À l’est, rien de nouveau
Où est- elle, cette cyberguerre prédite et crainte ? Où sont les infrastructures vitales paralysées par des hackers ? Russes comme Ukrainiens se montrent particulièrement mesurés dans le cyberespace, et ce sont des acteurs tiers, cybercriminels et hacktivistes, qui sont les plus susceptibles de faire des dégâts.
La cyberguerre n’a pas eu lieu. Du moins à l’heure où nous écrivons ces lignes... Ils étaient nombreux, les analystes de tous poils, à annoncer que l’invasion de l’ukraine par la Russie s’accompagnera d’un nombre inédit de cyberattaques de grande ampleur. On supposait que Moscou, connu pour ses capacités de nuisances dans la sphère cyber, déchaînerait l’enfer et perturberait à grands coups de malwares les infrastructures ukrainiennes. À quelques exceptions près, nous n’avons rien vu de tel. « Pour certaines raisons stratégiques, il est plus facile de faire sauter une tour radio que de la pirater » explique John Shier, Senior Security Advisor chez Sophos.
Évidemment, il n’est pas question de prétendre qu’il ne se passe rien sur ce front. Fin mars, le CERT ukrainien a publié quelques statistiques. On y apprend que le pays a subi une soixantaine d’attaques, dont onze ciblaient le gouvernement, surtout l’armée et les forces de l’ordre, et quatre le secteur des télécommunications. Avant même le début des opérations militaires, plusieurs attaques DDOS, ainsi que des défacements, ont ciblé les institutions ukrainiennes. Mi- janvier, Microsoft alertait sur Hermeticwiper, ou DEV0586, en apparence un ransomware bête et méchant mais en réalité un wiper, un programme conçu pour effacer les données des machines infectées. Celui- ci procède en deux étapes. La première consiste à écraser le Master Boot Record, la deuxième étape à provoquer la corruption des fichiers de la machine infectée. Microsoft livre une liste des extensions visées, dont .3DS, . CMD, . CONFIG, . DOCX, . JAVA, . PPT, . JPG, . XLS, . ZIP… bref, le logiciel malveillant brasse large et écrase le contenu des fichiers concernés, avant de les renommer avec une extension de quatre caractères a priori aléatoires. Surtout, Hermeticwiper vise spécifiquement des organisations ukrainiennes.
Rien que du classique
De même, dans les heures suivant la déclaration de guerre par Vladimir Poutine à la télévision russe, le Parlement ukrainien, le ministère des Affaires étrangères et les services de sécurité étaient frappés par une attaque « par déni de service distribué » , ou DDOS. Ce même jour, plusieurs milliers d’européens étaient coupés d’internet. Tous étaient abonnés à des offres d’accès à Internet satellitaire. « Nous rencontrons un dysfonctionnement général sur le service de connexion par satellite KA SAT » , écrivait sur Twitter Nordnet. KA SAT est un satellite opérationnel depuis 2011 dédié à l’internet haut débit.
Lancé par Eutelsat, il a par la suite été racheté par l’américain Viasat. Or, ce dernier explique dans un communiqué, que l’incident est lié à un « cyber- événement » . Un doux euphémisme, d’autant que le patron du Commandement français de l’espace, le général Michel Friedling, a annoncé peu après qu’un réseau satellitaire « qui couvre notamment l'europe et notamment l'ukraine » a été la cible « d'une attaque cyber, avec des dizaines de milliers de terminaux qui ont été rendus inopérants immédiatement après cette attaque »
Dernière frappe en date, fin mars, une cyberattaque a frappé un des plus importants opérateurs télécom ukrainien, Ukrtelecom. Après avoir, dans un premier temps, expliqué qu’il s’agissait d’une panne, l’entreprise a fini par reconnaître avoir été touchée par une attaque, sans préciser s’il s’agissait d’une DDOS ou de quelque chose de plus sophistiqué. L’incident a sérieusement ralenti les services Internet et de téléphonie fixe dans le pays pendant quelques heures. Mais la situation a été rétablie après plusieurs heures, les autorités ukrainiennes écrivant sur Twitter que, « afin de préserver son infrastructure réseau et de continuer à fournir des services aux forces armées ukrainiennes et à d'autres formations militaires, Ukrtelecom a temporairement limité la fourniture de ses services pour la majorité des utilisateurs privés et des entreprises »
Les capacités cyber de la Russie surestimées ?
