Fondée en 2009, Recorded Future est une entreprise américaine de cybersécurité qui utilise la collecte et l'analyse des masses de données par l'intelligence artificielle pour détecter les menaces potentielles. La société compte Google parmi ses investisseurs historiques et plus de la moitié des sociétés du Fortune 500, ainsi que les équipes de cybersécurité de 40 gouvernements différents, parmi ses clients. Elle est basée à Somerville, dans le Massachusetts.

LA TRIBUNE - L'une des grandes tendances soulignées par votre étude est la fuite des cerveaux de l'IT qu'a connue la Russie depuis le début du conflit, et l'impact de celle-ci sur la cybercriminalité dans le monde. En quoi cet exode massif a-t-il contribué à changer la donne ?

ALEXANDER LESLIE - On constate un lien très clair entre les différentes phases du conflit et l'activité des cybercriminels russophones. Lorsque les troupes russes commencent à s'amasser près de la frontière ukrainienne, puis de nouveau après le déclenchement du conflit, et plus encore après la déclaration de la mobilisation partielle par Vladimir Poutine en septembre 2022, on constate ainsi, à chaque fois, une baisse significative de l'activité sur les forums, les chaînes Telegram et les places de marché en langue russe utilisées par les cybercriminels. Après l'annonce de la mobilisation partielle, cette baisse atteint par exemple les 70%.

À ce jour, l'activité sur ces différents canaux n'est toujours pas revenue à ce qu'elle était avant le déclenchement des hostilités. Il existe donc un lien évident entre le fait que de nombreux individus dotés de compétences en informatique aient fui la Russie, soit par peur de la guerre, soit par désaccord avec celle-ci, ou encore pour échapper à la mobilisation, et la cybercriminalité russophone.

Lire aussiEn Ukraine, la cyberguerre a bien eu lieu mais avec des effets assez limités (1/2)

Comment expliquer cet impact ? On se doute que ces personnes qui ont fui la Russie n'étaient pas les hackers pro-Kremlin les plus zélés...

Cela s'explique par une règle tacite, qui veut que les autorités russes accordent un blanc-seing aux cybercriminels qui se trouvent en Russie, du moment que ces derniers ciblent des entités étrangères. Les hackers russes, qui, comme la plupart des cybercriminels, sont avant tout motivés par leur intérêt personnel et par l'appât du gain, sont parfaitement au courant de cet état de fait.

Ainsi, la plupart des forums et autres places du Darknet consacrés à la cybercriminalité bannissent instantanément les membres qui parlent de s'attaquer à des acteurs russes. En outre, certains logiciels malveillants, conçus par des hackers russophones, comme Raccoon Stealer, se désactivent automatiquement s'ils sont utilisés contre des sociétés russes.

Ainsi, la Russie constitue un havre qui permet à ces cybercriminels de prospérer sans être inquiétés. Contraints de quitter le territoire, ceux-ci ne bénéficient plus de cette protection implicite, et risquent l'arrestation, que ce soit par les autorités de leur pays d'accueil ou par Interpol, s'ils continuent d'agir comme avant. Ces acteurs malveillants sont donc contraints de réduire considérablement, voire d'interrompre leurs activités, au moins jusqu'à ce qu'ils trouvent une manière sûre d'opérer dans leur nouveau pays.

Lire aussiComment l'Ukraine a réussi à limiter l'ampleur des cyberattaques russes (2/2)

Quel intérêt la Russie a-t-elle à protéger les cybercriminels qui opèrent sur son sol ?

La proximité de l'État russe avec le crime organisé n'est pas un phénomène nouveau et remonte au moins aux débuts de la Fédération de Russie, en 1991. D'abord, cette proximité est mobilisée par l'État russe en période de conflit, dans une logique de cyberguerre. Ensuite, elle permet de faire entrer de l'argent sur le territoire russe, notamment à travers le phénomène des rançongiciels. Le groupe russophone Conti, qui s'est fragmenté après le début du conflit suite aux divergences de ses membres quant à l'attitude à adopter face à la guerre (certains la soutenant, d'autres non), était jusqu'alors le principal groupe de rançongiciel au monde.

