Moins visibles que les manœuvres militaires sur le terrain, les actions offensives sur Internet dans le cadre de la guerre entre la Russie et l’Ukraine sont pourtant bien là. Et nombreuses.

À terre, sur mer et dans les airs. C’est avec tout son éventail militaire que la Russie a décidé d’attaquer l’Ukraine pour lui faire la guerre. Ainsi, depuis le 24 février 2022, date qui marque le début de l’invasion, on a vu Moscou recourir fortement à des avions de chasse, des hélicoptères, des chars, des blindés, des navires. De chaque côté, il y a des morts.

bombardement Kyiv Kiev Ukraine
Un immeuble d’appartements à Kiev après un bombardement pendant l’invasion russe de l’Ukraine. // Source : Kyiv City

Mais si cette partie-là de l’offensive est très visible, il y a aussi une action beaucoup plus discrète qui se déroule : la bataille dans le cyber. Celle-ci se manifeste surtout de deux façons : 

  • Par des actions de désinformation d’abord, en altérant les faits pour semer le trouble dans l’opinion publique, voire la manipuler sur les réseaux sociaux ou via ses organes de propagande. On sait que la Russie mène une guerre hybride et le champ informationnel est pour le pays un champ de bataille.
  • Et par des actions cyber beaucoup plus offensives.

Juste avant le déclenchement des hostilités, des opérations de cette nature ont justement été observées contre l’Ukraine : des attaques DDOS notamment, c’est-à-dire des attaques par déni de service distribuées. Le but ? Submerger les serveurs ciblés par un afflux trop massif de connexions, pour empêcher les requêtes légitimes d’être traitées. Une attaque de ce genre a été vue le 23 février, la veille de l’assaut.

Conséquence, des sites gouvernementaux ont été inaccessibles : les ministères de la Défense, de l’Intérieur, des Affaires étrangères, mais aussi des banques ukrainiennes et d’autres sites gérés par les autorités. Les interruptions n’ont pas duré plus de quelques heures, mais ont servi aussi à préparer le terrain avant l’assaut militaire, peut-être pour désorganiser un peu l’appareil d’État ukrainien.

DDOS
L’idée, simplifiée, d’une attaque DDOS : on bombarde un serveur avec des connexions pour empêcher l’accès aux sites web qu’il héberge. // Source : Sagor Kumar sr – Wikimedia

Dans la foulée, un logiciel malveillant a aussi été détecté. Sa particularité ? Être capable d’effacer les données d’un ordinateur sur lequel il est positionné. C’est ce qu’on appelle un « wiper ». Son nom ? HermeticWiper. L’analyse de son code suggère qu’il a été fabriqué 2 mois avant l’attaque.

En date du 24 février, Eset estimait à plusieurs centaines le nombre d’ordinateurs touchés en Ukraine. On peut raisonnablement penser que ce nombre a augmenté depuis. Depuis, les investigations se sont poursuivies et, le 1er mars, Eset a dit avoir découvert un autre wiper, appelé IsaacWiper, déployé en Ukraine. Là aussi, sa conception date de l’automne 2021.

Ce n’est pas tout. Selon NortonLifeLock, dans certaines attaques, un ransomware a aussi été déployé contre les organisations touchées en même temps que le wiper. Pour l’éditeur d’antivirus, cela servait sans doute de leurre ou de distraction. Un ransomware, ou rançongiciel en français, consiste à verrouiller des fichiers et des dossiers, et ensuite exiger une rançon pour, peut-être, les libérer.

Une fois exécuté, le wiper endommage le Master Boot Record de l’ordinateur infecté, le rendant inopérant. Ce segment est critique pour le bon fonctionnement d’un disque dur. S’il est altéré, le support risque de devenir illisible. L’analyse préliminaire de NortonLifeLock a suggéré que le wiper n’a pas d’autre fonction supplémentaire en dehors de ses capacités de destruction.

L’Ukraine a été le pays principalement touché, mais il s’avère que des répliques ont été vues en Lettonie et en Lituanie. Il a été précisé qu’une vulnérabilité connue de Microsoft SQL Server a été exploitée dans au moins une attaque. On sait aussi que les attaquants ont utilisé un certificat de signature de code authentique émis par une société basée à Chypre, Hermetica Digita, d’où le nom du wiper.

D’où viennent ces attaques ?

Bien entendu, on peut certainement faire remarquer qu’il est généralement très difficile d’affirmer avec certitude de qui fait quoi dans le cyber, car tout le monde a tendance à avancer masqué. 

Les opérations sous fausse bannière sont une réalité et on peut bien sûr toujours imaginer un scénario dans lequel un pays tiers chercherait à se faire passer pour la Russie pour lancer ses propres cyberattaques, mais en imitant sa signature : passer par des adresses IP russes, écrire en cyrillique dans le code source ou bien en utilisant des fonctions ou des manières de programmer qui ont été associées par le passé à des malwares russes.

En avançant dans cette direction, on pourrait tout à fait se dire que ce pourrait très bien être les Américains qui cherchent à jeter de l’huile sur le feu avec une opération cyber secrète. Mais c’est un scénario qui s’avère extrêmement fragile. On peut noter quatre grands arguments permettant d’écarter cette piste avec un haut degré de certitude.

D’abord, la conflictualité. Il y a une guerre en Ukraine et c’est bien la Russie et ses forces militaires qui ont envahi le territoire ukrainien. Et quand la guerre est là, on mobilise tout ce que l’on a à disposition pour l’emporter, y compris, bien sûr, des unités spécialisées dans le cyber. Car quand il y a la guerre, qui peut croire qu’elles vont rester l’arme au pied ? La désorganisation d’un adversaire passe aussi par la neutralisation de ses réseaux, de ses télécoms, de ses systèmes.

Ensuite, l’analyse technique. Bellingcat, média spécialisé dans l’enquête en source ouverte, a documenté les attaques DDOS comme provenant des hackers du GRU, le service de renseignement militaire de la Russie. Des experts indépendants, à l’image de Snorre Fagerland, mais aussi des médias en langue russe, comme The Insider, ont aussi lié ces opérations à la Russie.

Russie
La Russie est réputée pour avoir de fortes capacités dans le cyber et de s’en servir avec peu de retenue. // Source : Unsplash / Montage Numerama

À cela, on peut ajouter le passif de la Russie en la matière. Encore récemment, le pays a été  accusé par le Royaume-Uni, via son National Cyber Security Center, d’avoir conduit des attaques DDOS contre le secteur financier ukrainien les 15 et 16 février 2022. Des sites militaires, du secteur public et du gouvernement ont aussi été touchés. Les Américains, les Australiens ont dit la même chose. 

En fait, toutes les attaques du même genre contre l’Ukraine suggèrent une implication de la Russie. 

En voyant tout cela, on peut se demander si l’Ukraine n’est pas bien malgré elle une sorte de laboratoire d’expérimentation pour les offensives cyber…

Et d’autres cas existent par ailleurs. Il faut également rappeler qu’en 2007, il y a eu une attaque informatique de grande ampleur contre l’Estonie. Dans cette affaire-là aussi, les indices ont incité à regarder du côté de Moscou.

Quant à l’idée d’une opération menée par l’OTAN, elle paraît à la fois contre-productive et peu crédible. La Russie n’a pas eu besoin du prétexte de l’attaque cyber contre elle pour passer à l’offensive. Elle l’a fait pour d’autres motifs. Ensuite, l’OTAN, en agissant ainsi, peut s’exposer justement à des représailles cyber par la Russie. Or dans ce domaine, Moscou a des capacités très élevées en matière de cyber, et cela pourrait donner lieu à une escalade mal maîtrisée. 

armée américaine cyber
Des Marines du Commandement du cyberespace des Forces du Corps des Marines, en janvier 2022. // Source : Jacob Osborne

Bien sûr, on ne sait pas encore tout du conflit, ni comment il va se poursuivre, mais l’OTAN n’a pas bougé quand les frontières de l’Ukraine ont été franchies. Pourquoi dès lors risquer une initiative cyber qui justement la forcerait à agir ? Ça ne tient pas debout. Ce que l’on voit aujourd’hui, c’est qu’elle n’opère que de façon indirecte, via des initiatives de livraisons d’armes ou de logistique à l’Ukraine, sans désir de s’engager directement dans le conflit.

Car il y a une donnée à garder en tête : dans un tel scénario, on se retrouverait avec une puissance nucléaire faisant face à d’autres puissances nucléaires. Ce n’est plus le même monde.

Des attaques d’une ampleur relativement contenue

Reste toutefois un mystère : comment se fait-il, si la Russie est vraiment si forte que cela dans le cyber, qu’il n’y ait pas plus de dysfonctionnement ? 

En fait, cela pourrait être le signe d’un but de guerre caché : 

Si la Russie veut conquérir l’Ukraine ou mettre un gouvernement fantoche à la place de l’actuel, l’ennemi pourrait vouloir récupérer des données informatiques précieuses de l’administration, de l’économie ou de l’armée, y compris pour son soi-disant plan de « dénazification » et d’épuration des traîtres. 

Certes, dès le début du conflit, des perturbations et des interruptions ont été rapportées dans certaines villes, mais il s’agissait a priori plus de conséquences de frappes (une bombe qui tombe à côté d’un nœud important pour le réseau peut tout à fait avoir pour effet de couper des câbles terrestres et faire tomber localement Internet), que d’opérations cyber ou de sabotage, même si des accusations de ce type ont été formulées quelques jours avant l’invasion.

Ce premier tableau est évidemment un point de situation à un instant T, selon les toutes dernières informations en sources ouvertes. Il faut garder en tête que la situation est très fluctuante et que tout peut changer en l’espace de quelques jours. De nouvelles informations peuvent surgir (à l’image de ce satellite potentiellement victime d’une cyberattaque, ce qui affecte des Français). Peut-être que les actions cyber se seront nettement durcies.

satellite nordnet viasat
Un satellite américain qui couvre l’Europe (et donc l’Ukraine) serait victime d’une cyberattaque depuis le 24 février. // Source : NordNet

Cela pourrait expliquer pourquoi Moscou retiendrait ses capacités pour éviter une offensive majeure sur les réseaux de télécommunications. Il semble que l’Ukraine s’y prépare, car il est rapporté que le pays s’efforce de soustraire ces données à l’emprise de l’ennemi.

Il y a de l’intox et de la propagande de part et d’autre, mais aussi des déclarations parfois invérifiables.

Il faut par ailleurs garder en tête que lorsque l’on parle de la Russie, c’est au sens large : il peut être question, selon les cas de figure, d’unités régulières des forces armées russes, de pirates informatiques pouvant être mobilisés pour le compte du pays, ce qui lui permet de ne pas être officiellement impliqué, ou bien de groupes de cybercriminels dont les liens avec le Kremlin sont variables, ou parfois inexistants.

D’autres opérations ont aussi été relevées dans le conflit, mais qui semblent de plus petites envergures. Des internautes se revendiquant de la mouvance Anonymous ont annoncé et entrepris des actions. Facebook a aussi rapporté la présence de faux comptes russes qui essaient de présenter l’Ukraine comme un pion de l’Occident. De son côté, le laboratoire des menaces d’Avast a détecté de faux profils ukrainiens se déclarant en détresse sur TikTok et Twitter, manifestement pour escroquer des internautes.

Vers un durcissement du conflit ?

Cette réalité peut d’ailleurs faire craindre un mouvement de la part de la cybercriminalité. On peut s’attendre à tout l’éventail des joyeusetés habituelles, comme du phishing ou des ransomwares. On peut imaginer en tout cas des actions d’opportunité, en fonction de ce qui se passe militairement sur le terrain.

Y a-t-il un risque en France ? Ce n’est pas à écarter : l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui s’occupe de la cyberdéfense du pays et de ses opérateurs d’importance vitale, n’a pas fait état le 24 février de cybermenace particulière liée à la guerre russo-ukrainienne. Elle a assuré suivre la situation de près. Mais les entreprises et les administrations sont invitées à appliquer les mesures de cybersécurité et renforcer aussi leur niveau de vigilance, au cas où.

En tout cas, si cela doit escalader, on peut imaginer bien des perspectives funestes : une attaque qui utiliserait la fameuse vulnérabilité Log4Shell, qui a beaucoup fait parler d’elle ces derniers mois. Ou bien, pourquoi pas, des actions qui consistent à sectionner les câbles sous-marins pour faire tomber Internet, ou du moins affecter lourdement les liaisons. Les câbles sous-marins servent à l’essentiel des communications entre les continents et on s’est inquiété de la présence d’exercices navals russes mi-février au-dessus de plusieurs d’entre eux.