La Russie masse plus de 100 000 soldats à sa frontière avec l’Ukraine, menaçant de déclencher une guerre comme l’Europe n’en a pas connu depuis des décennies. Bien qu’il n’y ait eu encore aucun tir, la guerre a déjà commencé depuis longtemps, sous forme cyber. L’Ukraine subit actuellement le poids d’attaques russes sur ses systèmes informatiques, faisant craindre aux experts en cybersécurité que ces offensives de piratage ne s’étendent au monde entier, menaçant l’Europe, les États-Unis et au-delà.
La semaine dernière, des pirates ont attaqué des dizaines de sites web gouvernementaux en Ukraine, un acte techniquement simple mais qui a attiré l’attention et fait la une des journaux du monde entier. Plus discrètement, ils ont également placé des logiciels malveillants destructeurs à l’intérieur des agences gouvernementales et des sociétés de technologie ukrainiennes, une opération découverte par des chercheurs de Microsoft s’inquiétant d’un «logiciel malveillant destructeur» détecté dans «des dizaines de systèmes» en Ukraine, touchant «de nombreuses agences gouvernementales, organismes à but non lucratif ou organisations du secteur des technologies de l’information».. On ne sait pas encore qui est responsable, mais la Russie est le principal suspect ; elle a, comme on pouvait s’y attendre, aussitôt démenti toute responsabilité.
Le 18 janvier, l’Agence américaine de cybersécurité et de sécurité des infrastructures a warned les opérateurs d’infrastructures critiques de prendre des « mesures urgentes à court terme » contre les cybermenaces, citant les récentes attaques contre l’Ukraine comme une raison d’être en alerte face à d’éventuelles menaces contre les actifs américains. Ce 23 janvier 2022, c’est au tour du département américain de la sécurité intérieure de publier un bulletin de renseignement, avertissant que la Russie a la capacité de mener toute une série d’attaques, allant des attaques par déni de service sur des sites web à la perturbation d’infrastructures critiques comme les réseaux électriques. « Nous estimons que la Russie envisagerait de lancer une cyberattaque contre le territoire national si elle percevait qu’une réponse des États-Unis ou de l’OTAN à une éventuelle invasion russe de l’Ukraine menaçait sa sécurité nationale à long terme », a déclaré ce département dans son bulletin.
Des cyberattaques avant que les balles et les missiles ne volent
L’Agence américaine de cybersécurité fait aussi référence à deux cyberattaques de 2017, NotPetya et WannaCry, qui ont, toutes deux, échappé au contrôle de leurs cibles initiales, se sont propagées rapidement sur Internet et ont impacté le monde entier, coûtant des milliards de dollars. Pour le journaliste spécialisé en cybersécurité, Patrick Howell O’Neill de la MIT Technology Review, les parallèles sont clairs : « NotPetya était une cyberattaque russe visant l’Ukraine à un moment de fortes tensions ».
« Les cyberopérations agressives sont des outils qui peuvent être utilisés avant que les balles et les missiles ne volent », explique dans le même article John Hultquist. « Pour cette raison précise, c’est un outil qui peut être utilisé contre les États-Unis et les alliés lorsque la situation se détériore davantage. Surtout si les États-Unis et leurs alliés adoptent une position plus agressive contre la Russie. » Une hypothèse qui apparaît de plus en plus possible : le président Joe Biden a déclaré lors d’une conférence de presse le 19 janvier que les États-Unis pourraient répondre aux futures cyberattaques russes contre l’Ukraine avec leurs propres cybercapacités, ce qui augmente encore le spectre de la propagation du conflit.
En ligne de mire des Américains, la société russe de cybersécurité Positive Technologies. Les services de renseignement américains affirment que cette structure fournit des outils de piratage et mène des opérations pour le Kremlin. Les répercussions sur le reste du monde pourraient ne pas se limiter aux représailles intentionnelles des agents russes. Contrairement à la guerre traditionnelle, la cyberguerre n’est pas limitée par des frontières et peut plus facilement devenir incontrôlable.
Why not enjoy unlimited reading of UP'? Subscribe from €1.90 per week.
Les cyberopérations ont déjà commencé
L’Ukraine a déjà fait l’objet de cyberopérations russes agressives au cours de la dernière décennie et a subi une invasion et une intervention militaire de Moscou depuis 2014. En 2015 et 2016, des pirates informatiques russes ont attaqué le réseau électrique ukrainien et éteint les lumières de la capitale Kiev — des actes sans précédent qui n’ont été menés nulle part ailleurs avant ou depuis.
L’attaque la plus retentissante remonte à 2017 : la cyber attack NotPetya a d’abord visé des entreprises privées ukrainiennes avant de se propager et de détruire des systèmes dans le monde entier. NotPetya se faisait passer pour un ransomware, mais il s’agissait en fait d’un morceau de code purement destructeur et hautement viral. Le logiciel malveillant destructeur observé en Ukraine la semaine dernière, désormais connu sous le nom de WhisperGate, se faisait également passer pour un ransomware tout en visant à détruire des données clés qui rendent les machines inopérantes. Les experts say que WhisperGate « rappelle » NotPetya, jusqu’aux processus techniques qui permettent la destruction, mais qu’il existe des différences notables. D’une part, WhisperGate est moins sophistiqué et n’est d’autre part pas conçu pour se propager rapidement de la même manière. La Russie a nié toute implication, et aucun lien définitif ne pointe vers Moscou.
Le sujet est sensible car NotPetya a mis hors d’état de nuire des ports de navigation et empêché plusieurs multinationales géantes et agences gouvernementales de fonctionner. Presque tous ceux qui faisaient des affaires avec l’Ukraine ont été touchés, car les Russes ont secrètement empoisonné des logiciels utilisés par tous ceux qui paient des impôts ou font des affaires dans le pays. La Maison-Blanche a déclaré que l’attaque avait causé plus de 10 milliards de dollars de dommages dans le monde et l’a jugée comme « la cyberattaque la plus destructrice et la plus coûteuse de l’histoire. » Depuis 2017, le débat se poursuit pour savoir si les victimes internationales comme l’américain FedEx ou le danois Maersk n’étaient que des dommages collatéraux involontaires ou si l’attaque visait les entreprises faisant des affaires avec les ennemis de la Russie. Ce qui est clair, c’est que cela peut se reproduire.
Les experts en cybersécurité craignent qu’à la suite des récentes cyberattaques menées par des pirates informatiques affiliés à la Russie, le gouvernement russe ait la capacité de mener des attaques perturbatrices et destructrices contre des cibles aux États-Unis. L’attaque SolarWinds, découverte en décembre 2020, a permis aux auteurs d’accéder aux systèmes informatiques de nombreuses agences gouvernementales et entreprises privées américaines. M. Hultquist prévoit que nous assisterons à des cyberopérations de l’agence de renseignement militaire russe GRU, l’organisation à l’origine de bon nombre des piratages les plus agressifs de tous les temps, tant à l’intérieur qu’à l’extérieur de l’Ukraine. Le groupe de piratage le plus célèbre du GRU, dénommé Sandworm par les experts, est responsable d’une longue liste de grands succès, notamment le piratage du réseau électrique ukrainien en 2015, les piratages NotPetya en 2017, l’ingérence dans les élections américaines et françaises et le piratage de la cérémonie d’ouverture des Jeux olympiques à la suite d’une controverse sur le dopage russe qui a entraîné l’exclusion du pays des Jeux.
Cyberguerre de la désinformation
Il existe actuellement un débat au sein des spécialistes de cyberguerre sur le type d’agression que Moscou voudrait entreprendre en dehors de l’Ukraine. « Je pense qu’il est assez probable que les Russes ne cibleront pas nos propres systèmes, nos propres infrastructures critiques », estime Dmitri Alperovitch, expert de longue date de la cyberactivité russe et fondateur du Silverado Policy Accelerator à Washington. « La dernière chose qu’ils voudront faire est d’intensifier un conflit avec les États-Unis alors qu’ils essaient de mener une guerre avec l’Ukraine. »
Personne ne sait véritablement quels sont les calculs de Moscou dans cette situation qui évolue rapidement. Il n’en demeure pas moins que la Russie a démontré à plusieurs reprises qu’en matière de cybernétique, elle dispose d’une boîte à outils large et variée. Parmi ceux-ci, les campagnes de désinformation, destinées à déstabiliser ou à diviser ses adversaires sont particulièrement prisées, car relativement simples à mettre en œuvre.
En 2014, alors que l’Ukraine plongeait dans une nouvelle crise et que la Russie envahissait la Crimée, des pirates informatiques russes ont secrètement enregistré l’appel d’un diplomate américain frustré par l’inaction européenne, qui a dit « Fuck the EU » à un collègue. Ils ont divulgué l’appel en ligne dans le but de semer le chaos dans les alliances de l’Occident, prélude à l’intensification des opérations d’information de la Russie.
Les fuites et la désinformation restent des outils privilégiés pour Moscou. Les élections américaines et européennes ont été perturbées à plusieurs reprises par une désinformation cybernétique dirigée par la Russie. À un moment où les alliances sont plus fragiles et les environnements politiques compliqués en Europe et aux États-Unis, Poutine peut atteindre des objectifs importants en façonnant la conversation et la perception du public alors que la guerre en Europe semble imminente.
« Ces cyberincidents peuvent être non violents, ils sont réversibles, et la plupart des conséquences se situent au niveau de la perception », déclare John Hultquist. « Ils corrodent les institutions, ils nous font paraître peu sûrs, ils font paraître les gouvernements faibles. Souvent, elles n’atteignent pas le niveau qui provoquerait une véritable réponse physique et militaire. Je crois que ces capacités sont sur la table ».
Il faut dire que la doctrine militaire russe comprend le concept bien développé de confrontation de l’information, qui utilise des moyens cybernétiques pour créer le doute sur ce qui est vrai. Justin Pelletier, professeur de pratique de la sécurité informatique, Rochester Institute of Technology explique dans un post publié par The Conversation US que des manœuvres spécifiques visant à soutenir les récits, les personnes et les groupes qui soutiennent les intérêts russes et à saper ceux qui vont à l’encontre des intérêts russes sont en cours. Ces manœuvres, qui consistent notamment à rejeter et à déformer les informations et à saper les leaders d’opinion, sont menées dans la presse et sur les médias sociaux. « Les agents des services de renseignement russes sont habiles à utiliser la technologie, notamment en amplifiant la désinformation par le biais de faux comptes sur les plateformes de médias sociaux populaires. En fait, la Russie utilise les médias sociaux et les autres médias en ligne comme une machine à brouillard de qualité militaire qui sème la confusion dans la population visée et encourage la méfiance envers la force et la validité du gouvernement » écrit le spécialiste.
To fight against disinformation and to favour analyses that decipher the news, join the circle of UP' subscribers.
Comme pour augmenter la densité du brouillard, la Russie a annoncé avoir, sur demande de Washington, démantelé dès le 14 janvier dernier l’un des principaux groupes opérant dans le ransomware, le cybercriminel REvil. Une façon d’allumer un contrefeu opportun pour déjouer les suspicions à son encontre dans cette période de grande tension.
