[ Cliquez sur l'image pour l'agrandir ]
ILLUSTRATION CYBERACTIVISTES GUACAMAYA
Un groupe de hackeurs s’est emparé de 10 térabits de données, incluant des millions d’e-mails, des informations confidentielles détaillant des opérations militaires et des contrats, ensuite divulgués à la presse.
Temps de Lecture 4 min.
DESSIN ERICK RETANA |
Des millions d’e-mails, des informations confidentielles détaillant des opérations militaires, des contrats… Les armées de cinq pays latino-américains ont été la cible d’un gigantesque piratage de leurs systèmes informatiques ces dernières semaines. Au total, 10 térabits de données, certaines ultrasensibles, ont été hackées au Chili, au Mexique, au Salvador, au Pérou et en Colombie par un groupe de cyberactivistes, Guacamaya, et remises à des journalistes qui ont commencé à en révéler le contenu.
► À lire aussi : CHILI: LE PIRATAGE MASSIF DE COURRIELS DES FORCES ARMÉES MET LE GOUVERNEMENT DANS L'EMBARRAS
Le Mexique a été le pays le plus touché par ce piratage, le plus important de son histoire. Le ministère de la défense s’est fait dérober 6 térabits, soit plus de quatre millions d’e-mails, vidéos et autres rapports stratégiques, datant de janvier 2016 à septembre 2022. Ces informations confidentielles mettent à nu l’armée en pleine militarisation du pays.
L’exfiltration de données a été rendue publique jeudi 29 septembre par le journaliste Carlos Loret de Mola, sur le site d’actualité Latinus. Entre autres révélations, celle de la santé fragile du président, Andres Manuel Lopez Obrador (« AMLO »), qui a été victime début janvier d’une « angine instable à haut risque », pouvant provoquer une crise cardiaque. A l’époque, le gouvernement avait assuré que le cathétérisme auquel il avait dû se soumettre avait été décidé après un examen de routine, alors que le piratage révèle qu’il s’était agi d’une urgence nécessitant un rapatriement aérien du président depuis l’Etat du Chiapas (sud) vers Mexico. AMLO a reconnu vendredi être « malade » et a confirmé la véracité du vol de données, dû, selon lui, à « un changement de système informatique au sein de l’armée ». Il a néanmoins minimisé son impact, assurant que son gouvernement « n’a rien à cacher ».
Mais les centaines de milliers de données, dont certaines portent la mention « confidentiel », détaillent notamment des opérations militaires contre les cartels de la drogue. En tête, la tentative ratée d’arrestation, le 17 octobre 2019 à Culiacan (nord-ouest), d’Ovidio Guzman, fils du célèbre chef du cartel de Sinaloa, Joaquin « El Chapo » Guzman, condamné à la prison à vie aux Etats-Unis. Les documents révèlent que durant l’opération, « un gradé et dix soldats ont été blessés».
Mouvement « hacktiviste »
Des informations sur les principaux narcotrafiquants mexicains circulent désormais au sein des rédactions. Des documents détaillent même la répartition des troupes sur le territoire pour lutter contre les cartels, qui ont fait plus de 350 000 morts en seize ans. L’hebdomadaire d’investigation Proceso a aussi identifié des missives du ministre de la défense, Luis Cresencio Sandoval, montrant que celui-ci a tenté de minimiser le rôle des militaires dans la disparition des 43 étudiants disparus d’Ayotzinapa. Quant au quotidien espagnol El Pais, il a publié une série de plaintes internes, restées lettres mortes, visant des violences sexuelles au sein de l’armée.
Des révélations chocs en plein débat sur le rôle accru de l’armée. Un projet de loi, en débat au Sénat, vise à étendre la présence des militaires dans les rues jusqu’en 2028. Les milliers de documents dérobés comportent aussi les contrats de construction de grands projets d’infrastructure, dont le Train maya et le nouvel aéroport de Mexico, qu’AMLO a confiés aux militaires.
