Ce qui pourrait se cacher derrière l’étrange absence apparente de cyber attaques en Ukraine <!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
La guerre entre la Russie et l’Ukraine se déroule aussi dans le cyberespace.
La guerre entre la Russie et l’Ukraine se déroule aussi dans le cyberespace.
©JAKUB PORZYCKI / NURPHOTO VIA AFP

Stratégie

Face à l'offensive russe, l'Ukraine et de nombreux pays redoutent des attaques informatiques. Les Ukrainiens disposent-ils d’un appui logistique de la part des Occidentaux pour lutter efficacement contre la menace cyber de la Russie ?

Jean-Paul Pinte

Jean-Paul Pinte

Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.

Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.

Certifié par l'Edhec et l'Inhesj  en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.

Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.

Voir la bio »

Atlantico : Depuis le début du conflit, la Russie a attaqué son voisin ukrainien sur tous les fronts : terrestre, maritime et aérien. Mais un côté semble avoir été délaissé par l’agresseur, le terrain numérique. La Russie est un géant cyber mais pourtant on entend assez peu parler d’actions de sa part depuis le début de l’offensive. Quelles sont les raisons qui pourraient expliquer pourquoi la Russie n’a pas lancé une offensive d’ampleur sur l’architecture digitale de l’Ukraine ? En aurait-elle besoin ?  

Jean-Paul Pinte : L'invasion de l'Ukraine par la Russie a été combattue à ce jour avec toutes sortes d'armes de haute technologie, des missiles de croisière et des hélicoptères aux drones armés et une bataille de relations publiques sur les réseaux sociaux.

Par contre, les cyberattaques si l’on en croit les nombreux observateurs n’ont encore réellement jouer un rôle important voire nul.

Qu’en est-il ? 

Les systèmes informatiques dirigent de plus en plus la société moderne, et sont truffés de bugs et de faiblesses involontaires. Celles-ci peuvent être exploitées par des cyber-attaquants avec de graves conséquences dans le monde matériel. En 2015 les pirates russes ont réussi à couper le courant pour environ 230 000 clients dans l'ouest de l’Ukraine. Les assaillants ont répété l'astuce l'année suivante. En 2017 une autre attaque russe mettant en scène un logiciel malveillant surnommé "NotPetya" a interrompu aéroports, chemins de fer et banques ukrainiens.

On a d’abord cru que le malware (programme malveillant) responsable était Petya mais Kaspersky Lab a précisé que bien que le virus ressemble beaucoup à Petya, il s’agit d’un « nouveau ransomeware jamais vu auparavant ». De nombreux chercheurs du domaine de la sécurité l’ont donc nommé NotPetya. Petya est une famille de ransomwares de cryptage qui ont été découverts pour la première fois en 2016.

À Lire Aussi

Cet inquiétant boom de la cyber surveillance globale

Le malware cible les systèmes d’exploitation Windows, infectant le Master Book Record afin de crypter la table de fichier NTFS et d’exiger un paiement bitcoin afin de récupérer l’accès au système. Comme WannaCry, NotPetya a un composant qui lui permet de se propager latéralement sur des réseaux connectés. Cependant, sa méthode diffère de WannaCry de plusieurs façons. Il utilise un payload qui contamine le Master Boot Record des ordinateurs en écrasant les bootloaders Windows qui déclenche ensuite un redémarrage. Lorsque l’ordinateur redémarre, le payload est exécuté – il crypte le MFT (Master File Table) du NTFS (New Technology File System) et affiche le message de ransomware. Simultanément, une simulation de résultat CHKDSK, le scanner du système de fichier Windows, apparaît sur l’écran, suggérant que le disque dur est en cours de réparation.

La période qui a précédé l'invasion a vu les sites Web du gouvernement et des banques ukrainiens mis temporairement hors ligne et la découverte de logiciels malveillants conçus pour supprimer fichiers sur les systèmes informatiques ukrainiens. Certaines attaques ont été montées dans l'autre direction. Un groupe de hackers biélorusses opposés à la guerre a affirmé qu'il avait perturbé les réseaux informatiques des chemins de fer biélorusses. Après le début de l'invasion Anonymous, une fraternité diffuse de hackers, a déclaré avoir fait irruption dans le ministère de la Défense et dossiers volés. Des hackers encouragés par l'Ukraine ont utilisé des attaques de « déni de service distribué » pour mettre les sites Web russes hors ligne, y compris ceux des sociétés de médias et des banques.

À Lire Aussi

Attaque cyber sur nos centrales : que se passerait-il si les pirates informatiques russes s’en prenaient, comme ailleurs, à nos infrastructures électriques ?

