Violation des e-mails du Storting (Parlement norvégien)

En août 2020, le Storting — le parlement national de Norvège — a subi une intrusion dans son système de messagerie que les autorités norvégiennes attribueront plus tard à APT28 (Fancy Bear), une unité du service de renseignement militaire russe, le GRU. Cette violation est devenue l'une des opérations cyber attribuées à un État les plus marquantes contre une assemblée législative occidentale, conduisant à une rare désignation publique de la Russie par le gouvernement norvégien.

Ce qui s'est passé

Le 24 août 2020, les attaquants se sont introduits par force brute dans un nombre limité de comptes de messagerie appartenant à des représentants élus et à des employés du Storting. La force brute — qui consiste à deviner systématiquement des mots de passe sur des comptes insuffisamment protégés — a donné aux intrus un accès direct au contenu de ces boîtes aux lettres. Les enquêteurs ont confirmé par la suite que des données avaient été dérobées dans chacun des comptes compromis, bien que le parlement n'ait pas publié de décompte précis des personnes affectées ni du volume de données exfiltrées.

Le Storting a révélé l'incident le 1er septembre 2020, le décrivant comme une attaque « importante ». La directrice Marianne Andreassen a indiqué que l'ampleur totale restait à évaluer.

Attribution

La Norvège a procédé inhabituellement vite à l'attribution. Le 13 octobre 2020, la ministre des Affaires étrangères Ine Eriksen Søreide a déclaré que l'attaque était l'œuvre de la Russie, la qualifiant d'« incident très grave touchant notre institution démocratique la plus importante ». Le ministère russe des Affaires étrangères a rejeté l'accusation, la qualifiant de « provocation planifiée ».

En décembre 2020, le Service de sécurité de la police norvégienne (PST) a conclu son enquête, estimant que l'opération avait probablement été menée par APT28 / Fancy Bear, lié au 85e Centre principal de services spéciaux (GTsSS) du GRU — la même unité inculpée par les États-Unis pour des opérations contre l'élection de 2016 et l'Agence mondiale antidopage. Le PST a noté que l'intrusion du Storting faisait partie d'une campagne plus vaste menée à l'échelle nationale et internationale depuis au moins 2019.

Impact

• Les comptes de messagerie d'un nombre non divulgué de députés et d'employés ont été consultés, des données ayant été exfiltrées de chacun.
• La violation a contraint à une réinitialisation des identifiants à l'échelle du parlement et à un renforcement de l'authentification, notamment une adoption accélérée de l'authentification multifacteur.
• Elle est devenue un cas d'école déterminant pour la politique norvégienne d'attribution politique publique des opérations cyber commanditées par des États.

Pourquoi c'est important

La violation du Storting a montré que même les démocraties petites et bien dotées sont des cibles persistantes pour les services de renseignement étrangers cherchant à éclairer les délibérations politiques. La décision de la Norvège de désigner publiquement la Russie — et de l'étayer par une attribution formelle du PST — a marqué une évolution vers la dissuasion par la divulgation parmi les États nordiques. L'incident a aussi révélé comment des politiques de mots de passe faibles et l'absence d'authentification multifacteur sur un système de messagerie législatif peuvent livrer à un service de renseignement hostile les clés de la correspondance politique d'une nation.