De quoi provoquer une vague de critiques au sein de l’opposition sur la vulnérabilité informatique de l’armée. Le quotidien El Universal a révélé, samedi 1er octobre, que le ministère de la défense a consacré, entre 2019 et 2022, seulement 1,9 million d’euros à sa cybersécurité. « C’est de la politique politicienne », a réagi AMLO, dénonçant la récupération de cette fuite par ses « adversaires ».
Qui est le groupe Guacamaya à l’origine du piratage ? Se présentant comme un mouvement « hacktiviste » agissant à des fins politiques, il a commencé à se faire connaître au mois de mars avec la publication de documents dérobés à plusieurs entreprises minières basées au Guatemala, au Chili, en Equateur, en Colombie et au Brésil.
Les motivations initiales de Guacamaya – nom espagnol d’un perroquet d’Amérique équatoriale, l’ara – étaient d’ordre écologique, dénonçant la mainmise des grands groupes miniers sur le territoire d’Abya Yala, comme les indigènes appellent le continent latino-américain. Dans ses communiqués, le groupe, dont l’identité véritable est inconnue, justifie sa dernière opération, appelée « Forces répressives », en évoquant l’emprise des organisations militaires sur le continent, leurs liens avec « l’impérialisme nord-américain » et leur rôle dans la répression des contestations. Le groupe se montre prudent dans la diffusion des données, réservant les informations les plus sensibles aux journalistes d’investigation qui en font la demande.
Vulnérabilité connue
Guacamaya revendique d’avoir également piraté dix millions de courriers électroniques de la police nationale civile du Salvador et 250 000 des forces armées de ce pays, ainsi que des données des forces armées de Colombie et du Pérou.
Comment s’y sont-ils pris pour accéder à de telles quantités de données sensibles ? Dans ses diverses communications, Guacamaya a détaillé plusieurs des méthodes utilisées pour s’infiltrer dans les réseaux informatiques de ses victimes. Dans le cas des e-mails attribués au secrétariat de la défense mexicain, les pirates affirment s’être appuyés sur une vulnérabilité connue dans une suite logicielle servant à gérer les messageries au sein d’une organisation. Les « hacktivistes » expliquent qu’ils n’étaient pas les seuls à exfiltrer ces données militaires mexicaines et que d’autres pirates étaient parvenus à s’introduire dans la messagerie avant eux. Pour leurs autres attaques, ils assurent avoir utilisé ProxyShell, un ensemble de failles de sécurité très médiatisées en 2021 et touchant les serveurs de messagerie Microsoft Exchange. Ces vulnérabilités permettent notamment d’exécuter du code malveillant à distance sur un serveur pour en prendre le contrôle.
LES FORCES ARMÉES ONT EFFECTUÉ UN ESPIONNAGE POLITIQUE INTERNE |
Jusqu’au piratage des 6 térabits au Mexique, l’action la plus spectaculaire du groupe avait été révélée au Chili, avec la filtration, rendue publique le 19 septembre, de plus de 400 000 e-mails envoyés et reçus entre 2012 et mai 2022 par les fonctionnaires de l’état-major des forces armées, et piratés au mois de mai. Ce scandale a obligé la ministre de la défense, Maya Fernandez, à suspendre un déplacement aux Etats-Unis et a provoqué la démission du chef de l’état-major, Guillermo Paiva, le 22 septembre.
Parmi les contenus sensibles révélés, selon le média chilien Ciper (Centre d’enquête journalistique) : la cyberstratégie de l’armée ; l’état des forces dans le sud du pays où sévit le conflit autour de la restitution des terres ancestrales mapuche, avec déploiement de l’armée ; ou encore des rapports sur la crise migratoire dans le nord du pays… Cette vulnérabilité était connue de l’état-major depuis au moins août 2021 : un document interne cité par le quotidien La Tercera alertait, déjà, sur « les constantes attaques de groupes hacktivistes » et signalait la montée en puissance des techniques utilisées par les pirates. « Le gouvernement a demandé une instruction administrative afin de déterminer les responsabilités », a indiqué le ministère de la défense dans un bref communiqué. Les révélations devraient continuer à tomber dans les prochains jours.
SUR LE MÊME SUJET :