Les États-Unis inculpent une Ukrainienne de 33 ans pour son rôle au sein des groupes pro-Russie CARR et NoName, accusés d’attaques destructrices contre des infrastructures critiques mondiales.
Le département de la Justice américain a dévoilé deux actes d’accusation visant Victoria Eduardovna Dubranova, 33 ans, alias Vika, Tory ou SovaSonya. Cette ressortissante ukrainienne est poursuivie pour son implication dans des cyberattaques menées au profit de la Russie, via les groupes CyberArmyofRussia_Reborn (CARR) et NoName057(16). Selon les procureurs, ces collectifs présentés comme « hacktivistes » auraient, avec l’appui de l’État russe, visé des infrastructures aussi sensibles que l’eau potable, l’agroalimentaire, le rail ou des agences gouvernementales. Les États-Unis combinent désormais poursuites pénales, sanctions financières et primes pouvant atteindre plusieurs millions de dollars pour tenter de démanteler ces relais cyber du renseignement militaire russe.
Une opératrice clé de CARR et NoName devant la justice
Les autorités américaines décrivent une trajectoire en deux temps pour Victoria Dubranova. D’abord visée par un premier acte d’accusation pour ses activités au sein de CyberArmyofRussia_Reborn, elle a été extradée vers les États-Unis plus tôt cette année. Elle vient d’être mise en examen une seconde fois, cette fois pour son rôle présumé dans le projet NoName057(16). Lors de son audience, elle a plaidé non coupable dans les deux dossiers.
Les dates de procès sont déjà fixées, ce qui donne un calendrier clair à cette affaire. Le procès lié à NoName doit débuter le 3 février 2026, celui concernant CARR le 7 avril 2026. Ce séquencement montre que le volet NoName, centré sur les attaques par déni de service distribué, sera traité en premier, avant le dossier CARR, plus orienté vers les intrusions et sabotages de systèmes industriels.
CARR est présenté dans l’acte d’accusation comme un groupe fondé, financé et dirigé par le GRU, le renseignement militaire russe. NoName est décrit comme un projet « sanctionné par l’État », administré en partie par le Centre d’étude et de monitoring en réseau de l’environnement des jeunes (CISM), une structure IT créée par décret présidentiel russe en octobre 2018. Dans les deux cas, les procureurs insistent sur l’articulation entre services de renseignement et façades hacktivistes, utilisée pour brouiller l’attribution des attaques.
Pour la partie CARR, Dubranova est poursuivie pour complot visant à endommager des ordinateurs protégés et à manipuler des réseaux d’eau potable, pour dégradation de systèmes informatiques, fraude aux moyens d’accès et usurpation aggravée d’identité. La peine maximale théorique atteint 27 ans de prison fédérale si elle était reconnue coupable de l’ensemble des chefs. Pour NoName, elle est visée par un chef de complot pour endommager des ordinateurs protégés, assorti d’un plafond de cinq ans de prison.
Les responsables américains des secteurs justice, sécurité nationale, environnement et FBI insistent dans leurs déclarations sur trois points : la dimension politique des attaques, alignées sur les intérêts géopolitiques russes ; la menace directe pour les infrastructures vitales, notamment l’eau et l’alimentation ; et la volonté de poursuivre non seulement les services étatiques, mais aussi leurs « proxies » criminels. Le message est clair : la façade hacktiviste n’offre pas d’immunité lorsque les liens avec le renseignement militaire sont établis.
CARR : eau potable, agroalimentaire et élections dans le viseur
L’acte d’accusation décrit CyberArmyofRussia_Reborn, aussi connu sous le nom Z-Pentest, comme un groupe très structuré, disposant d’un financement direct du GRU. Ce financement permettait notamment d’acheter des services criminels sur le marché noir, en particulier des abonnements à des plateformes de déni de service distribué à la demande. Un individu opérant sous le pseudonyme « Cyber_1ce_Killer », relié au GRU, est présenté comme jouant un rôle directeur dans le choix des cibles et dans l’accès de CARR à ces services.
CARR revendiquait régulièrement, sur Telegram, des centaines d’attaques dans le monde, photos et vidéos à l’appui. Le groupe se concentrait sur deux axes techniques : les intrusions dans des installations de contrôle industriel et les attaques DDoS. Selon l’acte d’accusation, certaines de ces opérations ont visé des systèmes d’eau potable dans plusieurs États américains, avec des conséquences physiques : détérioration des dispositifs de contrôle et déversement de centaines de milliers de gallons d’eau. En l’absence de conversion officielle dans le texte, on peut raisonnablement considérer, à titre illustratif, qu’un gallon représentant environ 3,78 litres, cela correspond à plusieurs centaines de milliers de litres d’eau perdus.
Le groupe est également accusé d’avoir attaqué une usine de transformation de viande à Los Angeles en novembre 2024, provoquant la détérioration de milliers de kilos de viande et une fuite d’ammoniac dans l’installation. Ce type d’impact illustre la bascule d’attaques numériques en incidents industriels concrets, avec des risques sanitaires et environnementaux.
CARR aurait en outre ciblé des infrastructures liées aux élections américaines et des sites d’entités de régulation nucléaire. Cette combinaison élections plus nucléaire montre une sélection de cibles à forte valeur symbolique et stratégique, au-delà du seul sabotage économique. Avec parfois plus de cent membres et une communauté de plus de 75 000 abonnés sur Telegram, CARR cultivait une image de « légion » numérique, attirant y compris des mineurs dans ses rangs.
Les autorités américaines rappellent également que deux membres de CARR, Yuliya Vladimirovna Pankratova (présentée comme cheffe du groupe) et Denis Olegovich Degtyarenko (décrit comme l’un des principaux hackers), avaient été visés par des sanctions du Trésor américain en juillet 2024 pour leur rôle dans des opérations contre des infrastructures critiques américaines. Cette articulation entre sanctions financières et procédures pénales illustre une stratégie d’attrition globale, visant à limiter la mobilité, les ressources et les capacités de ces acteurs.
En parallèle de l’inculpation de Dubranova, le département d’État annonce des récompenses pouvant aller jusqu’à 2 million $ pour des informations sur les individus liés à CARR. Cette incitation financière est destinée à encourager des défections ou des fuites d’informations, y compris au sein des écosystèmes proches du GRU.
NoName057(16) et la guerre des DDoS pro-Kremlin
Le second dossier vise le groupe NoName057(16), présenté comme un projet tenu discret, animé notamment par des employés du CISM et d’autres acteurs cyber. Officiellement, le CISM prétendait surveiller la « sécurité d’Internet pour la jeunesse russe ». Officieusement, ses ressources techniques ont servi, selon l’acte d’accusation, à bâtir une infrastructure mondiale pour des attaques DDoS.
NoName revendiquait lui aussi, sur Telegram, des centaines d’attaques contre des cibles à travers le monde, toujours en soutien des intérêts géopolitiques russes. Le groupe publiait des preuves que les sites de ses victimes étaient mis hors ligne. La particularité de NoName réside dans l’usage de son propre outil DDoS propriétaire, DDoSia, développé par ses membres et exploité à grande échelle grâce à un réseau d’infrastructures réparties dans de nombreux pays, mis en place par des employés du CISM.
Les victimes décrites dans l’acte d’accusation incluent des agences gouvernementales, des institutions financières et des éléments d’infrastructures critiques, comme des réseaux ferrés publics ou des ports. NoName recrutait ouvertement des « volontaires » partout dans le monde pour télécharger DDoSia et prêter la puissance de calcul de leurs machines aux attaques décidées par la direction du groupe. Un classement quotidien des « meilleurs » attaquants était publié sur Telegram, et les mieux placés étaient rémunérés en cryptomonnaie.
Ce modèle illustre une convergence entre propagande politique, gamification et économie souterraine. Les volontaires sont incités à attaquer en masse des infrastructures publiques étrangères, parfois sans mesurer pleinement l’illégalité de leurs actes ou les conséquences possibles sur la population civile. En qualifiant NoName de projet « sanctionné par l’État », les procureurs établissent un lien direct entre ce mode de mobilisation et les objectifs de politique étrangère russes.
Dans ce second dossier, Dubranova est poursuivie pour participation à une conspiration visant à endommager des ordinateurs protégés. La peine maximale est de cinq ans de prison fédérale, nettement inférieure à celle encourue dans le dossier CARR, ce qui reflète la différence de qualification entre sabotage industriel et campagne DDoS.
Les autorités américaines déploient en parallèle d’autres outils de pression. Le département d’État annonce des primes pouvant atteindre 10 million $ pour des informations sur les individus liés à NoName. Ce niveau de récompense, nettement supérieur à celui associé à CARR, renvoie à la dangerosité perçue de la campagne DDoS de NoName et à son réseau international de complices.
Pour compléter ce dispositif, plusieurs agences fédérales – FBI, CISA, NSA, DOE, EPA et DC3 – publient un avis de cybersécurité conjoint. Elles y évaluent que des groupes pro-Russie comme CARR et NoName ciblent en priorité des connexions VNC exposées sur Internet et peu sécurisées pour atteindre des systèmes de contrôle opérationnels au sein d’infrastructures critiques. L’objectif est d’exécuter des attaques pouvant provoquer des impacts physiques, du simple dysfonctionnement à la dégradation d’équipements.
Les enquêtes CARR et NoName sont rattachées à l’opération Red Circus du FBI, décrite comme une opération continue visant à perturber les menaces cyber sponsorisées par la Russie contre les infrastructures critiques américaines et les intérêts des États-Unis à l’étranger. La coordination étroite entre FBI, procureurs, agences de renseignement technique et partenaires internationaux est ainsi mise en avant comme une réponse structurée à des groupes dont la force repose justement sur la dispersion géographique et l’ambiguïté de leur statut.
L’inculpation de Victoria Dubranova place un visage (en plus des espagnols et du français arrêtés, ndlr) et un nom sur des campagnes jusque-là souvent perçues comme des avatars anonymes sur Telegram ou des flux DDoS sans origine claire. En reliant explicitement CARR et NoName au GRU et au CISM, les autorités américaines cherchent à démontrer que la frontière entre hacktivisme pro-Russie et opérations de renseignement est largement artificielle. Avec des infrastructures d’eau, de transport, d’alimentation ou financières déjà ciblées, le risque ne se limite plus à l’image ou à la disponibilité de sites web, mais s’étend au fonctionnement même des services essentiels. La question est désormais de savoir jusqu’où la combinaison d’inculpations, de sanctions et de récompenses pourra réellement dissuader ou fragmenter ces écosystèmes, alors que d’autres groupes pro-Russie et de nouveaux volontaires restent prêts à se joindre à la prochaine vague d’attaques.
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
