La Russie jusqu’ici tenue en échec par l’Ukraine

C’était l’une des principales craintes de certains experts au moment de l’invasion russe. “On craignait un Pearl Harbor numérique”explique Julien Nocetti, enseignant-chercheur à l’école militaire de Saint-Cyr Coëtquidan en Bretagne, spécialiste des stratégies numériques et cyber de la Russie, “mais ça ne s’est pas fait”.

La Russie est une cyberpuissance dont la capacité d’attaque n’est plus à démontrer. Depuis 2014 et l’annexion de la Crimée, l’Ukraine est constamment pilonnée par les hackers russes. L’exemple le plus frappant est l’utilisation de Logiciel de rançon NotPetya qui a paralysé une partie de l’économie ukrainienne en 2018. Ses effets avaient alors largement débordé les frontières du pays. Même en France, plusieurs entreprises comme Saint-Gobain avaient été touchées. Plus surprenant, le malware avait également eu des effets indésirables jusqu’en Russie.

Mais depuis, ses tentatives se sont soldées par des échecs partiels. Le 24 février, au tout début de l’invasion de l’Ukraine, “un satellite américain ViaSat a été la cible d’une cyberattaqueraconte à la cellule enquête de Radio France Stéphane Duguin de l’Institut CyberPeace, basé à Genève. Ses modems terrestres ont été victimes d’une mise à jour malveillante. Ce satellite est largement utilisé par l’armée ukrainienne. Mais il avait aussi d’autres clients, dont des particuliers en France qui l’utilisent pour accéder à Internet. Résultat : “Près de 10 000 Français se sont retrouvés sans connexion, soit près de 40 000 personnes au total en Europe. Et en Allemagne, nous avons perdu le contrôle de près de 6 000 éoliennes contrôlées par ce satellite.”

Des effets clairement éloignés de ceux recherchés par les hackers, résume Rayna Stamboliyska, experte en diplomatie numérique : “Le but d’une telle manœuvre était d’empêcher les Ukrainiens de se coordonner au début de l’invasion. M. Poutine et son équipe prévoyaient une invasion éclair. C’est pourquoi il aurait été pertinent d’interrompre les communications entre les armées ukrainiennes forces pour semer le désordre, les empêcher de réagir et de résister.” Mais cela ne s’est pas produit. Au total, une trentaine de campagnes de cyberattaques russes ont été documentées par le CyberPeace Institute, mais là encore avec des effets assez limités.

Incapables de faire plier les Ukrainiens par des cyberattaques classiques, les hackers russes sont alors entrés de plain-pied dans un autre aspect de la guerre numérique : la guerre informationnelle. Mais là encore, jusqu’à présent, les Ukrainiens dominent le combat, selon Rayna Stamboliyska. Elle croit que “Le contraste est saisissant entre la communication encadrée et froide des Russes et la communication spontanée des Ukrainiens.”

“Un ancien spécialiste de la propagande du KGB est doublé par un acteur devenu président avec son smartphone.”

Rayna Stamboliyska

chez franceinfo

Les pirates russes, cependant, se sont donné beaucoup de mal dans leurs tentatives de désinformation. Il y a quelques jours, une vidéo du président Volodymyr Zelensky apparu sur les réseaux sociaux. Une vidéo truquée par l’intelligence artificielle appelée deepfake, explique Julien Nocetti : « Il s’agissait de prêter à M. Zelensky des mots exhortant la population à se rendre, à abandonner le combat et la résistance. Encore une fois, en vain. Mais on peut très bien imaginer dans quelques semaines selon l’escalade, les vidéos deepfake d’Emmanuel Macron ou Joe Biden annonçant le lancement de frappes nucléaires contre la Russie. Cela pourrait avoir un impact sur le public, les populations et les décideurs.

À gauche, une image tirée de la vidéo deepfake, à droite une image du discours de Zelensky à la télévision ukrainienne.  (DR)

Si, pour l’instant, la Russie est tenue en échec, les cyber-experts restent prudents quant aux conséquences potentielles de la guerre. “L’arme numérique peut encore être utilisée dans le reste du conflitestimé Nicolas Arpagian spécialiste des cybermenaces, selon sa disponibilité. Les États peuvent l’utiliser soit directement, soit par l’intermédiaire de cybermercenaires : des personnes qui mèneront des attaques offensives sans engager formellement la responsabilité de l’État. » Dans ce domaine, la Russie est bien armée. Des liens directs entre des groupes de cybercriminels et le FSB (les services secrets russes) ont été documentés très récemment grâce au “Conti fuites”une fuite de données géante de l’un des principaux groupes de pirates informatiques d’Europe de l’Est.

Ce groupe de hackers était composé de Russes, de Biélorusses mais aussi d’Ukrainiens qui ont travaillé ensemble jusqu’à l’invasion de l’Ukraine. Conti ayant pris position publiquement pour Vladimir Poutine, les Ukrainiens de Conti ont fait sécession et ont décidé de dissoudre le groupe. Mais en partant, ils ont pris soin de divulguer des milliers de documents internes sur le dark web. Le public a ainsi pu découvrir pour la première fois ce qui se tramait à l’intérieur d’un grand groupe de hackers. Un coup dur pour l’organisation criminelle, dont on a pris connaissance sur son mode de fonctionnement, ses cibles, ses revenus, et ses liens avec le Kremlin.

Mais cela ne signifie pas la fin du piratage russe, prévient François Deruty, expert en cybersécurité et ancien directeur adjoint des opérations à l’Agence nationale de la sécurité des systèmes d’information (Anssi) : “Il y a toujours moyen de relancer un groupe, ou d’en créer un nouveau, qui utilisera les mêmes outils sous un autre nom.” Cette fuite de données pourrait même être une aubaine, estime l’expert en cybersécurité. “Ils sont désormais disponibles pour l’ensemble de l’écosystème des attaquants, et nous les retrouverons probablement utilisés dans six mois ou un an dans d’autres types d’attaques.”

Alors que la Russie piétine, les Ukrainiens au contraire se préparent. Ils développent depuis plusieurs années des capacités de défense pour leurs systèmes. Et quelques jours avant la guerre, ils recevaient une aide précieuse des États-Unis, raconte le chercheur Julien Nocetti : « Il y a eu une coopération dense entre Kiev, l’OTAN et les États-Unis pour renforcer la cyberdéfense et la résilience des infrastructures ukrainiennes avant le conflit. Nous assistons à une coopération plus étroite entre les services secrets américains, la NSA et les Ukrainiens.” Les Européens ont également envoyé des experts dans les premières heures du conflit.

A cela s’ajoute le soutien de bénévoles du monde entier. Deux jours après le début de l’invasion russe, le ministre ukrainien de la Transformation numérique a annoncé la création d’une armée numérique ou « armée informatique ». Des milliers de personnes du monde entier ont alors rejoint un forum de discussion sur la messagerie Telegram, afin de s’attaquer à certaines cibles russes, sites gouvernementaux ou autres. Aujourd’hui, ces pirates volontaires vont jusqu’à identifier et contacter les familles des soldats russes qui combattent en Ukraine, pour les avertir des agissements de leurs proches. Un champ d’action très large pour tenter de perturber au mieux l’offensive russe.

Ces actions ne sont toutefois pas sans risque, prévient Rayna Stamboliyska : “Les auteurs de ces attaques n’ont d’autre mandat officiel que de répondre à un tweet et de participer à un groupe Telegram. Ce sont des Ukrainiens, mais aussi des Américains, des Français, des Danois, et ils s’imposent. Ils sont donc en infraction.”

“Cela devient encore plus problématique lorsque M. Poutine dit qu’il peut considérer tous les pays où vivent ces pirates comme des belligérants dans le cadre d’un conflit armé.”

Rayna Stamboliyska

chez franceinfo

Certains pays occidentaux craignent donc d’éventuelles mesures numériques de rétorsion ou des cyberattaques qui viseraient l’Europe ou les États-Unis. Le président américain Joe Biden a clairement évoqué ce risque il y a quelques jours : “Mon administration m’a averti que les Russes planifient des cyberattaques contre nous. Le potentiel russe est très grand et la menace se précise. Le gouvernement est prêt. La sécurité nationale est en jeu.”

Dans la foulée, l’agence américaine de cyberdéfense a publié deux notes accusant la Russie avoir déposé des implants dans des entreprises liées au secteur de l’énergie. Ces implants, comme des bombes à retardement numériques, pourraient être déclenchés plus tard par certains hackers et avoir de graves conséquences. La France elle-même a découvert ce genre d’implants : en 2018, Guillaume Poupard, le directeur général de l’Anssi annoncé devant les sénateurs : « Nous avons détecté des cas très inquiétants, notamment une tentative d’intrusion de systèmes de cartographie liés au secteur de l’énergie, qui n’avait qu’un seul but : la préparation de futures actions violentes. Imaginez les conséquences sur le fonctionnement d’un pays d’une attaque sur la distribution d’énergie. réseaux.”

« Connaître l’objectif de ces attaques est toujours compliquéprécise François Deruty, ancien directeur adjoint des opérations à l’Anssi. On trouve des codes malveillants mais tant qu’on ne sait pas s’il s’agit simplement d’espionner les communications ou de les détruire on ne réalise pas vraiment l’effet final recherché. Et c’est compliqué de revenir vers le sponsor.”

L’Anssi avait publié une note sur le sujet à l’époque, mais sans jamais mentionner la Russie. “La doctrine française consiste à ne pas nommer publiquement les coupables comme le font d’autres pays.poursuit François Deruty. Nous pouvons en discuter bilatéralement, nous pouvons utiliser la voie diplomatique. Il existe d’autres moyens de pointer du doigt ou de faire savoir aux gens qu’ils sont au courant de certaines choses.” Selon nos informations, cependant, la Russie semble être à l’origine de ce dépôt d’implants. Un groupe criminel du nom d’Energetic Bear, proche de Moscou et également repéré aux Etats-Unis sous d’autres noms, serait à l’origine de ces attentats.

Face à ces craintes, la France se prépare. L’Anssi a publié une note au début de la guerre demander aux entreprises françaises de se protéger. Les exploitants d’importance vitale (ministères, centrales nucléaires, etc.) sont particulièrement surveillés, notamment à l’approche de grands événements comme la Coupe du monde de rugby en 2023, ou les Jeux olympiques en 2024. L’armée se prépare également. Elle a organisé son crash test annuel : une simulation de cyberattaques pour faciliter le fonctionnement de la chaîne de commandement. Cette année, le thème de l’exercice était “un pays exclu des JO décide d’envahir une région frontalière d’un Etat allié de la France”. L’implication est claire.

Mais si la crainte porte surtout sur le piratage informatique, le risque d’une attaque physique sur les infrastructures réseaux existe aussi. Un État hostile pourrait très bien attaquer les câbles sous-marins qui relient les pays entre eux, et ainsi perturber les communications Internet. Bernard Barbier, ancien directeur technique de la direction générale de la sécurité extérieure (DGSE) explique : “Ces câbles sont visibles, posés au fond de la mer. Ils ressemblent à de gros tuyaux d’arrosage, faciles à couper. On peut très bien avec un sous-marin aller à 5 000 m de profondeur et les couper. Si on en coupe un, il n’y a aucun effet , mais si vous en coupez cinq ou dix, il y a un gros ralentissement d’internet, et s’il n’y a plus ces câbles, le numérique va s’effondrer.”

Cette crainte relève pour l’instant d’un fantasme pour certains experts, mais elle repose sur un précédent : en 2015, un navire océanographique russe, le Yantar, s’est approché un peu trop près de câbles situés près de la côte est américaine. Les États-Unis le soupçonnent alors d’espionnage. Mais s’il est possible d’écouter un câble, il est aussi tout à fait possible de l’abîmer.

Leave a Reply

Your email address will not be published.