Ukraine : la Russie accusée d’avoir dégainé l’arme cyber

Environ 70 sites ukrainiens ont été piratés et des messages assurant que les Ukrainiens devaient "s'attendre au pire" ont remplacé les pages d'accueil de ces sites. Deux cyberattaques, à un jour d’intervalle, ont visé l’Ukraine en fin de semaine dernière. Kiev a accusé la Russie, dimanche. Moscou avait déjà utilisé, par le passé, l’arme cyber pour faire monter la pression sur son voisin ou pour préparer une intervention militaire. L’Ukraine a pointé un doigt accusateur vers la Russie, dimanche 16 janvier. "Toutes les preuves indiquent que Moscou est derrière la cyberattaque [que nous subissons]", a assuré le ministère ukrainien du Développement digital. Après le bruit des bottes russes à la frontière ukrainienne et les joutes diplomatiques entre Moscou et Washington, la crise ukrainienne s’est dotée d’un volet cyberattaque en fin de semaine dernière. Faux rançongiciel, vrai virus destructeur Un virus informatique dissimulé sous les apparences d’un rançongiciel a été découvert, samedi 15 janvier, par Microsoft. "Des douzaines d’entités gouvernementales, des ONG et des groupes médiatiques, tous situés en Ukraine, ont été infectés par ce logiciel malveillant qui faisaient semblant d’exiger le paiement d’une rançon afin de rendre le contrôle des serveurs informatiques impactés", a détaillé Microsoft dans un billet de blog. Mais il n’y avait aucun moyen pour les victimes de payer ladite rançon.  En réalité, ce virus a été programmé pour détruire les données sur les systèmes infectés lorsque les ordinateurs sont redémarrés. Ce code malveillant semble avoir commencé à être déployé au sein des systèmes informatiques ukrainiens "peu après l’échec des négociations diplomatiques entre la Russie et l’Otan, jeudi 13 janvier", précise le New York Times. La découverte par Microsoft de l’existence de cette cyberattaque intervient également un jour après qu’environ 70 sites internet d’institutions ukrainiennes - tels que celui du ministre des Affaires étrangères, ou du conseil de Défense et de la Sécurité - ont été attaqués. Les pirates informatiques ont ajouté à la page d’accueil de ces portails des textes menaçants affirmant que les Ukrainiens devaient "avoir peur et s’attendre au pire". Kiev avait, tout d’abord, accusé un groupe biélorusse de pirates informatiques d’avoir mené cette opération. Mais, les autorités ukrainiennes ont ajouté, par la suite, que ces hackers avaient probablement dû agir sur ordre des services russes de renseignements. "Ce ne serait pas étonnant car ce n'est pas la première fois que deux pays alliés se coordonnent pour mener des opérations dans le cyberespace", assure Gérôme Billois, expert en cybersécurité du cabinet de conseil Wavestone, contacté par France 24. Moscou a catégoriquement nié toute implication dans ces attaques. "Les Ukrainiens nous accusent de tous les maux, même de la mauvaise météo qu’ils subissent actuellement", a ironisé Dmitri Peskov, le porte-parole de Vladimir Poutine.  Il est vrai que personne, à part l’Ukraine, n’a encore officiellement accusé Moscou. "Nous travaillons actuellement à l’attribution de ces attaques. Mais il est vrai que je ne serais pas étonné de découvrir qu’elles ont été organisées par la Russie", a cependant affirmé Jake Sullivan, le conseiller pour les questions de sécurité nationale du président américain Joe Biden, interrogé dimanche par la chaîne de télévision CBS. Comme un air de déjà-vu Les attaques de ces derniers jours ont, en effet, comme un arrière-goût de déjà-vu… aussi bien pour les Ukrainiens que pour les experts en sécurité informatique. Des cyberattaques contre des institutions ukrainiennes suivant un modus operandi similaire et "attribuées à des hackers russes ont déjà eu lieu en 2015 et 2017", rappelle le site Wired. En 2017, l’un des rançongiciels les plus destructeurs jamais observés - NotPetya, qui avait infecté des centaines de milliers d’ordinateurs dans le monde -  s’était révélé être en réalité une opération visant avant tout l’Ukraine. Les pirates russes avaient alors aussi "tenté de dissimuler une cyber-opération contre les intérêts ukrainiens sous les apparences d’une attaque par rançongiciel", rappelle Gérôme Billois. Cet expert ajoute que la double attaque en Ukraine - pirater des sites puis utiliser un virus destructeur de données - est aussi un procédé classique. "L’idée est d’utiliser d’abord une attaque de faible ampleur, mais qui oblige tout de même les autorités compétentes à s’y intéresser, afin de détourner leur attention pour mener ensuite une opération plus ambitieuse", détaille-t-il. La question de l’attribution est d’autant plus importante que "dans tous les manuels de guerre moderne, il est question de cyberattaques pour désorganiser un pays avant une intervention militaire", rappelle l’expert français. Là encore, c’est la Russie qui avait en premier appliqué ce précepte dès 2008 lors de la guerre contre la Géorgie. D’où la crainte d’un scénario similaire en Ukraine. "Entre l’échec des négociations diplomatiques, les mouvements de troupes à la frontière et les cyberattaques, il y a une escalade inquiétante qui pourraient faire craindre que l’invasion terrestre soit la prochaine étape", estime Oscar Jonsson, expert des questions militaires russes à la Swedish Defence University, contacté par France 24. Lâcher du lest à l’est Pour ce spécialiste, qui a travaillé sur l’intégration du cyberespace dans la doctrine militaire russe, "le simple fait que des groupes ont décidé d’exploiter des failles dans les systèmes informatiques ukrainiens dont ils avaient connaissance pour mener des cyberattaques signifie qu'ils sont prêts à brûler quelques ponts". En effet, les vulnérabilités informatiques sont des cartouches qui ne peuvent être utilisées efficacement qu’une fois puisqu’elles ont de fortes chances d’être "réparées" ensuite par les victimes. Mais cela ne signifie pas que ces attaques n’ont comme seul but que de préparer le terrain pour une invasion terrestre. "Les piratages de sites sont des techniques classiques d’intimidation de l’opinion publique. Il s’agit généralement plutôt d’opérations de relations publiques", affirme Oscar Jonsson. Ce serait alors plutôt un moyen de pression diplomatique. Une manière de donner un avant-goût des dégâts que ces pirates peuvent infliger si l’Occident ne consent pas à lâcher du lest à l’est. Reste la question du virus déguisé en rançongiciel. "Il est difficile de savoir exactement quel est le but recherché", reconnaît Oscar Jonsson. "La liste précise des entités qui ont été attaquées n’a pas été rendue publique et on ne connaît pas l’étendue des dégâts", ajoute Gérôme Billois. En d’autres termes, il est difficile de savoir si des infrastructures critiques ont été touchées ou visées et à quel point cela diminue la capacité de réaction de l’Ukraine en cas d’opération militaire russe. Deux éléments essentiels pour évaluer si ces cyberattaques visaient à préparer le terrain aux soldats ou s’il s’agissait d’un nouvel avertissement à l’Occident suite à l’échec des négociations.