Guerre en Ukraine : "Il n'y a jamais eu une telle variété de cyberopérations dans un conflit"
CYBERATTAQUES
L’offensive terrestre russe en Ukraine, menée depuis mercredi, s’est accompagnée par une vague d’attaques informatiques russes. Le président ukrainien, Volodymyr Zelensky, a appelé à former une "cyberrésistance" tandis que le monde occidental se prépare à une éventuelle utilisation par la Russie de ces attaques informatiques à l’échelle mondiale.
Alors que le bruit des combats se rapproche de Kiev et que l’Ukraine fait le macabre décompte de ses morts, une autre bataille entre Russes et Ukrainiens se déroule sur le front cyber.
Un peu avant le début de l'"opération militaire spéciale" décidée par Vladimir Poutine, jeudi 24 février, la Russie a commencé à bombarder des cibles ukrainiennes de virus et autres attaques informatiques.
Un effaceur d’ordinateurs à l’œuvre
"Il n'y a jamais eu une telle variété de cyberopérations dans un seul conflit, ce qui souligne à quel point cette arme est devenue importante dans la guerre moderne", note Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone, contacté par France 24.
La plus destructrice a débuté dans la nuit de mercredi à jeudi, peu avant le début de l’offensive. Un tout nouveau logiciel malveillant a été activé "sur des centaines de machines en Ukraine", a affirmé Jean-Ian Boutin, responsable de la recherche chez ESET, le cabinet de sécurité informatique qui a découvert ce virus, interrogé par l’agence de presse AP.
C’est un logiciel malveillant de type "wiper" ("effaceur") "qui s’attaque au contenu des ordinateurs pour les effacer", précise Benoît Grunemwald, expert en cybersécurité pour ESET France, contacté par France 24.
Il est plus sophistiqué que la plupart des autres "wipers" car "il se propage à la demande, et non pas automatiquement", précise Benoît Grunemwald. Autrement dit, c’est un logiciel malveillant qui permet des frappes précises "en évitant le risque de dommages collatéraux", résume ce spécialiste.
ESET n’a pas voulu préciser quelles structures ont été touchées, mais il s’agirait de "grandes organisations", a affirmé Jean-Ian Boutin. "Des sous-traitants du gouvernement ukrainien en Lettonie et Lituanie", ainsi qu’au moins une banque et une compagnie ukrainienne d’aviation feraient partie des victimes, a pour sa part constaté l’éditeur de logiciels informatiques Symantec, qui a également trouvé des traces de ce "wiper".
Il ne se contente pas de corrompre les données sur les disques durs. "Il s’attaque au système d’amorçage du disque dur, ce qui signifie qu’il l’empêche même de démarrer", souligne Gérôme Billois. L'attaque a donc clairement pour but de paralyser le fonctionnement des institutions et entreprises visées, ajoute le spécialiste.
En parallèle à cette opération destructrice, une autre vague d’assauts, débutée plus tôt mercredi, a visé à rendre inaccessible des sites bancaires et gouvernementaux. Des attaques qui ont un petit air de déjà-vu puisqu’elles utilisent le même procédé – DDoS (des attaques par déni de service, consistant à envoyer des requêtes à répétition pour surcharger les serveurs des sites visés) – qu'une autre attaque lancée contre des sites bancaires et institutionnels mi-janvier.
La cyberrésistance s’organise
Les Ukrainiens reçoivent aussi "des SMS trompeurs qui participent à la campagne massive de désinformation sur les affrontements en cours", souligne David Grout, directeur technique pour l'Europe, le Moyen-Orient et l'Afrique de Mandiant, l’une des principales sociétés américaines de sécurité informatique, contacté par France 24. Pour lui, "les outils utilisés sont certes multiples, mais l’objectif est clairement de faire perdre confiance, faire peur et de faire souffler un vent de panique sur les populations".
Mais les Ukrainiens ne restent pas les bras croisés face à ces différentes attaques informatiques. C’est même un volet inédit de ce conflit puisque le président Volodymyr Zelensky a "appelé à la formation d’une cyberrésistance", souligne Gérôme Billois. Il a, en effet, demandé à tous les Ukrainiens qui disposent de compétences dans le domaine de participer à des actions de défense contre les attaques informatiques russes. Il leur a aussi demandé d’être prêts à aller cyberespionner l’adversaire.
Cet appel aux hackers ukrainiens n’a rien d’étonnant. "L’Ukraine est réputée dans le monde de la cybersécurité. Le pays est surtout connu pour abriter certains des groupes de cybercriminalité les plus efficaces. On va voir s’ils vont agir pour la cause nationale", note Gérôme Billois.
Les Ukrainiens ont un avantage : l’expérience. Le pays "est depuis des années un laboratoire où les pirates informatiques russes testent leurs cyberarmes", rappelle ce spécialiste de Wavestone. C’est d'abord en Ukraine que la Russie a déployé en 2017 l’un des rançongiciels les plus célèbres – NotPetya –, qui avait fini par infecter des millions d’ordinateurs dans le monde. Les Russes sont aussi soupçonnés d’être à l’origine de plusieurs attaques informatiques qui ont ciblé des centrales électriques ukrainiennes depuis 2015. "Les Ukrainiens connaissent donc les modes opératoires russes et ont appris à se défendre", conclut Gérôme Billois.
Cybermenace sur l’Occident ?
Et le reste du monde ? Le risque de voir la Russie dégainer l’arme des cyberattaques pour "punir" l’Occident de son soutien à l’Ukraine et pour les sanctions imposées à Moscou est pris très au sérieux. Le président américain Joe Biden a évoqué très officiellement cette menace en assurant que les États-Unis étaient "prêts à répondre si des cyberattaques russes visaient les sociétés et infrastructures critiques russes". Stéphane Boujnah, le patron de l’opérateur boursier européen Euronext, s’attend à des "attaques d’une ampleur inédite" et préconise, notamment, d’imprimer les documents les plus sensibles afin qu’ils n’existent pas uniquement sur ordinateur où ils pourraient être piratés.
"Les banques et les autorités européennes ont toutes augmenté leur niveau d’alerte afin de se tenir prêtes à toute éventualité", a constaté David Grout, de Mandiant. "Ce n’est pas qu’un problème pour l’Ukraine. Nous pensons qu’après s’en être pris aux dernières élections américaines et françaises, avoir piraté les organismes olympiques, sans avoir à en payer les conséquences, les cybercriminels russes ont gagné en assurance pour s’attaquer aux cibles occidentales", ajoute Sandra Joyce, vice-présidente de Mandiant.
"La question n’est pas de savoir si les Russes vont utiliser les cyberattaques contre l’Occident, mais quand et sous quelles formes", estime Gerôme Billois. Ils peuvent, dans un premier temps, décider d’envoyer des avertissements "en attaquant, par exemple, des chaînes de télévision afin de faire du bruit médiatique", note cet expert.
Ou ils peuvent opter pour l’artillerie lourde. Les options sont nombreuses, mais il ne faut jamais oublier que toutes les grandes puissances dans le cyberespace – et la Russie en fait partie – "disposent d’une réserve de failles 'zero-day', c’est-à-dire des vulnérabilités informatiques dont personne n’est conscient et pour lesquels il n’y a pas encore de correctif", résume Gérôme Billois. Ce sont des sortes de virus sans vaccin que les États conservent pour une utilisation en dernier ressort.