Nouvelles armes: les guerres hybrides
Selon le labo de cybersécurité de Microsoft, depuis le début de l’invasion russe en Ukraine, six groupes de hackers liés au Kremlin ont lancé plus de 237 opérations contre le pays, y compris des attaques qui menacent les infrastructures et services critiques pour les populations. L’intensité des attaques a tendance à suivre celle des offensives sur le terrain.
C’est ce que l’on appelle la « guerre hybride » : pour un pays, et notamment la Russie, il s’agit d’une méthode pour en affaiblir d’autres, par des moyens plus ou moins subtils. Les leviers sont multiples : agitation populaire, ingérence dans les élections, financement de partis, désinformation, pressionséconomiques, cyberattaques… En 2007, c’est l’Estonie qui avait inauguré cette méthode en subissant une cyberattaque massive pendant plus de 20 jours. Des attaques qui avaient paralysé de nombreux services de ce pays qui était alors l’un des plus connectés. L’offensive avait été orchestrée par les hackers affiliés au Kremlin à l’époque, mais il était alors difficile et risqué de les attribuer. Aujourd’hui, avec le conflit actuel en Ukraine, l’utilisation de la cyberarme est assumée et il ne faut plus chercher bien loin pour pouvoir attribuer les cyberattaques.
Microsoft vient justement de publier un rapport spécifique aux cyberattaques que la fédération de Russie a mené dans le cadre de sa guerre hybride contre l’Ukraine. Pour Microsoft, il s’agit de faire prendre conscience de cette cyber-branche militarisée qui reste silencieuse malgré les dégâts qu’elle peut engendrer. Ainsi, avant même l’invasion, les chercheurs de Microsoft ont détecté au moins six acteurs liés au Kremlin. Ils ont lancé plus de 237 opérations contre l’Ukraine.
Dans la chronologie, dès mars 2021, les hackers au service de Moscou ont intensifié les attaques contre les organisations ukrainiennes et les alliés de l’Ukraine. Ils se sont alors infiltrés profondément et silencieusement dans les réseaux. Mi-2021, ces mêmes acteurs ont ciblé les fournisseurs de la chaîne d’approvisionnement en Ukraine et à l’étranger pour s’octroyer des accès supplémentaires aux systèmes sur le territoire et chez les États membres de l’Otan. Enfin, lorsque les troupes russes ont commencé à se déplacer vers la frontière ukrainienne, toutes les cibles permettant d’obtenir des renseignements sur les partenariats militaires et étrangers de l’Ukraine ont été attaquées.
Légende de l’image
Sur cette carte, on constate que l’intensité de l’utilisation de l’arme cyber suit celle des offensives sur le terrain, sauf dans le sud de l’Ukraine où les forces russes proviennent essentiellement de Crimée. © Microsoft
La cyberarme avant les tirs d’artillerie
Sur le fond, certaines attaques destructrices ont non seulement dégradé les systèmes des institutions en Ukraine, mais aussi cherché à perturber l’accès de la population aux informations fiables et aux services essentiels. L’idée restait alors d’ébranler la confiance chez les dirigeants du pays. Aujourd’hui, ces attaques sont désormais synchronisées avec les opérations militaires cinétiques en ciblant principalement les services pour les civils. Ainsi, le 1er mars, des cyberattaques ont eu lieu contre une radio importante en Ukraine. Le jour même, l’armée russe a à la fois annoncé qu’elle allait détruire des cibles ukrainiennes de désinformation et mené une frappe de missile contre la tour de TV à Kyiv. Autre exemple, le 13 mars, la prise de centrales nucléaires par l’armée russe a été accompagnée quelques semaines après par de la collecte de données à une organisation de sécurité nucléaire.
Mais il y a eu également des attaques destructrices pour les systèmes. Microsoft en a dénombré près de 40. Quelque 32 % de celles-ci ont directement ciblé des organisations gouvernementales ukrainiennes. Pire, plus de 40 % visaient des organisations dans des secteurs critiques (l’armée, l’économie, les réseaux critiques). Au niveau des méthodes d’infiltration, c’est le phishing qui a été employé ainsi que l’exploitation de vulnérabilités non corrigées. Les chercheurs ont aussi remarqué que les hackers cherchent également à supprimer leurs traces avec des outils spécialisés.
