Guerre en Ukraine : comment expliquer le peu de cyberattaques réussies par la Russie ?<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
International
Guerre en Ukraine : comment expliquer le peu de cyberattaques réussies par la Russie ?
©JAKUB PORZYCKI / NURPHOTO / NURPHOTO VIA AFP

Échec russe

Nurlan Aliyev examine pourquoi la Russie n'a pas réussi jusqu'à présent à submerger les cyberdéfenses de l'Ukraine.

Nurlan Aliyev

Nurlan Aliyev

Nurlan Aliyev est PhD à l'Institut des relations internationales de l'Université de Varsovie. De 2000 à 2017, il a travaillé en tant qu'expert dans diverses institutions gouvernementales, non gouvernementales et internationales. Son domaine de recherche est principalement axé sur les processus politiques en Europe centrale et orientale, les pays post-soviétiques, la sécurité régionale, mais aussi la communication stratégique et les menaces de guerre asymétrique.

Voir la bio »

Traduit et publié avec l'aimable autorisation de Riddle Russia. L'article original est à retrouver ICI

La Russie est connue comme un acteur capable de mener un large éventail d'opérations de cyberespionnage et de sabotage depuis les années 1990. La Russie a également mené plusieurs cyber-attaques contre l'Ukraine avant l'invasion de 2022. L'une des opérations les plus sophistiquées a été le black-out de Kiev en 2016. À minuit, une semaine avant Noël, des pirates informatiques ont frappé une station de transmission électrique au nord de la ville de Kiev, mettant hors tension une partie de la capitale ukrainienne, équivalente à un cinquième de sa capacité électrique totale. Selon les experts, il s'agissait du premier logiciel malveillant réel qui attaquait une infrastructure physique depuis Stuxnet.

Toutefois, bien que la Russie ait mené plusieurs cyberattaques contre l'Ukraine depuis le début de l'invasion en 2022, elle n'a pas signalé jusqu'à présent d'opérations de guerre cyber russes remarquablement réussies. À cet égard, on peut se demander si la Russie n'a pas encore utilisé ses cybercapacités sophistiquées dans la guerre, ou si la qualité de la cyberdéfense de l'Ukraine et de ses alliés a contribué à les émousser. Ce commentaire vise à explorer ces problèmes.

Cyber-attaques depuis le début de l'année 2022

Lors de l'invasion de l'Ukraine en 2022, la Russie a déjà mené plusieurs cyber-attaques.

Bien que l'invasion de l'Ukraine ait augmenté l'intensité des cyber-opérations russes par rapport à la période 2014-2021, elle n'avait pas infligé de dommages significatifs aux infrastructures ukrainiennes, du moins jusqu'en octobre 2022. Les rapports publiés après février 2022 proposent deux explications concurrentes de l'échec des cyberattaques russes. Selon les conclusions de Tetyana Malyarenko et Borys Kormych, la première suppose que la cyberguerre de la Russie contre l'Ukraine avait déjà atteint son plus haut niveau de complexité possible, de sorte qu'il y a soit trop peu de place pour une croissance qualitative du côté russe, soit une résilience suffisante du côté ukrainien. La deuxième explication repose sur des rapports publiés par des agences gouvernementales et des entreprises privées, telles que Microsoft, qui montrent que les cyberattaques russes se sont améliorées et ont augmenté depuis janvier 2022, mais que l'attention et l'intervention des États-Unis et d'autres cyber-spécialistes internationaux ont aidé l'Ukraine à neutraliser les attaques et à contre-attaquer avec succès.

Cas

En janvier, un groupe de pirates informatiques lié aux services de renseignement biélorusses a mené une cyberattaque qui a touché les sites Web du gouvernement ukrainien et utilisé des logiciels malveillants similaires à ceux utilisés par un groupe lié aux services de renseignement russes. Connue sous le nom de WhisperGate, cette attaque reflétait étroitement une cyberattaque russe de 2017 contre l'Ukraine, connue sous le nom de NotPetya, qui a détruit de la même manière les données de milliers de systèmes informatiques locaux.