Il n’est pas impossible que, au moment où vous aurez ce magazine en main, la situation soit complètement différente et que le conflit ait investi la sphère cyber. La Maison Blanche a d’ailleurs averti que « la Russie pourrait explorer des options pour des cyberattaques potentielles » . Pour autant, on est encore loin du cyber- Armageddon prédit. « On s'attendait que la Russie utilise beaucoup plus largement l'arme cyber, des attaques contre des infrastructures occidentales en riposte aux sanctions : ce n'est pas encore le cas » souligne Hippolyte Fouque, directeur commercial chez Darktrace. Pour le Directeur Stratégie Cybersécurité SEMEA de Proofpoint, Loïc Guézo, « on est très loin du scénario qu'on imaginait et qu'on craignait, des attaques russes très efficaces et précises contre des infrastructures essentielles » . Le constat est unanimement partagé, mais les raisons sont plus troubles. On pensera d’abord à la lenteur inhérente à la préparation d’une opération de grande ampleur : il n’est d’ailleurs pas impossible qu’on découvre des attaquants attribuables à un des belligérants dans plusieurs mois, voire quand les informations seront rendues publiques.
Malgré la période d’escalade à la frontière, il n’est pas à exclure que le déclenchement soudain des hostilités aient laissé sur le carreau des « cyber- combattants » qui n’étaient pas encore opérationnels. Une thèse qu’envisage John Shier. Mais, aux yeux du Senior Security Advisor de Sophos, il est probable également que les Russes aient écarté l’hypothèse d’une cyberguerre par crainte d’un débordement du conflit. « Si vous paralysez la capacité des entreprises occidentales à pouvoir communiquer avec leurs actifs, cela risque d'entraîner davantage de pays dans le conflit » nous explique- t- il. Loïc Guézo parle quant à lui « d’éclaboussure numérique » . Un cas d’école en la matière fut Notpetya, à l’été 2017. Ce wiper visait l’ukraine mais s’est répandu dans le monde entier, provoquant des milliards de dollars de pertes. « C'est une hypothèse : la Russie n'a pas voulu prendre le risque de lancer une opération similaire, car si elle devait toucher des services essentiels dans un pays de L'OTAN, elle s'exposerait à un risque de réponse et d'escalade » poursuit le Directeur Stratégie Cybersécurité SEMEA de Proofpoint. Faute de fonction native de réplication et de massification, Hermeticwiper semble être un programme à contrôle manuel, ce qui correspond sans doute à une volonté de maîtriser sa propagation. « Je pense qu'il y a eu un arbitrage entre les capacités cyber et les capacités classiques, que peut- être le cyber a été mis en deuxième ligne » estime Loïc Guézo.
Éviter les éclaboussures
Les Russes ont- ils douté quant à la façon de faire ? Il faut dire que les missiles et les frappes aériennes sont toutes aussi efficaces lorsqu’il s’agit de frapper l’ukraine. D’autant que la cyberguerre n’a jamais fait montre d’une grande efficacité
en marge des conflits conventionnels. John Shier rappelle que la cyberattaque contre le réseau électrique ukrainien en 2015 n'a pas eu d'impact important et long dans le temps. « La guerre cyber est surestimée » lance- t- il. Les réactions à la suite de l'incident KA SAT ont également été particulièrement mesurées du côté des Occidentaux. Mais peut- être la guerre cyber, du moins celle qui oppose des Etats- nations, n'est que la partie émergée de l'iceberg. Car on a vu dès le début du conflit des remous dans « l'underground » des cybercriminels et des hacktivistes. Des groupes sans lien direct avec l'un des belligérants se sont impliqués dans le conflit, à l'instar du collectif Anonymous qui s'en est pris à plusieurs administrations et entreprises d'etat russes. Autre exemple, Conti a explosé en plein vol. Ce groupe cybercriminel, spécialisé dans le ransomware, a officiellement pris parti pour le camp de Vladimir Poutine… avant que ses échanges et l'identité de ses membres ne soient « leakés » , provoquant la disparition du groupe.
« Pour certaines raisons stratégiques, il est plus facile de faire sauter une tour radio que de la pirater. »
Dr. Renée Burton,
C'est une chose commune que de voir des acteurs malveillants, motivés par l'appât du gain, opérer en marge des conflits. « Les attaques ont commencé avant les hostilités : des groupes ont profité de l'escalade pour s'implanter en prévision du conflit » explique Dr. Renée Burton, Senior Director of Threat Intelligence chez Infoblox. Son équipe a remarqué dans les jours suivant l'invasion une augmentation du nombre de nouveaux noms de domaine liés à l'ukraine, certains légitimes mais aussi un grand nombre de sites créés par des cybercriminels usurpant ou imitant les initiatives de soutien. Du très classique, les mêmes tendances ont pu être observées lors de la pandémie : les crises représentent toujours des opportunités pour des individus peu scrupuleux motivés par l'appât du gain. Selon Hippolyte Fouque, « les conflits sont souvent l'occasion pour des criminels d'en profiter pour avancer leurs pions, pour passer sous les radars avec par exemple des DDOS pour cacher des attaques plus subtiles. Je pense qu'on a aussi affaire à des cybercriminels qui testent leurs outils sur des cibles politiques, pour les réutiliser à des fins purement financières. Le terrain politique toujours un peu trouble, il ne faut pas tomber dans l'attribution trop vite, ni dans l'implication géopolitique d'une cyberattaque » . Mais que des groupes cybercriminels ( et non des APTS ou des hacktivistes) choisissent un camp, la chose est nouvelle.
John Shier,
Senior Director of Threat Intelligence chez Infoblox.
C'est même un « précédent » , selon le directeur commercial de Darktrace. Ainsi, Ukraine et Russie ont leurs supporters dans le monde cybercriminel. « Une chose que nous avons vue régulièrement de la part des cybercriminels russes en particulier, c'est qu'ils n'attaquaient pas de membres de la CEI, car c'était une manière pour eux d'opérer dans les frontières russes sans risquer d'être arrêtés » indique Dr Renée Burton. « Je pense que c'est différent maintenant, ces groupes cybercriminels prennent parti. C'est intéressant, car ils sont généralement motivés par l'argent » .
De la cyberattaque à la guerre totale
John Shier, lui, s'inquiète plutôt du tort que pourraient causer ces « vigilantes » , qu'il soit d'un bord ou de l'autre. « Ils ajoutent au brouillard de guerre [ fog of war], ce qui rend difficile de déterminer ce qu'il se passe, s'il s'agit d'une frappe militaire autorisée dans le cyberespace ou d'une initiative d'ordre privé sans lien direct avec un belligérant » . Que ces acteurs opèrent des cyberattaques par patriotisme, appât du gain ou « pour le fun » , ils pourraient selon le Senior Security Advisor de Sophos provoquer une escalade du conflit, par l'implication d'autres pays ou par la surenchère d'un des belligérants, puisque « ces gens ne s'inquiètent pas des dommages qu'ils pourraient causer ou de la manière dont l'autre camp va considérer ces attaques » . Et c'est sans compter les conséquences sur la cybersécurité en règle générale. « Comme dans tout conflit qu'on a pu subir au cours des dernières années, on a pu observer une recrudescence d'attaques sophistiquées : les belligérants mettent au point de nouveaux malwares pour se frapper les uns les autres » soulève Hippolyte Fouque. « Ces nouvelles méthodologies vont être après coup réutilisées par des cybercriminels, ce qui complique leur détection puisqu'elles ne se basent pas sur l'historique des menaces » . Ce qui oblige à avoir des capacités avancées de détection, mais aussi de réaction. Sur les conséquences cyber de l'invasion de l'ukraine, on peut donc considérer que le pire n'a pas eu lieu, mais que la situation pourrait dégénérer et déborder dans le monde bien réel par la faute d'acteurs qui ne sont ni la Russie, ni l'ukraine. Et surtout, quand bien même il ne s'agit pas d'une cyberguerre, c'est sans doute la première fois que, dans un conflit, le cyber est une préoccupation majeure.
« C'est différent maintenant, ces groupes cybercriminels prennent parti.