Comme les cyberattaques suivent ou précèdent l’amplitude des actions militaires, les hackers devraient maintenant mener des actions destructrices de représailles contre les pays qui décident de fournir davantage d’assistance militaire à l’Ukraine. Actuellement, Microsoft a déjà identifié des opérations dans les États membres de l’Otan fournissant activement un soutien politique, humanitaire ou militaire à l’Ukraine.POUR EN SAVOIR PLUS
Ukraine : « La première cyberguerre de l’histoire de l’humanité a commencé »
En Ukraine, une cyberattaque russe a fait tomber lundi, Ukrtelecom, le premier fournisseur d’accès à Internet ! Depuis le début du conflit, l’Ukraine a recensé 60 cyberattaques, et c’est le monde entier, qu’il s’agisse d’entreprises privées comme Microsoft et Oracle, ou des services publics étrangers qui aident les Ukrainiens à résister dans le cyberespace.
fabrice Auclert pour Ouest France
Alors que l’armée russe stagne sur le terrain, voire recule dans certaines parties de l’Ukraine, le pays a décidé de frapper dans les « airs » ou plutôt dans le domaine des télécommunications. Le fournisseur ukrainien d’accès Internet Ukrtelecom a ainsi été la cible d’une « puissante cyberattaque », a annoncé lundi le gouvernement ukrainien.
Une attaque neutralisée selon le Service d’État de protection spéciale des communications et de l’information (SSSCIP) d’Ukraine, et considérée comme « la plus grave » depuis l’invasion russe. C’est comme si une cyberattaque faisait tomber Orange ou Free en France, avec toutes les conséquences que cela peut entraîner pour les entreprises et les administrations.
Sur ce graphique, on voit bien l’effondrement du réseau d’Urktelecom. © NetBlocks
Maintenir les services aux forces armées
NetBlocks, qui suit en temps réel les pannes d’Internet à travers le monde, a découvert qu’Ukrtelecom avait été déconnecté dans la matinée de lundi avec un taux d’activité de 13 %. Depuis le début de la guerre, le taux était passé de 100 à 80 % en raison des nombreuses cyberattaques, mais lundi, ce taux est donc tombé au plus bas.
Alp Toker, directeur de NetBlocks, a expliqué à Forbes que « la perte progressive de connectivité était un signe qu’il ne s’agissait pas d’une coupure de courant ou de câble » mais bien d’une cyberattaque. « La nouvelle attaque a profondément réduit la connectivité de l’Ukraine à l’échelle nationale, avec une durée et un impact prolongés. Contrairement à la série de coupures et de pannes dans les zones de conflit les plus chaudes, celle-ci a frappé l’opérateur national du pays en son cœur, et il semble avoir du mal à atténuer l’incident. »
Numéro 1 de la téléphonie en Ukraine, Ukrtelecom a effectivement mis plusieurs heures à rétablir ses services, et selon le SSSCIP, la priorité était de « préserver son infrastructure réseau et de continuer à fournir des services aux forces armées ukrainiennes et à d’autres formations militaires ». Résultat, Ukrtelecom a temporairement limité la fourniture de ses services à la majorité des utilisateurs privés et des entreprises. »
Soixante cyberattaques différentes
La semaine dernière, l’équipe ukrainienne d’intervention d’urgence informatique (CERT) a révélé que le pays avait été soumis à 60 cyberattaques différentes : onze avaient ciblé le gouvernement et les autorités locales, dont huit frappant l’armée et les forces de l’ordre. Seulement quatre avaient frappé les télécommunications et d’autres entreprises technologiques. Selon cet organisme, la majorité de ces cyberattaques se concentraient sur la collecte d’informations même si, au début du conflit, on a aussi souligné des cyberattaques de type « wiper » qui se contentent d’effacer le contenu des appareils ciblés.
Pour le président du SSSCIP, Yurii Shchyhol, il s’agit tout simplement de « la première cyberguerre de l’histoire de l’humanité ». « Dans cette guerre, toute la communauté informatique du monde s’est unie dans sa réaction contre l’injustice et contre les tentatives des troupes russes de détruire notre pays. Nous faisons de notre mieux pour arrêter l’agresseur », poursuit-il, et il révèle que des géants de l’informatique comme Oracle et Microsoft prêtent main forte. « Notre principal défi aujourd’hui est la victoire sur l’ennemi sur tous les champs de bataille, y compris le cyberespace » conclut-il.