Russie-Ukraine : au-delà du brouillard de guerre cyber
![Image Un site du [gouvernement français] visé par des nationalistes turcs](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Le groupe pro-russe APT29 cible des [élus allemands du CDU]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-group-people-2024-885x690.jpg)
La guerre Russie-Ukraine, « premier conflit hybride », comme l’a affirmé Brad Smith, président de Microsoft ? Si l’intensité des opérations cyber menées contre l’un et l’autre belligérant ne fait aucun doute, leur impact semble toutefois limité. Le risque d’escalade est pourtant bien réel.
L’Ukraine et ses alliés sont-ils en train de gagner la guerre… cyber ? Entre le 24 et le 29 mai, les attaques contre les institutions et entreprises basées en Russie ont augmenté de 55% ! Dans le même temps, les cyberattaques en provenance de ce pays n’ont crû que de 8%. C’est ce que révèlent les analyses en temps réel d’Imperva, un prestataire américain de cybersécurité.
Hasard du calendrier ? C’est en plein dans cette offensive, le 27, que Vladimir Poutine a demandé au Conseil de sécurité russe d’accélérer le remplacement de tous les systèmes de sécurité informatique étrangers par des solutions locales d’ici 2025 et de renforcer rapidement les cyberdéfenses de son pays.
Moscou a en effet connu de sérieux revers sur le front cyber : piratages de sites gouvernementaux et privés (de la VTB Bank à la sécurité sociale en passant par l’agence de presse Tass), campagnes de phishing, fuites massives de données personnelles (on parle de 6,5 millions de personnes touchées par une seule d’entre elles, qui a visé le service de livraison à domicile Yandex.Eda !)…
Un conflit sans explosion, sans victimes qui suscitent l’effroi au journal télévisé de 20 h, sans bilan macabre. La cyberguerre entre la Russie et l’Ukraine n’est pourtant pas virtuelle et a des conséquences bien réelles. Un système informatique touché par une cyberattaque, c’est un réseau ferroviaire désorganisé, des renseignements collectés, des documents confidentiels rendus publics ou au contraire irrémédiablement détruits, des communications compromises, de la propagande qui se diffuse dans le camp adverse. Bref, ce que les forces spéciales réalisaient au péril de leur vie, des hackers l’accomplissent souvent plus efficacement, installés derrière l’écran de leur ordinateur.
Cyberattaques, des cibles bien réelles
Quelques exemples ? Début janvier, avant le déclenchement du conflit, des activistes biélorusses auraient piraté le système de contrôle du réseau ferroviaire de leur pays pour ralentir le déploiement des troupes russes qui transitaient par leur territoire. Mi-mars, une panne du système de signalisation a perturbé le trafic ferroviaire en Pologne –où se concentrent les réfugiés ukrainiens–, mais aussi en Italie ou en Asie. Alstom, exploitant de ce système, a affirmé qu’il ne s’agissait pas d’une cyberattaque, ce dont débattent spécialistes et certains hackers qui ont revendiqué l’action.
L’intention malveillante ne fait en revanche aucun doute dans le cas de l’attaque contre le réseau satellite de communication KA-SAT, utilisé par les forces armées et de sécurité ukrainiennes. Une attaque déclenchée le 7 mars qui a rendu inopérants certains modems de ce réseau et qui a impacté par ricochet la France, l’Allemagne, la Grèce et la Hongrie. Si cette opération n’a pas été formellement attribuée, ce n’est pas le cas de celle menée le 12 mars contre l’armée russe : des cyberactivistes se réclamant du mouvement Anonymous ont en effet revendiqué le brouillage de ses ondes radio.
Ces échanges de tirs virtuels se sont poursuivis durant tout le conflit : encore fin mai, le groupe de hackers prorusses Xaknet a affirmé avoir mis hors service le système de réglage des tirs d’artillerie ukrainien par une attaque DDoS. Une intensité dans les opérations dans le cyberespace qui a fait dire à Brad Smith, président de Microsoft, que le conflit russo-ukrainien était « la première guerre hybride ».
Dégâts collatéraux à prévoir
Il faut dire que la compagnie de Seattle s’est fortement impliquée auprès de Kiev, à la fois dans la prévention des risques et dans la lutte contre les attaques. À l’approche de l’offensive russe, elle a aidé le gouvernement ukrainien à migrer le contenu de ses serveurs dans le Cloud : 16 des 17 ministères du pays ont ainsi vu leurs données évacuées vers des datacenters européens et américains. Dès le 15 janvier, plus d’un mois avant le déclenchement du conflit, Microsoft avait identifié un malware ciblant des structures gouvernementales ou privées en Ukraine. WhisperGate était capable d’empêcher l’ordinateur de démarrer et de détruire les fichiers qu’il contient. Depuis, HermeticWiper, IsaacWiper ou CaddyWiper, d’autres malwares similaires, ont été identifiés. À l’inverse, Moscou a subi l’attaque de RuRansom, fonctionnant sur le même principe.
Ces logiciels malveillants sont maintenant dans la nature, tout comme ces courriels piégés dont ont été victimes mi-avril non seulement des structures ukrainiennes, mais aussi des gouvernements européens, dans un but de renseignement. Autant d’armes qui pourraient facilement être détournées de leur cible initiale par des hackers : la cyberguerre pourrait bien elle aussi connaître ses victimes collatérales.
De plus, cette dernière est souvent menée par des acteurs non conventionnels. Si les forces armées disposent de leur division cyber, comme ces équipes envoyées par les Américains en renfort en Ukraine dès octobre 2021, elles sont loin d’être les seules combattantes virtuelles. On soupçonne des corsaires informatiques travaillant plus ou moins directement pour Moscou d’être à l’œuvre dans les cyberattaques contre Kiev.
Cyberpirates et corsaires sur le front
L’Ukraine a de son côté lancé le 26 février le recrutement d’une « armée IT » pour combattre l’ennemi sur le front cyber. 300 000 volontaires se seraient engagés dans ces brigades internationales d’un nouveau genre, sans que l’on connaisse leur réelle efficacité sur le terrain. De nombreux pirates agissent cependant pour leur compte en épousant la cause de tel ou tel camp.
À quelle catégorie appartient le groupe Conti ? Ce gang de cybercriminels russes, spécialisé dans le ransomware, avait menacé les « bellicistes » occidentaux. « Danylo », un cyberactiviste ukrainien (pirate ou corsaire ?) a pénétré leurs systèmes et rendu public des milliers de documents, qui montreraient notamment des contacts entre les rançonneurs et les services secrets russes. Conti a d’ailleurs annoncé sa dissolution le 20 mai.
Quant aux Anonymous, groupe informel de cyberactivistes, ils ont pris fait et cause pour l’Ukraine. Outre le brouillage des ondes radio militaires déjà évoqué, on leur doit la diffusion de sites de propagande en Russie. Ils ont aussi revendiqué diverses attaques contre les intérêts russes, dont la Banque centrale du pays, des chaînes de télévision, des entreprises du secteur de l’énergie, etc.
Ils ont également lancé un appel à agir contre les entreprises occidentales implantées en Russie. Des dizaines d’entre elles figurent sur leur liste de cibles, potentielles ou bien réelles : fin mars, les sites russes d’Auchan, Décathlon et Leroy Merlin ont ainsi été mis hors service durant plusieurs jours.
Cyberguerre, arme de propagande
Pourtant, le simple fait d’être ainsi désigné à la vindicte populaire constitue sûrement un bien plus grand dommage qu’une cyberattaque. Renault en sait quelque chose. Son retrait de Russie, son second marché derrière la France, ne doit rien à la cyberguerre et tout à la mobilisation d’une partie de l’opinion publique contre les entreprises françaises présentes dans ce pays. Le groupe au losange a d’ores et déjà enregistré deux milliards de dollars de provisions pour faire face aux pertes engendrées par son départ de Russie.
À ce jour, aucune cyberattaque ne peut se targuer d’un tel bilan. En temps de guerre plus encore qu’en temps de paix, il est d’ailleurs complexe d’évaluer les dégâts qu’elles causent réellement. En effet, leurs victimes souhaitent rester discrètes et hormis des opérations de defacing ou des fuites de données, elles sont difficiles à prouver. Bien des cyberopérations annoncées à grand renfort de publicité ont été infirmées par la suite. Leur plus grand succès tangible se situe finalement sur le front de la communication, notamment côté ukrainien : Kiev peut ainsi faire état d’une mobilisation mondiale en sa faveur, y compris dans le cyberespace.
Car la guerre se joue également sur le front de l’information et de la propagande. Alors, info ou intox, dans quelle catégorie ranger l’avertissement d’officiels américains ou britanniques sur une possible extension à l’Occident de la cyberguerre russe ? Le 16 mai, Sir Jeremy Fleming, directeur du GCHQ (Government Communications Headquarters, l’agence britannique de renseignement électronique), affirmait craindre que Moscou ne lance des opérations cyber contre les pays de l’OTAN.
Ce qui est certain, c’est que les avertissements des renseignements occidentaux se sont révélés jusqu’à présent plutôt justes et que courant mai, le groupe de hackers prorusses Killnet a revendiqué plusieurs attaques contre des sites officiels italiens, mais aussi roumains, allemands, tchèques ou lettons. Une forme de répétition générale ?