Des responsables américains et britanniques ont affirmé que des pirates militaires russes étaient à l'origine d'une série d'attaques par déni de service distribué (DDoS) qui ont brièvement bloqué les sites gouvernementaux et bancaires ukrainiens au début du mois de février.

Cependant, depuis le début de la guerre, plusieurs cyberopérations connues ont été menées par la Russie. Au début de l'invasion, le principal objectif des cyberattaques russes était de paralyser les systèmes d'information de l'Ukraine, ce qui faciliterait la réalisation d'objectifs militaires dans d'autres domaines de la guerre. L'invasion de la Russie a été précédée d'une cyberattaque massive contre les sites Web du gouvernement ukrainien en janvier 2022. Des groupes de cybercriminels russes auraient utilisé les vulnérabilités connues de l'application d'État Diya pour accéder aux données de 2,6 millions de particuliers, d'entreprises, de cabinets d'avocats et d'organismes gouvernementaux.

Les responsables américains ont décrit les forces russes utilisant des cyberattaques en conjonction avec des attaques cinétiques. "Nous avons vu les Russes avoir une approche intégrée pour utiliser des attaques physiques et des cyberattaques, de manière intégrée, pour atteindre leurs objectifs brutaux en Ukraine", a déclaré un haut responsable de la cybersécurité de la Maison Blanche. Microsoft a également fait état de la manière dont les groupes de cybermenaces russes menaient des actions à l'appui des objectifs stratégiques et tactiques de leur armée. Comme l'a observé Microsoft, une chronologie des frappes militaires et des cyberintrusions montre plusieurs exemples d'opérations de réseaux informatiques et d'opérations militaires semblant fonctionner en tandem contre un ensemble de cibles partagées, bien qu'il ne soit pas clair s'il y a une coordination, une attribution centralisée des tâches ou simplement un ensemble commun de priorités bien comprises à l'origine de cette corrélation. Selon le rapport, les cyberopérations de la Russie depuis le début de la guerre ont été cohérentes avec les actions visant à "dégrader, perturber ou discréditer le fonctionnement quotidien du gouvernement ukrainien, à prendre pied dans les infrastructures critiques et à réduire l'accès du public ukrainien à l'information". En outre, les opérations militaires cybernétiques et cinétiques semblaient être dirigées vers des objectifs militaires similaires, selon le rapport de Microsoft. Le Service d'État pour les communications spéciales et la protection de l'information de l'Ukraine a également déclaré que les pirates informatiques russes agissent en synchronisation avec l'armée russe.

Du 23 février au 8 avril, près de 40 attaques destructives discrètes ont détruit de manière permanente des fichiers dans des centaines de systèmes de dizaines d'organisations en Ukraine. Jusqu'à la fin avril 2022, plus de 40 % des attaques destructrices visaient des organisations appartenant à des secteurs d'infrastructures critiques susceptibles d'avoir des effets négatifs de second ordre sur le gouvernement, l'armée, l'économie et la population. Par ailleurs, 32 % ont affecté "les organisations gouvernementales ukrainiennes aux niveaux national, régional et municipal". Microsoft note également que les acteurs de la menace russe modifient légèrement le malware pour échapper à la détection à chaque vague de déploiement.

Les cibles des cyberattaques russes ne se trouvent pas seulement en Ukraine. Le centre de renseignement sur les menaces de Microsoft (MSTIC) a détecté que, jusqu'à la fin du mois de juin 2022, des efforts d'intrusion dans les réseaux russes ont été déployés sur 128 cibles dans 42 pays en dehors de l'Ukraine. Selon le MSTIC, une série de cibles d'espionnage stratégique susceptibles d'être impliquées dans le soutien direct ou indirect de la défense de l'Ukraine, dont 49 pour cent ont été des agences gouvernementales. Douze pour cent des cibles étaient des ONG qui, le plus souvent, sont soit des groupes de réflexion conseillant sur la politique étrangère, soit des groupes humanitaires fournissant une aide à la population civile ukrainienne ou un soutien aux réfugiés. Comme le montre le rapport, si ces cibles sont réparties dans le monde entier, 63 % des activités observées ont concerné des membres de l'OTAN et les opérations de cyberespionnage russes se sont concentrées sur des cibles aux États-Unis plus que dans tout autre pays (12 % du total mondial hors Ukraine). Cependant, toutes ces attaques étaient des opérations de relativement petite envergure par rapport aux attaques précédentes sur l'infrastructure ukrainienne, y compris le réseau électrique dans les années 2010, comme décrit ci-dessus.

