Invasion de l’Ukraine : les coulisses des cyber-attaques
L’invasion de l’Ukraine décidée par Vladimir Poutine est soutenue par une cyber-offensive de grande envergure. Les Ukrainiens étaient habitués à des incursions informatiques. Ils en avaient déjà subi plusieurs depuis le début de l’année, mais pas à cette échelle.
Quand l’offensive russe a-t-elle commencé ? Les livres d’Histoire retiendront la date du jeudi 24 février 2022, mais les prémices datent sinon de la veille de la fin 2021... Nous sommes mercredi 23 février après-midi, plus de 12 heures avant que le premier char ne passe la frontière. L’opération de déstabilisation de l’Ukraine et de ses infrastructures commence : une cyber-attaque dite "en déni de service" qui consiste à submerger les serveurs informatiques ukrainiens, en les bombardant de dizaines, de centaines de milliers de requêtes simultanées.
L’attaque va monter en puissance tout l’après-midi. Une dizaine de sites majeurs, des banques et des ministères, vont tomber les uns après les autres, mais l‘Ukraine s’y était préparée. Elle avait même anticipé en appelant l’Europe à l’aide. L’équipe européenne en provenance de six pays de l’Union a d’ailleurs peut-être aidé au retour sur Internet des sites ukrainiens visés, au bout de quelques heures, avec ce message : "Préparez-vous au pire".
Un virus "nettoyeur"
Voilà pour la première attaque préalable. Simultanément, c’est-à-dire mercredi soir, un virus informatique va soudain s’activer sur des centaines d’ordinateurs en Ukraine : un logiciel malveillant dont la mission est d’effacer toutes les données. Un "wiper", un "nettoyeur" disent les experts en cyber-sécurité. Ce n’est pas la première fois que sa présence est détectée en Ukraine mais en janvier, il était nettement moins agressif.
Mercredi 23 février, l’objectif était de paralyser les réseaux, d’isoler les centres de décision – comme en Crimée en 2014 – et de semer le doute dans l’esprit des Ukrainiens sur la capacité du gouvernement à les protéger, même si rien ne permet de certifier que ces cyber-attaques viennent de Russie. Ces virus, néanmoins, laissent des indices. Cet "Hermetic Wiper" – puisque c’est son nom en anglais – porte, dans son code, sa date de création : le 28 décembre 2021. Il est donc probable que l’attaque ait été planifiée depuis deux mois au moins.
La cyber-guerre n’est certainement pas terminée. Tous les pays qui soutiennent les sanctions prises contre la Russie sont maintenant des cyber-cibles potentielles. Déjà, il y a trois semaines, 17 terminaux pétroliers en Europe ont été visés par un virus qui bloque les PC, tant qu’une rançon n’est pas versée. Ce rançongiciel était très probablement d’origine russe, sans pouvoir dire s’il remontait jusqu’au Kremlin.
Cinq mesures préventives en France
En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) met en garde contre des "effets dans le cyberespace qui doivent être anticipés". L’agence précise qu’ "aucune cybermenace visant les organisations françaises, en lien avec les récents événements, n’a pour l’instant été détectée".
Néanmoins, elle incite les entreprises et les administrations à rester vigilantes et à mettre en œuvre cinq mesures cyberpréventives prioritaires : renforcer l’authentification des comptes informatiques particulièrement exposés comme ceux des administrateurs système, renforcer la vigilance des équipes de supervision, sauvegarder hors-ligne les données et les applications critiques, établir une liste priorisée des services numériques critiques, s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque.