Cyberattaque étatique contre le ministère autrichien des Affaires étrangères

Tard dans la soirée du samedi 4 janvier 2020, le ministère fédéral autrichien des Affaires européennes et internationales (BMEIA) — le ministère des Affaires étrangères du pays — a détecté une cyberattaque grave et ciblée contre ses systèmes informatiques. L'intrusion, que les responsables autrichiens ont immédiatement soupçonnée d'être l'œuvre d'un acteur étatique, a déclenché des semaines d'opérations défensives intensives au sein de l'un des réseaux les plus sensibles du pays.

Ce qui s'est passé

Le ministère, en collaboration avec les structures nationales de coordination de cybercrise de l'Autriche, a qualifié l'incident d'attaque ciblée visant à recueillir des informations plutôt qu'à causer des dommages. Compte tenu de la sensibilité d'un ministère des Affaires étrangères — qui coordonne environ 100 missions diplomatiques dans le monde et traite des communications diplomatiques classifiées — la qualification d'espionnage était significative.

Le radiodiffuseur public autrichien ORF a rapporté, citant des sources, que l'opération portait les marques du groupe APT Turla lié à la Russie (également connu sous les noms de Snake ou Venomous Bear). Les reportages décrivaient une intrusion sans fichier, « vivant de la terre », abusant d'outils Windows légitimes — PowerShell, commandes .NET et cmd.exe — avec un déclencheur initial menant à un dropper de logiciel malveillant déployant des implants de style Turla. Les attaquants auraient adapté leur logiciel malveillant en réponse aux contre-mesures du ministère, prolongeant l'affrontement.

Conséquences

• Le ministère a combattu l'intrusion pendant environ six semaines avant de la déclarer résolue.
• Les responsables ont affirmé qu'il n'y avait aucun dommage à l'équipement informatique, présentant l'opération comme une collecte de renseignements plutôt qu'une destruction.
• L'ampleur exacte des données diplomatiques exfiltrées n'a jamais été publiquement détaillée.
• L'incident a coïncidé avec des tensions accrues et a souligné l'exposition de l'Autriche en tant que plaque tournante de la diplomatie internationale, hôte de nombreux organismes de l'ONU et de l'OSCE.

Attribution

Le ministère a déclaré officiellement qu'« il ne peut pas encore être affirmé avec certitude qui se cache derrière l'attaque », refusant de nommer formellement un auteur. L'attribution à Turla provenait des reportages des médias autrichiens plutôt que d'une confirmation gouvernementale, et l'ambassadeur de Russie à Vienne a exigé des rétractations des médias impliquant Moscou. Turla est l'un des groupes d'espionnage d'origine russe les plus anciens et les plus capables, historiquement lié à des opérations contre des gouvernements et des cibles diplomatiques à travers l'Europe.

Résolution

Le 14 février 2020, le ministre des Affaires étrangères Alexander Schallenberg a annoncé que, après un travail intensif et une coopération entre les agences concernées, le ministère avait nettoyé ses systèmes informatiques et mis fin à l'attaque.

Pourquoi c'est important

L'intrusion du BMEIA est un exemple clair de cyberespionnage étatique visant la diplomatie. Contrairement au rançongiciel, l'objectif était une collecte de renseignements silencieuse, et le défi des défenseurs était un adversaire patient et adaptatif utilisant des techniques furtives sans fichier qui échappent aux défenses fondées sur les signatures. Cela a confirmé que les ministères des Affaires étrangères sont des cibles de grande valeur permanentes et que la détection, la remédiation prolongée et une attribution publique prudente — distinguant les affirmations des médias des preuves confirmées — sont au cœur de la gestion de tels incidents.