Le vol massif de données touchant plus de 65 000 policiers néerlandais a été attribué à un groupe de hackers russes. Une cyberattaque révélatrice d’une guerre numérique qui ne dit pas son nom.

 

 

En septembre 2024, les Pays-Bas ont été frappés par une cyberattaque d’ampleur inédite : les données personnelles de plus de 65 000 policiers néerlandais ont été dérobées via une faille informatique exploitée par des acteurs malveillants. Pendant plusieurs mois, l’identité des auteurs est restée floue, alimentant toutes les spéculations. Mais aujourd’hui, le voile est levé. Les services de renseignement néerlandais, l’AIVD (Service général de renseignement et de sécurité) et le MIVD (Service de renseignement militaire), désignent formellement un groupe de hackers russes,  surnommé « Laundry Bear », comme les cerveaux de cette opération. Derrière ce nom codé se cache une organisation discrète, expérimentée et redoutablement efficace, opérant dans l’ombre d’un conflit numérique entre la Russie et l’Occident.

Une faille technique exploitée par un réseau criminel bien rodé

L’attaque s’est appuyée sur une technique bien connue dans le monde de la cybersécurité : le pass-the-cookie. Cette méthode consiste à usurper l’identité numérique d’un utilisateur légitime en réutilisant des cookies d’authentification volés. En l’occurrence, ces cookies ont vraisemblablement été récupérés grâce à un malware de type infostealer, diffusé sur les machines de victimes peu méfiantes. Une fois collectées, ces données ont été revendues sur des places de marché clandestines, où elles ont été achetées par Laundry Bear. Ce groupe a ensuite utilisé ces identifiants pour infiltrer un serveur Microsoft Exchange de la police néerlandaise, où figurait une Global Address List (GAL). Ce fichier regroupait noms, adresses email, numéros de téléphone et fonctions professionnelles de milliers de policiers, ainsi que d’agents de partenaires comme des cabinets juridiques ou le ministère public.

Ce scénario illustre la complexité du cybercrime moderne, où se mêlent criminalité opportuniste et espionnage d’État. Comme l’explique John Hultquist, analyste en chef au sein du Google Threat Intelligence Group, « le cyberespace criminel est devenu un multiplicateur de force pour les acteurs de l’espionnage russe. Ils exploitent systématiquement les accès développés au fil des activités criminelles ordinaires ».

Laundry Bear : un espion discret mais bien équipé

Le nom de Laundry Bear n’est peut-être pas encore célèbre dans le grand public, mais il est bien connu des agences de sécurité occidentales. Ce groupe est soupçonné d’avoir mené de nombreuses opérations discrètes dans divers pays européens, avec un intérêt marqué pour les infrastructures militaires et les relations internationales, notamment en lien avec la guerre en Ukraine. Selon Peter Reesink, directeur du MIVD, Laundry Bear « cible particulièrement les informations liées à la production et à l’acquisition de matériel militaire par les gouvernements occidentaux, ainsi que les livraisons d’armes à l’Ukraine ».

« Nous avons vu ce groupe accéder à des données sensibles d’un nombre impressionnant d’organisations gouvernementales et d’entreprises dans le monde entier », affirme Peter Reesink.

Le groupe se distingue par l’utilisation de TTPs (tactiques, techniques et procédures) extrêmement efficaces pour échapper à la détection. Ces méthodes comprennent l’exploitation de failles 0-day, l’usage d’outils open source modifiés, et une compartimentation rigoureuse de ses opérations pour brouiller les pistes. Cette approche leur a permis de rester invisibles pendant de longues périodes, même au sein de systèmes fortement surveillés.

Face à cette menace, l’AIVD et le MIVD ont fait le choix stratégique de révéler publiquement les méthodes utilisées par Laundry Bear. L’objectif est double : alerter les potentielles cibles de ce type d’attaque, entreprises de défense, fournisseurs de technologies, services publics, et renforcer la résilience des réseaux nationaux.

« En exposant leurs techniques, nous réduisons leurs chances de succès. Les gouvernements, mais aussi les acteurs industriels et technologiques, peuvent dès à présent se protéger plus efficacement contre cette forme d’espionnage« , a déclaré Erik Akerboom, directeur général de l’AIVD.

Cette communication, inhabituelle pour des services de renseignement traditionnellement discrets, souligne l’ampleur du défi sécuritaire que pose le cyber espionnage étatique. Elle marque également un tournant dans la manière dont les démocraties abordent la guerre de l’information : transparence, collaboration intersectorielle et mobilisation des ressources nationales deviennent des impératifs de sécurité.

Une guerre numérique larvée entre Russie et Occident

L’affaire Laundry Bear s’inscrit dans une dynamique plus large d’affrontements cybernétiques entre la Russie et les pays membres de l’Union européenne et de l’OTAN. Depuis l’annexion de la Crimée en 2014 et plus encore depuis l’invasion de l’Ukraine en 2022, les tensions géopolitiques se traduisent de plus en plus par des actions offensives dans le cyberespace. Les infrastructures critiques, les institutions publiques et les entreprises stratégiques sont devenues des cibles prioritaires pour les services de renseignement russes, souvent via des groupes mandatés ou tolérés par le Kremlin.

Le cyberespace est devenu le théâtre d’une guerre froide moderne, où les frontières sont floues et les conséquences bien réelles.

Les Pays-Bas, malgré leur taille modeste, jouent un rôle clé au sein de cette guerre numérique. Leur position stratégique, leur participation active au sein de l’OTAN et leur expertise technologique en font une cible de choix pour les cyberespions. Ce n’est d’ailleurs pas la première fois que le pays est confronté à une attaque d’ampleur. En 2018, le même AIVD avait déjoué une tentative d’infiltration des systèmes de l’OIAC (Organisation pour l’interdiction des armes chimiques) par des agents russes du GRU.

Les données comme nouvelle arme d’influence

Au-delà du simple vol de données, cette attaque soulève une question centrale : que deviennent ces informations une fois entre les mains d’un acteur étatique ? Les renseignements volés peuvent être utilisés pour cartographier les forces de police, identifier des personnes sensibles, pratiquer du chantage ou encore semer la méfiance au sein des institutions. Dans un monde où l’information est pouvoir, le contrôle et la manipulation des données représentent des enjeux majeurs, tant pour la sécurité intérieure que pour la diplomatie.

Il ne faut pas non plus négliger l’effet psychologique de telles opérations. En exposant la vulnérabilité d’institutions respectées comme la police nationale, les attaquants cherchent aussi à affaiblir la confiance du public envers l’État et ses capacités de protection. Une stratégie subtile, mais potentiellement dévastatrice sur le long terme.