Alors que des troupes russes se massent aux frontières ukrainiennes et que la Fédération de Russie maintient ses demandes de garanties de non-extension de l’OTAN, de transparence sur le déploiement des systèmes d’armes et de retour aux clauses de l’Acte Fondateur de 1997, l’Ukraine vient d’être visée par une puissante cyberattaque. Bien qu’il soit difficile d’identifier le ou les auteurs de cette agression, un certain nombre d’observateurs n’hésitent à l’attribuer à Moscou et à son alliée la Biélorussie.
Read more: Russie-Ukraine : la guerre est-elle inévitable ?
L’Ukraine apparaît depuis le début de la crise qui l’oppose à la Russie comme un véritable laboratoire à ciel ouvert pour les opérations cyber. Les attaques qu’elle a subies au cours de ces dernières années ont contribué à la prise de conscience globale concernant les « risques cyber » et l’impérieuse nécessité d’en tenir compte dans l’analyse des conflits, notamment en amont du déclenchement cinétique. Ainsi, le cyber est désormais perçu comme pouvant être un nouveau théâtre de conflictualité, qualifié par les militaires de cinquième dimension – après la terre, la mer, l’air, et l’espace.
Un « laboratoire à ciel ouvert »
De nombreuses attaques cyber et informationnelles, aux cibles et formes variées, ont été observées depuis le début du conflit dans l'est de l’Ukraine. Certaines y ont émergé avant de se propager à d’autres pays.
Une des premières survenues après le déclenchement du conflit a ciblé la Commission électorale centrale (CEC) lors de l’élection présidentielle de 2014, premier scrutin postérieur à la révolution du Maïdan.
On se souvient également de l’attaque sur la centrale électrique d’Ivano-Frankivsk en 2015, qui avait privé une partie de la région d’électricité en plein mois de décembre. Les auteurs avaient réussi à accéder aux réseaux SCADA (Système de Contrôle et d’Acquisition de Données), ce qui a rappelé aux observateurs l’attaque du virus Stuxnet qui avait ciblé la centrale nucléaire iranienne de Natanz en 2009. Cette agression sur les systèmes électriques fait écho à l’expérience Aurora, réalisée en 2007 par une équipe de l’Idaho National Lab : il avait alors été démontré que le piratage d’infrastructures électriques pouvait détruire définitivement un générateur diesel de 2,25 mégawatts.
Un an plus tard, en 2016, une nouvelle attaque visant des systèmes électriques a impacté Kiev pendant plusieurs heures.
En 2017, NotPetya d’abord et WannaCry ensuite ont défrayé la chronique. En détruisant les données, ces malwares (logiciels malveillants) déguisés en ransomwares (rançongiciels) ont semé le chaos bien au-delà des frontière ukrainienne et ont affecté des entreprises dans plus d’une centaine pays.
Si ces cyberattaques ont marqué les esprits par leur ampleur, leur originalité ou à cause du contexte dans lequel elles ont émergé, bien d’autres ont suivi. S’y sont ajoutées de nombreuses attaques informationnelles, notamment conduites via les réseaux sociaux afin d’influencer les populations, que ce soit par la diffusion de fake news et de contenus propagandistes ou en utilisant des réseaux de « trolls ».
Un regain de tension accompagné de nouvelles cyberattaques
La cyberattaque de la mi-janvier 2022 n’a pas totalement été une surprise pour l’Ukraine : le SBU, le service de renseignement ukrainien, dit avoir détecté au cours de ces derniers mois de très nombreux incidents et tentatives d’attaques – y compris des tentatives de connexion à des serveurs de commande et de contrôle pour obtenir des accès non autorisés, des attaques visant des applications web et l’utilisation de malwares.
L’attaque de janvier, qui n’a pas pu être interceptée, a notamment visé des entités gouvernementales impliquées dans la gestion logistique des forces armées, ce qui aurait pu nuire à l’efficience opérationnelle de Kiev en cas de conflit ouvert. Bien que l’attribution de telles opérations soit toujours une affaire délicate et sensible, les regards se tournent vers un groupe de hackers connu sous le qualificatif de UNC 1151, que le haut responsable du Conseil national de sécurité et de défense ukrainien associe aux services de renseignement militaire biélorusses, tout en notant des similitudes du malware utilisé avec ceux employés par des hackers présumés russes.