L'un des cas frappants pendant la guerre a été la cyberattaque de la Russie contre le fournisseur américain de communications par satellite Viasat au début de l'invasion, un incident qui a déclenché des pannes de services par satellite dans toute l'Europe centrale et orientale. Bien que l'on pense que la cible principale de l'attaque était l'armée ukrainienne, qui dépend des communications par satellite, l'attaque du 24 février a également eu des répercussions sur le service Internet de milliers de clients de Viasat en Ukraine et de dizaines de milliers de clients en Europe. L'attaque a également affecté le fonctionnement de 5 800 éoliennes en Allemagne, car elles dépendaient des routeurs Viasat pour la surveillance et le contrôle à distance. Plusieurs autres cyberopérations russes ont également eu lieu pendant l'invasion.

La qualité des capacités ukrainiennes de défense contre les attaques cyber a-t-elle de l'importance ?

L'Ukraine est l'une des anciennes républiques soviétiques dont la cybercommunauté nationale est assez forte. Célèbre pour sa communauté de hackers, l'Ukraine s'est classée parmi les 10 premiers pays du monde en matière de cybercriminalité et numéro 15 comme source d'attaques par déni de service distribué (DDoS) en 2015.

Bien que l'Ukraine dispose de capacités de contre-attaque limitées, elle s'est efforcée de renforcer sa cyberdéfense avec une aide extérieure après le début de l'invasion en 2022. Le gouvernement a rassemblé des volontaires internationaux pour former une armée informatique et l'équipe informatique mise en place par le ministre de la transformation numérique a lancé plusieurs attaques DDoS et wiper.

Selon Kenneth Geers, dans cette cyber-guerre, la défense semble jouer un rôle plus important que l'attaque. Il estime que la cyberdéfense ukrainienne a gagné en maturité au fil des ans, ce qui explique probablement pourquoi il est plus difficile pour les pirates russes de réaliser des dégâts importants en Ukraine. La Russie, en revanche, est connue pour ses opérations offensives mais se soucie peu de la cyberdéfense. "Les systèmes informatiques russes utilisent souvent de vieux logiciels non corrigés et sont donc très vulnérables aux attaques de logiciels malveillants", note M. Geers.

Les États occidentaux et les hackers étrangers apportent un soutien essentiel. En mars, un assaut généralisé a eu lieu dans le cyberespace ; les entreprises et les organismes gouvernementaux russes ont été envahis par des hordes de pirates informatiques pro-ukrainiens, dont beaucoup étaient des acteurs nouveaux et inconnus des experts en cybersécurité. Des centaines de millions de documents se sont échappés de cibles aussi variées que Transneft, un énorme opérateur d'oléoducs proche du gouvernement russe, le ministère russe de la culture, le fournisseur d'électricité biélorusse Elektrotsentrmontazh et une branche de l'Église orthodoxe russe qui a soutenu la guerre en Ukraine.

