S'abonner Se connecter
Journal d'investigation en ligne
À la Une
Monde
par Antoine Champagne - kitetoa

Le leak IRINI : un vrai problème de sécurité pour les militaires européens

L’infosec n’est pas leur fort

Mots de passe, noms, adresses, codes d’entrée dans des locaux militaires ou des appartements qui hébergent des personnels, les données qui ont fuité mettent en péril les militaires européens déployés dans le cadre de l’opération IRINI. On découvre aussi le poids du matériel américain. La souveraineté européenne, ce sera pour une autre fois.

Le piratage et une fuite de cette ampleur pour une armée de cette taille sont inédits - © Reflets

Ça partait plutôt pas mal… En 2024, le Service européen pour l'action extérieure (SEAE) produisait un document intitulé « Approche de l'Union européenne en matière de sécurité de l'information pour les opérations et missions militaires menées par l'UE », à diffusion limitée. Comme toutes les forces militaires, le bras armé de l’Europe se soucie des problématiques d'InfoSec, c’est-à-dire l'ensemble des pratiques, processus et technologies dédiées à protéger les informations contre tout accès non autorisé, divulgation, altération ou destruction. Il ne s’agit pas ici seulement de cybersécurité, mais également de la protection des données physiques, humaines et organisationnelles. Bref, si l’on utilisait un terme à la mode dans le monde de l’entreprise, on parlerait de sécurité 360°. Las… le leak lié à l’opération IRINI (#MedSeaLeaks) démontre que les militaires européens sont des bras cassés en matière d’Infosec.

On trouve dans ce lot de données des mots de passe pour des réseaux Wifi, des codes d’entrée pour des bâtiment hébergeant des militaires, le code pour accéder à des salles spécifiques dans des quartiers généraux, des données personnelles de militaires ou de fournisseurs de services, y compris celles de leurs conjoints. La sécurité opérationnelle qui consiste à ne pas donner à l'adversaire des informations qui pourraient lui être utiles est par ailleurs négligée.

Au fil des documents, on tombe par exemple sur les fiches des militaires qui reçoivent des habilitations (OTAN, Très secret, etc.). Y figurent leurs noms, dates de naissance et numéros de passeport. Toutes sortes d’informations qui sont un premier pas pour faire du « social engineering », une méthode qui consiste à manipuler un individu pour l’amener à fournir des informations confidentielles.

Extrait d’un des documents d’habilitation pour un militaire français - © Reflets
Extrait d’un des documents d’habilitation pour un militaire français - © Reflets

Un fichier liste aussi toute une série de logins et mots de passe pour des services utilisés par les militaires. Autant d' informations sur les prestataires de l’UE en matière d’outils de surveillance, comme la société britannique dea.aero, qui fournit de l’ISR (Renseignement, surveillance et reconnaissance). Reste à espérer que les responsables militaires ont modifié les mots de passe.

Extrait d'un document des #MedSeaLeaks - Toute une stratégie... - © Reflets
Extrait d'un document des #MedSeaLeaks - Toute une stratégie... - © Reflets

Car si Reflets est probablement le seul journal à avoir récupéré ces données lorsqu’elles étaient en ligne sur le site du groupe de ransomware - et que nous ne nous intéressons pas à ces mots de passe - il n’en est évidemment pas de même pour les services des pays non européens, au premier rang desquels la Russie. Le choix des mots de passe laisse perplexe. Les militaires européens sont des adeptes du classique « 12345 »… Par ailleurs, le renouvellement des mots de passe entre deux équipes n’est visiblement pas à l’ordre du jour.

Liste de services accessibles aux militaires avec les identifiants et mots de passe - © Reflets
Liste de services accessibles aux militaires avec les identifiants et mots de passe - © Reflets

Plus largement, les documents permettent de dresser des listes d’avions espions fournis par la France à l’opération IRINI comme des drones de surveillance de type Reaper ou des Awacs.

Extrait d’un document indiquant les forces mises à disposition par la France dans différentes opérations européennes - © Reflets
Extrait d’un document indiquant les forces mises à disposition par la France dans différentes opérations européennes - © Reflets

Comme tous les leaks militaires, celui-ci fournit de nombreuses informations techniques sur les outils de communication mis à disposition des troupes. Y compris les localisations des centres de communication et la manière dont ils sont reliés, qu’il s’agisse des outils de communication « classiques » ou « sécurisés ».