Le 18 janvier, l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a fortement conseillé aux opérateurs étatsuniens d’infrastructures critiques et vitales de prendre toutes les « mesures urgentes » possibles contre les cybermenaces. Dans cette mise en garde, l’Agence a fait référence aux récentes attaques contre l’Ukraine, susceptibles de préfigurer d’éventuelles menaces à l’encontre des États-Unis, et rappelé les précédents NotPetya et WannaCry, tous deux attribués à la Russie.
Dans le même temps, l’OTAN a prévenu qu’elle soutiendrait l’Ukraine face aux cyberattaques. On l’aura compris : le domaine cyber est devenu un champ de conflictualité à part entière. Si besoin était de renforcer cette prise de conscience, une attaque par DDoS visant le code du site lui-même vient de frapper le ministère de la Défense ukrainien et deux banques, dont le géant PrivatBank.
Des attaques qui bénéficient du brouillard de la guerre
Il est toujours difficile, voire impossible, de rattacher rapidement et avec certitude une attaque à une structure clairement identifiée, qu’il s’agisse d’un groupe de hackers ou d’un État. Les équipes de threat intelligence remontent les traces des attaques pour y relever des marqueurs permettant d’en repérer les initiateurs ; mais l’efficacité de leur travail dépend de nombreux facteurs mouvants, et il est difficile d’identifier avec une absolue certitude des individus qui agissent masqués, qui peuvent imiter des signatures et dont les liens potentiels avec des États sont soigneusement camouflés.
Ainsi, s’agissant d’opérations supposées avoir été commanditées ou opérées par des États, attribuer une cyberattaque représente un geste politique fort. La plus grande prudence reste le plus souvent de mise. C’est pourquoi, en juin 2021, la réaction de Joe Biden à l’attaque par _supply chain_ connue sous le nom de Solar Gate, qui a affecté de nombreuses institutions américaines, a surpris.
Estimant que l’opération avait été effectuée par la Russie et qu’elle constituait une menace sérieuse pour les États-Unis, Joe Biden a ordonné des sanctions, créant notamment une liste noire d’entreprises russes du secteur des technologies de l’information (ERA Technopolis, Pasit, SVA, Neobit, AST et Positive Technologies) interdisant aux entreprises et institutions financières américaines de travailler avec ces dernières.
Si les cyberattaques ont modifié le déroulement des conflits en épaississant encore davantage le « brouillard de la guerre », elles ont aussi permis l’apparition de nouveaux acteurs. Dans le cas ukrainien, alors que du matériel militaire russe transite par la Biélorussie pour être acheminé vers les frontières ukrainiennes, un groupe de hackers biélorusses et pro-ukrainiens a opéré un ransomware d’un genre particulier. Alors que ce type d’outil a généralement pour but de chiffrer les données de la cible pour obtenir de l’argent (souvent demandée en cryptomonnaies) en échange de la clé de déchiffrement, les hackers ont, en l’espèce, conféré une portée politique à leur logiciel : au lieu de demander une rançon à l’Agence biélorusse des chemins de fer, ils ont exigé la libération de prisonniers politiques détenus par Minsk et la fin du transport par voie ferroviaire du matériel militaire russe vers l’Ukraine.
L’avantage de la cybercoercition
Si les États, notamment occidentaux, ont depuis longtemps pris conscience de l’importance de la cyberdéfense, ils peinent encore à développer une approche offensive, notamment en incluant la « cybercoercition ».
Pour mémoire, la cybercoercition consiste à attaquer des infrastructures critiques d’un État afin de l’empêcher de fonctionner normalement pouvant influencer ses prises de décision. Dans ce cas, la cybercoercition recouvrera les actions engagées par un État pour influencer et affaiblir le gouvernement d’un adversaire. L’objet sera, tout en bénéficiant de la difficulté d’attribution, de démontrer de manière implicite sa capacité à provoquer des perturbations importantes, tant dans les services de l’État visé que dans ces activités industrielles cruciales voire vitales.
Par exemple, les attaques qui, début février 2022, ont visé des ports européens et retardé la distribution de produits énergétiques vers plusieurs pays d’Europe, pourraient apparaître comme relevant de cette cybercoercition. La dépendance de l’Europe envers le gaz russe constituant un point clé des négociations dans la crise ukrainienne, ce retard est loin d’être anodin. S’il est avéré que ces attaques sont imputables à la Russie, il pourrait alors s’agir d’une démonstration de cybercoercition de la part de Moscou, qui marquerait une prise en compte avancée de cet axe par le Kremlin dans sa stratégie cyber…