On sait aussi que des attaques informatiques se développent contre l’Ukraine, dans le cadre d’une guerre hybride menée par la Russie et des attaques par déni de service distribuées pour submerger les sites officiels ont été observées, tout comme la présence d’un logiciel malveillant capable de supprimer des données sur des PC. Or, c’est ce type d’opération qui inquiète.

Mais tout cela est une « petite bière » par rapport à ce que beaucoup anticipaient. "on aurait pu s'attendre à un piratage russe important au cœur des infrastructures Internet de l’Ukraine», explique Ciaran Martin, ancien patron du National Cyber-Security Center, qui est chargé de se défendre contre les grandes cyberattaques. "Mais cela ne s'est pas produit. Les communications semblent fonctionner généralement bien à ce jour ». 

Cependant, le 14 janvier 2022, l'Ukraine a été victime d'une cyberattaque qui a ciblé notamment plusieurs sites gouvernementaux. Cette attaque survient dans un contexte de très fortes tensions entre l'Ukraine et la Russie : plusieurs milliers de soldats russes ont été déployés le long de la frontière ukrainienne. Tandis que les autorités ukrainiennes affirment avoir des « preuves » de l'implication de la Russie dans cette attaque, le Kremlin répond que ces accusations sont « gratuites ».

Le chercheur du CESDIP* Daniel Ventre appelle, lui, à la prudence lorsqu'on désigne des responsables : « La situation des cyberattaques contre l'Ukraine est particulière puisqu'il y a des tensions avec la Russie, mais il est important de se demander si les attaques sont directement liées à ce contexte-là. »

À Lire Aussi

Ukraine : La cyber guerre est là et elle nous concerne TOUS

D'après le géant de l'informatique, le malware utilisé lors des attaques « est fait pour ressembler à un rançongiciel [logiciel de rançon, NDLR] », mais sans le système de sauvegarde des données. Il a donc pour but d'être « destructif et de rendre les systèmes visés inopérables », plutôt que de récupérer de l'argent en échange de données qu'il n'a de toute façon pas stockées. Tandis que les autorités ukrainiennes affirment qu'elles n'ont pas subi de dommages importants, Microsoft alerte tout de même sur le fait que ces actions engendrent « un risque élevé pour n'importe quelle agence gouvernementale, association ou entreprise en Ukraine ».

Est-il possible que des cyberattaques d’ampleur aient été tentées et aient échoué ?  L’Ukraine se serait-elle ainsi suffisamment protégée en la matière ?  Sur le plan cyber, l’Ukraine dispose-t-elle d’un appui logistique de la part des Occidentaux ?

Oui des cyberattaques ont eu lieu et ont réussi…

Un peu avant le lancement de l'"opération militaire spéciale" décidée par Vladimir Poutine, jeudi février, la Russie a commencé à bombarder des cibles ukrainiennes de virus et autres attaques informatiques nous relate le site France 24 et  "Il n'y a jamais eu une telle variété de cyber-opérations dans un seul conflit, ce qui souligne à quel point cette arme est devenue importante dans la guerre moderne", note Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone.

La plus destructrice a débuté dans la nuit de mercredi à jeudi, peu avant le début de l’offensive. Un tout nouveau logiciel malveillant a été activé "sur des centaines de machines en Ukraine", a affirmé Jean-Ian Boutin, responsable de la recherche chez ESET, le cabinet de sécurité informatique qui a découvert ce virus, interrogé par l’agence de presse AP.

À Lire Aussi

Cette apocalypse quantique qui menace la sécurité de toutes nos données en ligne

C’est un logiciel malveillant de type "wiper" ("effaceur") "qui s’attaque au contenu des ordinateurs pour les effacer", précise Benoît Grunemwald, expert en cybersécurité pour ESET France.

Il est plus sophistiqué que la plupart des autres "wipers" car "il se propage à la demande, et non pas automatiquement", précise Benoît Grunemwald. Autrement dit, c’est un logiciel malveillant qui permet des frappes précises "en évitant le risque de dommages collatéraux", résume ce spécialiste.

ESET n’a pas voulu préciser quelles structures ont été touchées, mais il s’agirait de "grandes organisations", a affirmé Jean-Ian Boutin. "Des sous-traitants du gouvernement ukrainien en Lettonie et Lituanie", ainsi qu’au moins une banque et une compagnie ukrainienne d’aviation feraient partie des victimes, a pour sa part constaté l’éditeur de logiciels informatiques Symantec, qui a également trouvé des traces de ce "wiper".