Plan des moyens de communication non sécurisées des militaires européens - © Reflets
Plan des moyens de communication non sécurisées des militaires européens - © Reflets

Dessous diplomatiques

Mais, comme nous l’indiquions, l’infosec ne concerne pas que les mots de passe. Un document partagé par la « legal team » militaire française donne par exemple des informations « diplomatiques » intéressantes qui n’ont probablement pas vocation à être partagées sur Internet comme elles l’ont été.

On note ainsi que l’opération IRINI vise entre autres choses à « apporter un appui à la détection et à la surveillance des réseaux de trafic de migrants et de traite des êtres humains grâce à la collecte d’informations et à l’organisation de patrouilles réalisées par moyens aériens au-dessus de la haute mer, dans la zone d’opération arrêtée ». Pour autant, les militaires doivent se faire discrets...

Les juristes militaires français expliquent : « Afin d’éviter de retomber dans les travers de l’opération SOPHIA, et notamment la problématique du pull factor induit par la présence de moyens militaires en MEDCENT, plusieurs Etats ont introduit dans la décision du Conseil de l’UE une clause de revoyure de l’Opération afin d’examiner tous les quatre mois si "il apparaît que le déploiement de moyens maritimes de l’opération produit un appel d’air sur les migrations". Depuis le début de l’année 2023, il est constaté une ouverture de la route de l’est. De ce fait, les moyens navals de l’Opération ont été sollicités à plusieurs reprises pour la prise en charge d’embarcations. C’est un point d’attention très important des nations, des SNR [Senior National Representative] et du DCOM [Deputy Commanding general of Eurocorps]. Irini répond si nous sommes sollicités par un MRCC [Maritime Rescue Coordination Centre]. Malgré le fait que les évènements arrivent majoritairement dans la zone SRR maltaise, c’est le MRCC italien qui prend la main car Malte ne répond jamais et refuse de suivre ces opérations. Par ailleurs, ce n’est pas parce qu’un MRCC nous sollicite que nous répondons par la positive. Il se peut que nous ne puissions pas ou que nous n’ayons aucun moyen dans la zone immédiatement à proximité. L’argument selon lequel les marines de guerre ne sont pas soumises aux conventions SOLAS [Safety Of Life At Sea] et SAR [Search and Rescue] n’est pas réellement soutenable en temps de paix. Néanmoins, la décision finale revient à l’OPCDR [commandant des opérations] bien entendu. »

Les réfugiés qui meurent en Méditerranée apprécieront.

Autre sujet abordé par les juristes français, le port de Marseille en tant que port de déroutement pour les navires suspectés de violer l’embargo. C’est un sujet sensible entre États européens. La France est le seul pays ayant proposé un port pour accueillir les navires arraisonnés, chaque État rechignant à endosser la responsabilité logistique et juridique qui en découle. On découvre au détour d’un document de la legal team que le gouvernement français a voulu provoquer un « électrochoc » en annonçant sa fermeture. Bref, un gros coup de pression sur les partenaires européens :

« Dans la branche LEGAD, l’arrangement administratif relatif au port de déroutement de Marseille Fos a été signé par le MINARM FR [ministère des armées] et l’OPCdr, et est opérant depuis octobre 2021. Il a été mis en œuvre deux fois (Victory Roro et Meerdijk). Une note provisoire commune SGMER [Secrétariat Général de la Mer] – SGDSN [Secrétariat Général de la Défense et de la Sécurité Nationale] vient organiser les modalités pratiques. En raison des JO 2024, la France a fait savoir au SEAE [Service européen pour l'action extérieure – EEAS en anglais] que le port de Marseille ne pourra pas être utilisé d’avril à octobre 2024. L’objectif est un électrochoc vis-à-vis des États pour les inciter à identifier un autre port de déroutement. Un autre arrangement administratif a été signé en 2021 avec la Grèce pour le cas du RD7. »

L’impossible souveraineté

Enfin, le leak révèle les matériels et logiciels informatiques utilisés par les militaires européens. En termes de souveraineté, on repassera. Cisco, Citrix, Dataminr, Microsoft sont très présents par exemple, y compris pour des outils de visioconférence qui sont utilisés par les militaires européens. Les révélations d’Edward Snowden sur ce sujet étaient pourtant très précises. Une photo d'employés de la NSA utilisant un sèche-cheveux pour décoller le sceau d'un colis de Cisco Systems, afin de pouvoir remballer les appareils, après modification, avec le même conditionnement qu’à la sortie d’usine avait ainsi été publiée…

Document issu des informations transmises à la presse par Edward Snowden sur les activités de la NSA - CC
Document issu des informations transmises à la presse par Edward Snowden sur les activités de la NSA - CC

Ironie de l’histoire, de nombreux documents insistent sur les capacités des forces européennes en matière de « cyber » ou sur les formations et les outils mis à disposition des troupes pour se former sur ces sujets. Ici une liste des formations, là un accès à « Cyber Guru » pour faire du e-learning. Ailleurs, un petit dessin pour expliquer que les temps ont changé et qu’il faut prendre le cyber au sérieux…

L'UE sait où est le risque... Grand bien leur a fait… Le SEAE est probablement la seule entité militaire d’importance ayant été victime d’un ransomware. - © Reflets
L'UE sait où est le risque... Grand bien leur a fait… Le SEAE est probablement la seule entité militaire d’importance ayant été victime d’un ransomware. - © Reflets

« Malheureusement, de nombreuses organisations touchées choisissent encore de ne pas signaler publiquement ces incidents »

Le monde des groupes de ransomware est opaque. Ces sites de fuites sont gérés par des acteurs malveillants qui peuvent mentir ou attribuer à tort certaines informations, injecter de fausses informations dans les données publiées, etc. Ce sont des malfaiteurs sans foi ni loi. Pour tenter de mieux comprendre les implications de ce leak, nous avons interrogé Corsin Camichel, chercheur chez eCrime.ch, fin observateur des groupes de ransomware.

Reflets : eCrime.ch tient un registre précis des attaques par ransomware. Avez-vous connaissance d'autres attaques de cette ampleur contre des forces armées ?

Corsin Camichel : Nous avons déjà observé des attaques par ransomware visant des forces armées ou militaires. Si le nombre total d'incidents reste relativement faible, leur répartition géographique est notable : ces attaques semblent se produire plus fréquemment dans les pays d'Amérique du Sud ou d'Asie qu'en Europe.

Nous n'avons trouvé aucune annonce officielle de cet incident de sécurité de la part de l'UE. Est-ce souvent le cas ? Les entités touchées font-elles souvent semblant de ne rien savoir pour éviter la mauvaise publicité ?

Malheureusement, de nombreuses organisations touchées choisissent encore de ne pas signaler publiquement ces incidents. Les entreprises privées sont devenues un peu plus transparentes ces dernières années, principalement en raison des lois sur la protection de la vie privée et des obligations en matière de reporting financier. Cependant, la plupart des cas que nous observons ne peuvent être associés à aucune déclaration publique de l'organisation concernée.

Connaît-on la proportion de victimes qui paient les rançons ?

Il est difficile d'obtenir des chiffres précis car de nombreux paiements de rançon ne sont jamais rendus publics. Toutefois, l'analyse de la blockchain réalisée par Chainalysis suggère que seulement 28 % des organisations victimes paient désormais la rançon. Il y a quelques années, les estimations indiquaient qu'environ une victime sur deux payait, alors qu'aujourd'hui, ce chiffre est plus proche d'une sur quatre. Dans le même temps, nous constatons une augmentation du nombre de revendications publiées sur les sites de fuite de données liés aux ransomwares, ce qui indique que les attaquants sont contraints de publier les données volées lorsque leurs tentatives d'extorsion échouent.

Un pool de médias européens pour explorer les #MedSeaLeaks

Reflets (France), IrpiMedia (Italie) et Infolibre (Espagne) se sont associés au sein d’un pool de médias pour analyser une fuite de documents émanant de l’opération EUNAVFORMED IRINI (que nous avons baptisée #MedSeaLeaks), visant à faire respecter l’embargo des Nations unies sur le transport d'armes à destination de la Libye. Cette opération du bras armé de l’Europe s’est étendue au trafic de pétrole et d’êtres humains.

Les outils numériques d'aide à l'investigation qui ont permis d'exploiter cette énorme masse de documents et de produire ces enquêtes font partie du pôle OSINT de Reflets.

Making of

Contacté, le directorat de la communication de la Commission européenne n'a pas répondu à nos questions.

Voici les questions que nous leurs avions posées dans le cadre de cet article :

  • On November 4, 2024, the EEAS was targeted by a ransomware group. A massive amount of data was published online after the EEAS refused to pay the ransom. Can you confirm that this hack and the release of data did indeed occur?

  • Why have neither the EEAS nor the EU ever acknowledged or announced this hack (companies are required to disclose such incidents—NIS2 Directive)?

  • In your view, what is the scope of the leak and its consequences?

  • In terms of the security of military personnel involved in Operation IRNI, what concrete measures were taken after this attack to protect them?

  • More broadly, how do you assess the risk posed by this leak, which could contain information of interest to hostile nations, particularly Russia?

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée