Guerre en Ukraine : entre cyber-propagande Russe et hacktivisme... de nouvelles formes d'attaques émergent

Sur le plan cyber, la guerre entre l'Ukraine et la Russie n'a pas eu de conséquence majeure en France. Elle montre d'ailleurs les capacités de résistance ukrainiennes, autres que sur le terrain conventionnel. En revanche, elle change la donne et provoque une évolution du paysage des menaces.

Entre juillet 2021 et juillet 2022, l'Agence de l'Union européenne pour la cybersécurité (ENISA), qui vient de publier son dernier rapport d'étude de la menace, note que les principaux acteurs et les menaces restent plus ou moins les mêmes d'une année sur l'autre. « Cependant, les situations géopolitiques, en particulier l'invasion russe de l'Ukraine, ont changé la donne au cours de la période considérée pour le cyberdomaine mondial », indique l'agence, qui a observé l'émergence d'un plus large éventail de vecteurs, comme la désinformation, les deepfakes ou les exploits zero-day. La France, elle, a relativement été épargnée jusqu'à maintenant par un conflit qui secoue pourtant le monde entier. Aux Assises de la sécurité à Monaco, nous avons pris le pouls de plusieurs acteurs majeurs du monde cyber, pour voir ce qu'il en est.

Pas de cyberguerre, plutôt des incidents et des attaques cyber ciblées

« Dès le début de la guerre, on a vu qu'il y a eu un volume d'attaques vraiment très ciblé entre la Russie et l'Ukraine », note Xavier Duros, Directeur technique chez Check Point Software. Les groupes pirates ont alors pris le parti de l'un ou de l'autre bloc. « On s'attendait à avoir des répercussions », poursuit l'expert cyber, expliquant qu' « il n'y en a pas eu tant que ça en fait, y compris en France ».

Il y a tout de même eu des pics. Xavier Duros évoque le cas où « dès qu'un pays communiquait disant offrir des ressources supplémentaires à l'Ukraine, là on voyait qu'il y avait une attaque ciblée ». D'un acteur à un autre, les spécialistes de la cyber se rejoignent.

« Oui, il se passe des choses dans le monde cyber liées à cette crise. Mais en pratique, c'est une crise qui est avant tout militaire », poursuit Ivan Kwiatkowski, chercheur au GReAT de Kaspersky. « Le cyber est un peu secondaire par rapport aux obus qui tombent ou aux troupes qui avancent et reculent. On a clairement moins vu d'activités cyber que ce à quoi on s'attendait au début du conflit. La cyberguerre n'a pas eu lieu ».

La Russie utilise l'arme cyber également à des fins de communication

Au rang des attaques notables, on peut évoquer celles menées sur des centrales énergétiques locales, ou encore le fameux incident du satellite KA-SAT de Viasat, survenu au printemps. « À part quelques effets de bord qu'il y aurait pu avoir sur quelques activités notamment au début de l'invasion sur le mois de février, le reste se fait de façon majoritaire sur le terrain de guerre, ce qui n'empêche pas une montée en niveau de protection de l'ensemble des États occidentaux sur la potentialité de l'action russe sur leur territoire. L'impact réel cyber de cette guerre, on ne l'a pas vu spécifiquement », conclut sur cette question le directeur technique Europe de Mandiant, David Grout.

Si la cyberguerre en parallèle du conflit armé n'a pas vraiment eu lieu, cela ne veut pas dire que les stratégies et menaces sont inexistantes donc, ni qu'elles ont commencé avant le mois de février dernier. « On a vu en amont, et quand je dis en amont c'est dès les mois d'octobre et novembre 2021, de nombreuses interventions sur des ministères des Affaires étrangères ou des autorités et personnalités qui ont du pouvoir au niveau européen, sur lesquelles on est intervenu en réponse à incident sur des groupes russes », nous dit David Grout. Ces groupes russes opéraient une collecte d'informations qui était au service de la prise de décisions, dans le but de savoir comment les États européens allaient potentiellement réagir. « Et depuis le déclenchement du conflit au début de l'année, on reste sur quelque chose de plus territorial », rappelle-t-il.

La Russie utilise de façon très régulière l'outil cyber, mais peut-être plus pour servir sa communication. « La capacité de la Russie à utiliser l'influence informationnelle est extrêmement forte. Tout ce qui est fake news ou réseaux de fuite d'informations est très puissant. Le spectre cyber fait en cela partie prenante du conflit ». Des vols de propriété intellectuelle, de l'intelligence et du renseignement font aussi partie du conflit entre les deux pays voisins.

Une tendance vers « l'hacktivisme », profitable à l'Ukraine

Là où l'Ukraine brille, c'est sur sa capacité à résister aux attaques informatiques lancées par la Russie. Mais pour les experts, ce n'est qu'une demi-surprise. « L'Ukraine avait déjà subi des attaques cyber il y a quelques années. On ne s'attendait déjà pas à ce que le pays résiste aussi bien sur la guerre dans sa partie conventionnelle », s'étonne Xavier Duros. « Mais sur le théâtre cyber, ils étaient encore mieux préparés. Il y a énormément d'attaques sur l'énergie ou l'eau qui n'ont pas pu aboutir », ajoute-t-il.

« Il y a un parallèle entre le physique et le cyber qui est indéniable, et ça va continuer de toute façon. Des intelligences économiques se positionnent et prennent parti. On parle d'une transformation vers l'hacktivisme au niveau cyber ». Le point soulevé par Xavier Ducros est intéressant, car cet « hacktivisme » est assez longuement soulevé par l'ENISA dans son dernier rapport annuel sur l'état de la menace, publié le 3 novembre. « Une nouvelle vague d'hacktivisme s'observe surtout depuis le début de la crise russo-ukrainienne », note l'agence européenne.

En 2021, les opérations hacktivistes restaient encore faibles, que ce soit en nombre, en sophistication et en impact. Mais les choses ont changé en l'espace de quelques mois. « Environ 70 groupes hacktivistes sont impliqués » dans le conflit entre la Russie et l'Ukraine. Ces groupes ciblent des organisations et infrastructures critiques par le biais d'attaques DDoS (par déni de service), de dégradations ou de fuites de données.

Ces groupes (issus de deux grands « camps ») se coordonnent aujourd'hui sur des canaux comme Telegram, qui permettent de facilement rejoindre, participer et même télécharger les outils nécessaires pour mener des attaques du type DDoS par exemple. « Le dark web s'est transféré historiquement sur Telegram, qui permet d'avoir ces groupes de discussion très larges, sans limite d'audience où tout est chiffré. Il y a des recrutements au travers de groupes Telegram, qui aident à avoir une force de frappe très distribuée », ajoute Xavier Duros.

L'ENISA évoque notamment le piratage du ministère biélorusse de l'Intérieur en juillet 2021, ou encore le ciblage des lignes de ravitaillement ferroviaires le 24 janvier dernier, qui a permis, à l'aide d'un ransomware modifié pour faire tomber le système ferroviaire et chiffrer les serveurs, bases de données et postes de travail biélorusses, de ralentir le mouvement des troupes russes.

« Typiquement, les gros groupes essaient de trouver le maillon faible dans la chaîne d'une industrie d'un secteur sensible. Comme on cible une centrale nucléaire sur le plan physique, là ils vont chercher un aéroport en termes de cyber. S'ils trouvent un prestataire, un fournisseur, un écosystème de l'aéroport qui est vulnérable, c'est là-dessus qu'ils vont porter leur attaque et faire le plus d'impact possible. Le but, dans ce type d'attaques, c'est de rendre indisponible la production du système qu'on va attaquer », nous explique notre expert de Check Point.

La France, peu exposée et bien protégée

La France, elle, n'a pas grand-chose à craindre sur le plan cyber, tout du moins tant qu'elle restera à distance raisonnable de l'Ukraine et de la Russie. Mais plus l'État français prendra parti en faveur de l'Ukraine, plus il sera potentiellement exposé. Le pays est aujourd'hui bien protégé sur ses infrastructures sensibles. Les pirates pourraient alors être amenés à s'attaquer à des structures plus institutionnelles, comme des ministères par exemple.

« Globalement, la France est bien pourvue d'un point de vue organisationnel et politique. Aujourd'hui, il y a une vraie volonté politique sur la lutte défensive. D'un point de vue militaire, des choses existent et ont été couchées sur le papier. La France est un pays mature en termes de lutte défensive », rassure David Grout, de Mandiant.

Quid du futur alors et de l'évolution de la place prise par le cyber dans les conflits et tensions géopolitiques ? « À l'avenir, je pense qu'en Europe et aux États-Unis, il y aura des opérations de sabotage pour protestation, et je ne suis pas certain qu'on arrivera à identifier le lien entre l'accident industriel, le truc qui marche plus et l'attaque cyber à l'origine. Ça, ça arrivera dans une seconde phase qui sera intéressante à étudier », prédit Ivan Kwiatkowski. « Je ne sais pas quand cela changera ni même si on s'en rendre compte. Il ne faut pas perdre de vue que dans le reste du monde, il continue de se passer des choses dans la sécurité, que des failles sont découvertes avec des gens qui n'ont pas encore patché et que des groupes de ransomwares sont toujours actifs et issus de régions du monde où la coopération internationale en termes de police est hélas morte », conclut l'expert de Kaspersky.

Aux côtés de nos dossiers thématiques sur la protection des hôpitaux, sur le ransomware et le paiement (ou pas) de la rançon et sur la récupération potentielle de ses données après un piratage, cet article conclut notre grande page spéciale consacrée à la cybersécurité après notre déplacement aux Assises de la sécurité. Merci à vous de nous suivre dans nos aventures, et pour votre précieuse fidélité.