En parallèle à cette opération destructrice, une autre vague d’assauts, débutée plus tôt mercredi, a visé à rendre inaccessible des sites bancaires et gouvernementaux. Des attaques qui ont un petit air de déjà-vu puisqu’elles utilisent le même procédé – DDoS (des attaques par déni de service, consistant à envoyer des requêtes à répétition pour surcharger les serveurs des sites visés) – qu'une autre attaque lancée contre des sites bancaires et institutionnels mi-janvier.

Les théories abondent malgré tout autour de la faible utilisation de cyberattaques.

La première, dit M. Ciaran Martin, ancien patron du National Cyber-Security Center, est que la Russie a peut-être quitté l’infrastructure ukrainienne intacte parce que la Russie aussi en fait usage. Il y a eu aussi preuve de difficultés logistiques au sein de l'armée russe, y compris les véhicules blindés apparemment abandonnés faute de carburant. « Il se pourrait que les unités russes s'appuient en partie sur les réseaux ukrainiens eux-mêmes », déclare M. Martin, notant que certains soldats dans les conflits modernes utilisent occasionnellement leurs propres smartphones pour communiquer, malgré les risques que cela peut poser.

Une autre est que des attaques à grande échelle et dommageables ont été tentées mais ont échoué.

Les forces armées ukrainiennes, après tout, ont offert une résistance beaucoup plus forte qu’

attendue. Peut-être que ses défenses numériques étaient également plus fortes que prévues.

Et une fois qu'une guerre a commencé, les cyberattaques peuvent devenir moins attrayantes. Missiles et bombes peuvent détruire des centrales électriques, des chemins de fer et d'autres infrastructures plus rapidement et plus durablement que ne le peut le code informatique. Les grandes cyberattaques ont besoin d’une préparation minutieuse qui peut souvent prendre des mois. 

En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a prévenu, jeudi : « si aucune cybermenace visant les organisations françaises en lien avec les récents événements n’a pour l’instant été détectée » le « renforcement de la vigilance cyber » s’impose.

L’Agence incite donc les entreprises et les administrations à s’assurer de la mise en place de mesures « d’hygiène informatique », de bonnes pratiques, et à suivre « attentivement les alertes et avis de sécurité émis par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) ».

Et une concertation européenne à ce niveau dans le cadre d’une Europe de la Cyberdéfense pourrait se développer encore plus. 

S’il n’y a pas eu de cyberattaques d’ampleur jusqu’à présent, peut-on estimer qu’il n’y en aura pas ?

Une semaine après le début de la guerre, cependant, peu d'experts sont prêts à s'en tenir à avouer qu'aucune grande cyber-attaque ne se produira. Contrairement à des bataillons d'infanterie, hôpitaux de campagne et colonnes de chars, les cyberattaques ne peuvent pas être vues par les satellites espions.

Les meilleurs défenseurs des vulnérabilités ne sont pas au courant - c'est-à-dire que le premier signe qu'un système informatique a été violé, c'est quand il cesse de fonctionner.

Absence de preuves, dans le domaine numérique, ne correspond jamais tout à fait à une preuve d'absence.

Cette dynamique rend les gens nerveux, même loin du champ de bataille !

L’attaque militaire menée par la Russie contre l’Ukraine, en plus de provoquer des pertes en vies humaines et des destructions matérielles, s’accompagne tout de même d’une montée des périls en matière de cybersécurité.

Dans la nuit du mercredi 23 au jeudi 24 février, lorsque le président russe, Vladimir Poutine, a lancé son « opération militaire » en Ukraine, rappelons que les autorités américaines et britanniques ont alerté sur la circulation d’un nouveau logiciel malveillant nommé Cyclops Blink.

Selon le site Silicon, le malware, présenté comme le successeur de VPNFilter, utilise les appliances de pare-feu du fournisseur de matériel réseau WatchGuard pour former un botnet et diffuser des programmes  destructeurs.

Le groupe de piratage informatique Sandworm, également connu sous d’autres noms comme Fancy Bear ou APT28, dit parrainé par l’État russe, est présenté comme l’initiateur de la menace. Il sévit depuis plusieurs années en Ukraine comme ailleurs. 

Enfin, notons que le 28 février Toyota, un grand constructeur automobile, suspend la production dans son usine japonaise usines après une cyber-attaque contre l'un de ses fournisseurs. L'attaque est venue peu de temps après que le Japon a annoncé qu'il se joindrait à d'autres pays pour imposer sanctions contre la Russie, laissant supposer que l'attaque était une représaille pour cette décision. C'était peut-être le cas, même s’il s’agissait de faibles représailles ou d’une attaque criminelle banale.

Un des problèmes des cyberattaques, c'est qu'il est souvent difficile d'en être sûr !

Le sujet vous intéresse ?

Mots-Clés

Thématiques

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !