Après que l’Allemagne et l’Union européenne ont accusé la Russie de cyber-attaques malveillantes contre les institutions démocratiques à l’automne, des indices laissent penser qu’un autre État pourrait être à l’origine de ces activités. La société de sécurité informatique Mandiant est convaincue que les agresseurs, connus en Occident sous le nom de « ghostwriters », reçoivent l’aide technique d’un groupe appelé « UNC1151 », que l’on peut désormais attribuer avec une grande certitude au gouvernement du Belarus. C’est ce qu’a expliqué l’entreprise américaine dans un billet de blog qui rassemble une foule d’indices, notamment sur la base des personnes visées, mais reste vague sur les preuves techniques. On ne peut pas exclure une contribution directe de la Russie aux attaques, mais on n’en a pas la preuve.

Inquiétudes quant à l’influence sur les élections

Des accusations contre des « ghostwriters » avaient été lancées en Allemagne dans les semaines précédant les élections législatives. Selon le gouvernement fédéral, ils avaient tenté d’obtenir des « données de connexion personnelles, en particulier de députés du Bundestag et du Landtag » par des attaques de phishing. En cas de succès, les documents obtenus auraient servi à préparer des campagnes de désinformation en lien avec les élections fédérales, selon l’accusation. Les élections présidentielles américaines de 2016 ont montré à quoi cela pouvait ressembler. En Allemagne, un nombre à trois chiffres d’attaques a été attribué au seul « Ghostwriter » et, à l’approche des élections, ces attaques sont devenues de plus en plus intenses, avait-on dit. Le procureur général fédéral allemand enquête également.

Mandiant, quant à lui, dit observer depuis 2017 le groupe baptisé « UNC1151 » ; en avril, l’entreprise avait déclaré qu’il exécutait techniquement au moins une partie de la campagne de « Ghostwriter ». Mais si à l’époque, il n’était question que d’un État non nommé à l’origine du projet, Mandiant se montre désormais plus concret. Les Etats visés ont tous des relations tendues avec la Biélorussie et la composition spécifique correspond moins à la Russie. Ainsi, l’Estonie n’est pas concernée ; en tant que pays balte membre de l’OTAN, elle est une cible privilégiée pour la Russie, mais n’est pas voisine de la Biélorussie. En outre, des individus ayant des liens avec la Biélorussie, notamment au sein de l’opposition locale, ont été la cible d’attaques. Les attaques après les élections controversées de 2020 seraient compatibles avec l’approche de l’État biélorusse. En outre, des informations techniques situent les responsables à Minsk, mais Mandiant n’est pas plus précis.

Les explications de Mandiant montrent à quel point il est difficile d’attribuer des cyberattaques. Dans le même temps, les experts se montrent très confiants dans leur conclusion : il est très probable que les attaques soient menées depuis la Biélorussie, et moyennement certain que l’armée de la dernière dictature d’Europe soit impliquée. Au vu des explications peu concrètes sur les détails techniques, il est impossible de le vérifier à l’heure actuelle. Le gouvernement allemand a en tout cas déclaré au Spiegel que, malgré les détails présentés, la responsabilité principale de la Russie dans les activités de « Ghostwriter » était maintenue. Il n’exclut donc pas « la participation éventuelle d’autres acteurs à la campagne ».