En avril, Victor Zhora, le service d'État de la communication spéciale et de la protection de l'information de l'Ukraine, ESET et l'équipe de réponse aux urgences informatiques (CERT) de l'Ukraine ont déclaré qu'une équipe de pirates informatiques russes d'élite connue sous le nom de Sandworm, qui avait attaqué le réseau électrique de l'Ukraine en 2015, avait tenté de provoquer une nouvelle panne dans le pays. Les pirates, qui feraient partie de l'agence de renseignement militaire russe, ont conçu un logiciel malveillant nommé Industroyer 2, qui pourrait manipuler les équipements des services publics d'électricité pour contrôler le flux d'énergie. Il a été annoncé que les cyberattaques russes avaient été stoppées avec succès. Les responsables ukrainiens ont décrit le degré d'avancement de l'attaque et l'ampleur des dégâts qu'elle aurait pu causer, si elle avait réussi, en coupant potentiellement le courant pour deux millions de personnes. Mais aucune information n'a été publiée sur le type d'outils sophistiqués utilisés par la Russie et sur ce qu'a fait exactement l'Ukraine pour repousser cette attaque.

Problèmes des capacités russes d'attaque cyber ?

Selon les rapports, dans la Russie contemporaine, les groupes de cyber-guerre fonctionnent sous l'égide de quatre services spéciaux russes : le service de renseignement militaire russe (GRU), le service fédéral de sécurité (FSB), le service de renseignement extérieur (SVR) et le service fédéral de protection (FSO). En février 2017, le ministre russe de la Défense, Sergei Shoigu, a annoncé la création d'une troupe d'opérations d'information [Voyska informatsionnykh operatsiy ; VIO] sous l'égide du ministère de la Défense. En fait, il est possible qu'un tel groupe opérait avant l'invasion de l'Ukraine en 2014. Toutefois, les troupes d'opérations d'information, mentionnées publiquement pour la première fois en 2014, cherchent à intégrer et à synthétiser ces activités, à en juger par les déclarations des responsables russes. Il existe également plusieurs cybersociétés privées qui pourraient être utilisées par Moscou dans des opérations de cyberguerre.

La principale question concernant les performances russes en matière d'armes cyber en Ukraine pendant la guerre actuelle est de savoir si la Russie a utilisé ou pourrait utiliser des capacités sophistiquées en matière d'armes cyber lors d'attaques. Selon des rapports récents, le logiciel malveillant utilisé pour cibler le secteur énergétique ukrainien en avril était très sophistiqué mais a été intercepté avant d'être déployé. Cela pourrait suggérer que la Russie conserve des hackers talentueux ayant une connaissance approfondie des systèmes de contrôle industriels, mais que la faible sécurité opérationnelle du gouvernement russe nuit à ses cyberopérations. Selon Josephine Wolff, cela pourrait également indiquer que les cybercapacités de la Russie sont actuellement les plus fortes lorsqu'il s'agit d'écrire des programmes malveillants, mais relativement plus faibles lorsqu'il s'agit d'identifier les vulnérabilités et de tirer parti des ressources nécessaires pour distribuer ces programmes malveillants afin qu'ils puissent infecter les systèmes ciblés.

Conclusion

Bien sûr, il n'y a pas de réponse facile à la question de savoir si les opérations de guerre cyber russes n'étaient tout simplement pas si sophistiquées ou si les cyberdéfenses ukrainiennes étaient formidables ; peut-être est-ce une combinaison des deux.

Pour répondre à la question de l'efficacité actuelle des cyberdéfenses ukrainiennes contre les cyberattaques russes, il faut davantage d'informations. Il existe plusieurs paramètres de cybersécurité permettant de mesurer la résilience et la sécurité des réseaux informatiques sans divulguer d'informations sensibles en temps de guerre. Malgré cela, il n'est jamais facile d'examiner le succès et les lacunes des cyberopérations. Ce qui est clair, c'est que la "cyberarmée" de la Russie - comme ses forces conventionnelles - n'a pas encore mené d'opérations décisivement réussies dans sa guerre contre l'Ukraine. À cet égard, les préparatifs des capacités cybernétiques ukrainiennes avant l'invasion et le soutien occidental ont joué un rôle essentiel dans la cyberdéfense lors de l'invasion de la Russie en 2022.

Traduit et publié avec l'aimable autorisation de Riddle Russia. L'article original est à retrouver ICI.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !