La Russie mène actuellement des « cyberattaques destructrices et incessantes dans sa guerre hybride contre l’Ukraine », alerte Microsoft dans un récent rapport (1). Si la cyber-riposte s’organise, elle pourrait déclencher à terme le « cyber-Armageddon » économique et social tant redouté des experts.
Malgré l’absence de preuves (sachant que tout indice probant serait considéré comme une déclaration de guerre par le ou les États concernés), le doute n’est pas permis : le Kremlin, directement par le biais de ses propres services ou indirectement via des groupes de hackers russophiles, commet des cyberexactions partout dans le monde depuis des années. Activités criminelles (rançongiciel, hameçonnage…), espionnage et tentatives de déstabilisation : la Russie, à l’instar de la Chine, mobilise même « des moyens colossaux par rapport aux nôtres » pour parvenir à ses fins, selon Guillaume Poupard, le patron de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Or, avec l’invasion de l’Ukraine ordonnée le 24 février 2022, mais fomentée de longue date par Vladimir Poutine, la cyberoffensive s’est intensifiée. Pour les spécialistes, l’arsenal déployé afin de « de causer des dommages aux systèmes d’information critiques, saper les systèmes politiques, économiques et sociaux, manipuler psychologiquement le public pour déstabiliser l’État [ennemi] et [le] contraindre à prendre des décisions en [notre] faveur », selon la définition de « la guerre de l’information » donnée par le ministère de la Défense russe (2), relève même du jamais vu.
Un cyberarsenal d’une puissance inédite
Diffusion massive de malwares sophistiqués « effaceurs de données » (wiper), multiplication des campagnes de hameçonnage (phishing) et de désinformation (y compris par SMS), attaques par déni de service (DDoS) à répétition (plus de trois mille entre février et mars derniers, d’après l’agence de cybersécurité ukrainienne)… C’est la première fois qu’une telle quantité et une telle variété de cyberopérations sont observées lors d’un conflit. À tel point que le président ukrainien Volodymyr Zelensky a « appelé à la formation d’une cyberrésistance ». Et il a été entendu. Dans la foulée de son appel, une cyberarmée s’est constituée : l’« IT Army of Ukraine » (du nom d’un groupe de discussion sur l’application Telegram). Forte de plus trois-cent-mille hacktivistes amateurs venus du monde entier (une première là aussi), l’IT Army est aujourd’hui à l’initiative d’attaques réussies de plusieurs sites Internet russes, pour certains gouvernementaux. Si d’aucuns s’en réjouissent, cette cyberriposte cumulée aux sanctions internationales contre la Russie et aux livraisons d’armes à l’Ukraine par les pays alliés pourrait avoir de lourdes conséquences à terme. « Qui sème le cybervent récolte la cybertempête », a menacé la Russie dans un communiqué publié en avril.
Risque n°1 : les tentatives de déstabilisation
« Par le biais des attaques informatiques, on peut obtenir des effets militaires, de destruction, qui peuvent créer le chaos, le blocage d’une nation toute entière », prévient Guillaume Poupard de l’Anssi (3). Coupures de courant, paralysie du réseau ferré, blocage d’établissements bancaires, piratage de médias pour diffuser de fausses informations, arrêt d’usines de production… Telles sont les potentiels effets délétères d’un rançongiciel (éventuellement basé de plus sur l’exécution d’un logiciel malveillant – malware – destructeur de type Master Boot Record qui écrase les données des ordinateurs au redémarrage).
C’est arrivé. En janvier, dix-sept terminaux pétroliers en Belgique, en Allemagne et aux Pays-Bas ont été visés par un rançongiciel vraisemblablement d’origine russe qui a fortement bousculé les livraisons sur fond de flambée des prix de l’énergie. Quelques semaines plus tard, Toyota à son tour était victime d’une cyberattaque interrompant toute sa production au Japon, après l’annonce par Tokyo de sanctions contre Moscou.
Risque n°2 : les dommages collatéraux
Le 20 avril, l’alliance dite des « Five Eyes » (les États-Unis, le Royaume-Uni, l’Australie, le Canada et la Nouvelle-Zélande) a prévenu dans un communiqué que « certains cybercriminels [ayant] récemment prêté publiquement allégeance au gouvernement russe ont menacé de mener des cyberattaques contre les pays et les organisations qui soutiennent l’Ukraine [en réponse] au coût économique sans précédent imposé à la Russie, et au soutien matériel apporté (à l’Ukraine) par les États-Unis, leurs alliés et leurs partenaires ».
C’est arrivé. Le 24 février, premier jour de l’offensive terrestre, le réseau du satellite KA-SAT, géré par l’entreprise américaine Viasat, a connu d’importantes perturbations causées par une attaque attribuée à la Russie. L’acte de sabotage (qui associait un déni de service et la suppression de données sur des modems) ciblait principalement les équipements ukrainiens. Il a toutefois provoqué la déconnexion satellitaire de plusieurs milliers d’éoliennes en Allemagne et de centaines d’abonnés à Internet en France.
Risque n°3 : les représailles
Depuis le début du conflit, les institutions européennes ou françaises comme l’Anssi appellent les administrations et les entreprises à renforcer leur protection, car « des actions de représailles aux sanctions et positions défendues par la communauté internationale ne peuvent être exclues, tout comme une dégradation et une escalade des hostilités », dit Jean-Jacques Latour, directeur expertise cybersécurité chez Cybermalveillance.gouv.fr. La vengeance pourrait aussi s’exercer contre des organisations qui continuent de faire des affaires en Russie…
C’est arrivé. Fin mars, le groupe d’hacktivistes Anonymous a fixé un ultimatum de quarante-huit heures aux entreprises étrangères encore présentes en Russie pour stopper leurs activités sous peine de cyberattaques en représailles. Nestlé a ainsi subi une fuite de données. Parmi les entreprises françaises, Leroy Merlin, Auchan et Décathlon, que le collectif accuse de « placer leur profit avant la solidarité avec les victimes d’un génocide », pourraient être les prochaines victimes.
6 cybermesures prioritaires
Depuis le début de l’invasion, l’Agence nationale de la sécurité des systèmes d’information (Anssi) incite les entreprises et les administrations à tout mettre en œuvre pour parer au pire (4). Dans le détail, qu’elles soient guidées par leurs propres experts en cybersécurité et/ou accompagnées par un tiers pour garantir le succès de la démarche, il leur incombe de :
1- renforcer l’authentification sur les systèmes d’information (SI) ;
2 – accroître la supervision de la cybersécurité ;
3 – sauvegarder hors-ligne les données et les applications critiques ;
4 – établir une liste priorisée des services numériques critiques ;
5 – s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque ;
6 – être au fait des alertes et des avis de sécurité émis par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR, cert.ssi.gouv.fr).
(1) Special report : Ukraine – An overview of Russia’s cyberattack activity in Ukraine (Microsoft.com, avril 2022). (2) Vues conceptuelles de l’action des forces armées de la Fédération de Russie dans l’espace d’information (2011). (3) Cybersécurité : « Les attaques informatiques peuvent créer le chaos », alerte le patron de l’Anssi (Publicsenat.fr, mai 2021). (4) Mesures cyber préventives prioritaires – Tensions internationales actuelles (ssi.gouv.fr, février 2022).
Retour en images sur le FIC ! Prev post 