe d’Emmanuel Macron lors de la campagne présidentielle de 2017. On s’en souvient sous le nom de «MacronLeaks». Le renseignement américain avait également accusé APT28 d’avoir interféré dans l’élection présidentielle américaine de 2016, mettant en ligne des milliers de mails du Parti démocrate et des proches d’Hillary Clinton. En 2023, le SPD, parti du chancelier allemand Olaf Scholz et plusieurs entreprises allemandes auraient également été victimes de ce groupe.

Activité accrue depuis la guerre en Ukraine

APT28 n’a cessé d’accroître sa force de frappe ces dernières années, ciblant des entités ministérielles, des collectivités territoriales, des entreprises de l’armement et de l’aérospatial ou encore des organes économiques et financiers. Le collectif est également connu des autorités françaises sous les divers noms de Fancy Bear (ours fantaisiste), Frozen Lake (lac gelé) ou Pawn Storm (tempête de pions). Sa méthode consiste, selon un rapport technique de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) datant du 29 avril, à mener des «campagnes d’hameçonnage» contre des messageries. Le principe : se faire passer pour un site familier, un organisme officiel ou un contact connu pour récupérer des données personnelles. APT28 peut également procéder à «l’exploitation des vulnérabilités» de certaines plateformes comme Microsoft Outlook, pour accéder au contenu de la boîte mail.

Ces cyberattaques de haut niveau cibleraient tous les secteurs d’activité, de l’énergie aux médias, en Europe, comme en Amérique du Nord. Selon le rapport technique publié mardi , les agents sont particulièrement actifs depuis la guerre en Ukraine, collectant illégalement des renseignements sur des entités ukrainiennes gouvernementales, militaires, des entités médiatiques ou financières.

Les identités de quatre hackers russes révélées par Anonymous

Ce mercredi 30 avril, le groupe de cyberactivistes Anonymous s’en est pris au collectif russe dans une vidéo au ton menaçant publiée sur X. «Votre temps est écoulé», lance un personnage masqué, à la voix transformée. «Nous vous observons, nous vous traquons, nous démantelons vos infrastructures, nous divulguons votre secret et exposons vos sales jeux au monde entier», poursuit-il. Quelques heures plus tard, Anonymous a publié les visages et les identités de quatre supposés membres d’APT28. «C’est juste le début», préviennent les cyberactivistes, prêts à la contre-offensive.