Mais surtout, l'existence d'un puissant réseau de cybercriminels en Russie entretient le trouble quant à l'origine des cyberattaques émanant du pays et permet à l'État russe de facilement se laver les mains suite à une action disruptive menée contre un État ou une entreprise étrangère. Lorsqu'un groupe de hackers russophones comme Killnet, Xaknet ou encore Cyber Army of Russia lance une attaque sur les infrastructures ukrainiennes, par exemple, l'État russe peut affirmer qu'il s'agit d'une initiative émanant de cybercriminels n'ayant rien à voir avec lui. C'est parfois vrai, parfois non. Mais dans tous les cas, ce flou savamment entretenu permet aux autorités russes de mener une cyberguerre qui ne dit pas son nom.

Lire aussiCybersécurité : le chiffrement ubiquitaire, nouvelle arme contre les hackers ?

Vous soulignez également que cette protection tacite accordée aux cybercriminels pourrait bien devenir officielle en Russie...

En effet, il y a actuellement plusieurs propositions allant dans ce sens étudiées par la Douma, la principale émanant du député Alexander Khinshtein, qui suggère d'amender le Code criminel pour conférer l'immunité aux hackers prorusses. Cela constituerait un pas supplémentaire de la part du Kremlin qui indiquerait ainsi noir sur blanc aux cybercriminels résidant sur son territoire qu'ils peuvent s'en prendre aux acteurs étrangers en toute impunité.

Lire aussiCyberattaques : les "Five Eyes" se préparent à une vaste offensive des hackers russes

Ces dernières années ont été marquées par la montée en flèche des rançongiciels. Le conflit a-t-il eu tendance à exacerber ce phénomène ?

Pas vraiment, car certains des plus puissants cartels de rançongiciels ont été rayés de la carte. Conti s'est fragmenté suite à la déclaration d'allégeance du groupe à la Russie, qui a déplu à certains membres, et très récemment, Hive, un autre leader mondial du rançongiciel, a vu ses infrastructures saisies par le FBI. Bien sûr, de nouveaux groupes n'ont pas tardé à apparaître pour les remplacer, mais leur offre est pour l'heure d'une qualité inférieure. La guerre n'a donc pas été une bonne affaire pour ce business.

Le marché de contrebande sur le Darknet a également souffert : outre la saisie d'Hydra par la police allemande l'an passé, les mesures de rétorsion adoptées contre la Russie font qu'il est devenu très difficile pour les acteurs d'expédier des marchandises illégales (qu'il s'agisse d'armes, de drogue ou de produits de contrebande) au-delà de la frontière russe. Ainsi, nombre de places de marché illégales opérant sur le Darknet ont dû fermer boutique.

Lire aussiCyberattaques : 1,2 milliard de dollars, l'addition salée du paiement des rançons aux Etats-Unis

En revanche, une tendance inquiétante est celle du renforcement du modèle du malware-as-a-service. On voit ainsi plusieurs groupes d'haktivistes prorusses partager gratuitement les outils nécessaires, assortis des tutoriaux adéquats, pour conduire des attaques par déni de service, de rançongiciel ou autres logiciels malveillants. On assiste donc à une uberisation de la cybercriminalité. Un nombre croissant d'individus sans compétences avancées en informatique gagnent ainsi la possibilité de perpétrer des attaques à l'aide d'outils qui étaient jadis l'apanage des cybercriminels les plus évolués. Encore récemment cantonnés aux méandres du Darknet, ces outils circulent désormais au grand jour sur les réseaux sociaux russophones.

En outre, comme il est devenu plus difficile de faire de l'argent grâce aux rançongiciels, les cybercriminels s'attaquent de plus en plus aux infrastructures critiques, qu'il s'agisse de la grille énergétique, des hôpitaux ou des administrations publiques, car le coût potentiel (y compris en vies humaines) en cas de refus de payer la rançon est tel qu'ils savent avoir ainsi de meilleures chances de faire de l'argent. La combinaison de ces deux dernières tendances est très inquiétante et sera à surveiller de près dans les mois à venir.