L'enquête sur le piratage d'envergure subi le 8 avril par la chaîne de télévision francophone TV5 Monde, s'oriente désormais vers "un groupe de hackers russes", affirme une source judiciaire à l'AFP et confirmant une information de l'Express.

A l'origine, cette cyberattaque avait été revendiquée par le "cyber califat", un groupe de hackers se réclamant de Daesh. Des messages de propagande islamiste avaient été diffusés sur le site de la chaîne, mais aussi sur ses comptes Facebook et Twitter. Aussitôt, le parquet antiterroriste avait ouvert une enquête préliminaire, et le ministre de l'Intérieur Bernard Cazeneuve, le ministre des Affaires Etrangères Laurent Fabius, et la ministre de la Culture Fleur Pellerin s'étaient rendus sur place le lendemain.

"Vague d'espionnage informatique sophistiquée"

Comme l'a indiqué une source judiciaire, "les investigations conduisent, à ce stade, vers un groupe de hackers russes désignés sous le nom APT28". Les enquêteurs ont pu remonter la trace des hackers par "le travail d'investigation sur les adresses IP des ordinateurs d'où sont parties les attaques", a indiqué une source proche du dossier.

Le groupe de hackers, apparemment actif depuis 2007, n'en serait pas à son coup d'essai. Gouvernements, ambassades, agences militaires, industrie de la défense et médias internationaux sont "les principales cibles d'une vague d'espionnage informatique sophistiquée, ayant débuté fin 2014, et qui serait baptisée 'Pawn Storm' (avalanche de pions, en référence à une stratégie au jeu d'échecs)", selon le journal Le Monde.

"Leur mode opératoire est toujours le même. Ils envoient un mail piégé très bien conçu adressé sur la messagerie personnelle de la victime, un compte Gmail ou Yahoo ! La personne piégée se laisse berner en cliquant sur un lien et donne ses identifiants professionnels, aussitôt récupérés par les assaillants", décrypte Yogi Chandiramani, directeur technique Europe chez FireEye.

Cyber-attaques à la Maison-Blanche, à l'Otan...

L'Express, dans une enquête à paraître ce mercredi, indique que le groupe (qu'il baptise, lui, indifféremment APT28 et Pawn Storm) a eu de nombreux objectifs, bien plus ambitieux, tels que la Maison-Blanche ou encore l'Otan.

De nombreuses cibles ont été recensées, le 4 février dernier, par le cabinet de sécurité informatique Trend Micro. Parmi elles, l'agence américaine de mercenaires Academi (anciennement Blackwater), le département d'Etat américain, des ministères de la défense dont celui de la France ou de la Hongrie, ou encore l'OSCE (Organisation pour la sécurité et la coopération en Europe).

Probablement financé par "un gouvernement"

Cependant, il reste à savoir comment un groupe de cyber-pirates dispose d'autant de moyens. APT28 serait en fait une entité de hackeurs mercenaires bénéficiant d'un "sponsor gouvernemental, plus spécifiquement d'un gouvernement situé à Moscou", selon un rapport de la société de sécurité américaine FireEye. Bien qu'aucun lien direct avec le gouvernement n'ait été trouvé, FireEye a déclaré que les recherches et les cibles des pirates correspondaient parfaitement avec les intérêts russes.

"APT28 est certainement soutenue par un groupe de développeurs capables de créer des outils très souples et tournés vers le long terme, et de déployer beaucoup d'efforts pour masquer son activité. Ceci suggère que APT28 reçoit des ressources financières d'une organisation bien établie, probablement une organisation étatique," affirme le rapport.

Plusieurs organes de presse ont déjà été visés par le passé : un site d'information tchétchène, Kavkaz Center, le journal bulgare Standart News, ou encore le site Al-Wayi News. En France, trois ou quatre entreprises dans le domaine de la défense, ayant participé en 2014 au Salon Eurosatory, ont également reçu ces mails piégés, selon l'enquête de l'Express.