Moonlight Maze

À partir d’environ 1996 et jusqu’en 1999, des enquêteurs américains suivent une campagne d’intrusion soutenue contre des réseaux du département de la Défense, le département de l’Énergie, la NASA, des sous-traitants de défense et des universités. Les attaquants exfiltrent un volume énorme de matériel de recherche non classifié mais sensible. L’enquête porte le nom de code Moonlight Maze.

Une campagne avant que le vocabulaire n’existe

Moonlight Maze précède presque tout le langage aujourd’hui utilisé pour décrire de telles opérations. Il n’y avait pas d’acronyme « APT », pas d’industrie du renseignement sur les menaces, pas de pratique standardisée de réponse à incident. Les enquêteurs tracent des connexions qui semblent transiter par des systèmes en Russie, mais l’attribution à l’époque est prudente, politiquement délicate, et jamais pleinement résolue publiquement.

Pendant des années, Moonlight Maze reste une histoire à demi documentée, coda de la Guerre froide. Puis, en 2016, des chercheurs obtiennent le disque dur préservé d’un serveur relais qu’un vieil administrateur britannique avait gardé depuis la fin des années 1990. Le disque contient la boîte à outils des attaquants. L’analyse montre une lignée de code reliant ces outils des années 1990 à une porte dérobée appelée Penquin Turla — toujours utilisée par un groupe contemporain attribué à la Russie deux décennies plus tard.

Ce que la chronique retient

Moonlight Maze est la plus ancienne campagne de cyber-espionnage étatique à grande échelle contre les États-Unis attestée, et le cas qui a démontré une continuité opérationnelle sur des décennies. Le lien forensique de 2017 a prouvé que l’outillage d’intrusion, et les institutions qui le construisent, peuvent persister bien plus longtemps que n’importe quel incident isolé — et qu’un vieux disque dur dans un placard peut réécrire une attribution avec vingt ans de retard.