Ce que dit la cyber guerre qui fait rage en Ukraine

Ces jours-ci, beaucoup d’analystes occidentaux pariaient sur l’imminence d’une invasion militaire du pays par la Russie. Un scénario catastrophe auquel croit assez peu un analyste discret, fin connaisseur de l’Ukraine et peu suspect de russophilie : « Moscou est probablement capable d’arrêter la marche du pays sans coup férir quand elle le veut : il existe une telle proximité historique et culturelle entre les deux pays qu’il y a belle lurette que ses cyber guerriers ont truffé ses infrastructures de bombes numériques à retardement ou recruté des affidés prêts à agir ». Depuis l’éclatement de la guerre civile en 2014 dans ce pays-frontière (c’est le sens du mot Ukraine) otage du « grand jeu » géopolitique, les indices en ce sens s’accumulent. La dernière cyber attaque, à la mi-janvier, a paralysé des dizaines de sites internet de ministères et d’organisations privées et associatives. Elle a encore contribué à « épaissir le brouillard de la guerre hybride » qui sévit à un moment clé de la crise ukrainienne, relève Christine Dugoin-Clément, universitaire, associée à la chaire « Risques » du laboratoire de Recherche IAE Paris 1 Panthéon-Sorbonne.

« Ukrainiens, prenez peur et préparez-vous au pire. Toutes vos données personnelles ont été téléchargées sur le web », disait le bandeau qui a barré quelques heures le portail numérique des ministères des situations d’urgence ou de l’Éducation nationale. La paralysie a duré quelques heures seulement : rien de comparable aux deux dernières cyber attaques majeures. À la Noël 2015, alors que règne un froid glacial dans le pays, une panne informatique affectant trois réseaux électriques à 30 minutes d’intervalle prive 225 000 foyers d’électricité dans la région de Kiev pendant plusieurs jours. Au printemps 2017, brutalement, les terminaux de paiement des banques, des réseaux de transport ferrés et des aéroports du pays ne fonctionnent plus. Les experts occidentaux ont étudié le virus ayant servi à cette dernière attaque, baptisé NotPetya, car il s’est propagé rapidement au-delà des frontières, infectant aussi bien de grands énergéticiens russes que des sociétés françaises, comme le groupe Saint-Gobain. D’origine russe, affirment-ils aujourd’hui, cette bombe numérique avait pour mission de bloquer le pays, et elle a partiellement raté sa cible.

De prime abord, l’offensive numérique de la mi-janvier apparait techniquement simple, presque un travail d’amateurs. Selon Microsoft, qui a sonné l’alerte, des « dizaines de systèmes gouvernementaux et d’organisations privées ou associatives » auraient été temporairement paralysés par « un e-logiciel malveillant ressemblant à un rançongiciel mais qui se contente de rendre inopérable les sites visés, sans exiger de rançon pour les réactiver ». Cette opération de « défaçage » s’est toutefois accompagnée d’une action de compromission de la société de logiciels Kitsoft qui a pour clients de nombreux sites gouvernementaux ; une seconde attaque, donc, par la chaine logistique – un mode de plus en plus répandu pour contourner les cyber défenses – aux impacts potentiellement bien plus graves. Seule certitude, plusieurs dizaines de milliers de données personnelles d’Ukrainiens ont été publiées sur le darkweb. « Pas de quoi affoler les Ukrainiens, habitués à être ciblés, ni les experts occidentaux, qui ne communiquent sur les leaks qu’au-delà de seuils critiques beaucoup plus élevés », concède Christine Dugoin-Clément, « même si cela enrichit les pirates du net qui font commerce de tous les trafics illicites avec de fausses identités ».

Et s’il s’agissait, en fait, d’une attaque de diversion visant à détourner l’attention d’une manoeuvre beaucoup plus complexe et dangereuse ? interrogent cependant les experts occidentaux. Les observateurs attentifs auront noté, à l’instar de Christine Dugoin-Clément, que le ministère des situations d’urgence est celui qui active notamment un certain nombre de moyens de transport et de facilités logistiques au profit des unités militaires. « Si la Russie avait déclenché à ce moment-là une invasion du territoire, la réaction militaire de Kiev aurait été désorganisée ; la cyber attaque aurait alors engendré des conséquences d’ordre stratégique », souligne l’universitaire. Qui ajoute : « il est possible de la lire comme un avertissement sans frais – nous avons les moyens de combiner contre vous les effets d’une offensive cybernétique et cinétique ».

Les autorités ukrainiennes ne se sont pas étendues sur le résultat de leurs investigations. Hors de question de dévoiler l’efficacité de leurs dispositifs de défense. Kiev a accès à la plateforme créée par l’OTAN pour partager les informations sur les logiciels malveillants émanant en particulier de son centre d’excellence pour la cyberdéfense de Tallin, en Estonie. L’État peut aussi compter sur les cyber hackers indépendants regroupés sous la bannière « Cyber Alliance Ukrainienne » pour faire front commun contre l’agresseur. Si les preuves sont difficiles à rassembler, les experts pointent du doigt la Russie. Mais de laquelle parle-t-on ? Dans le giron de Moscou, sévit un écosystème privé complexe dont les acteurs agissent par patriotisme, appât du gain ou encore sous pression, et ont noué avec les services officiels « des relations à double sens dans le cadre d’une interprétation lâche du droit », décrypte Kevin Limonier, universitaire et spécialiste du cyber espace et de l’infosphère russe. Cet automne, après que Washington a neutralisé REvil, un groupe de hackers russes qui s’en était à nouveau pris à des banques américaines, son jumeau, le groupe BlackMatter, ex DarkSide, a disparu de la surface des écrans au moment précis où de hauts dirigeants de la CIA étaient reçus à Moscou. Une manière, sans doute, dit-on, pour les dirigeants moscovites de passer un autre message : nous ne sommes pas les méchants, mais nous avons des capacités. « Ce qu’on appelle la cyber guerre », professe Kevin Limonier, « s’étend des actions sur les réseaux numériques jusqu’aux opérations informationnelles ».