Depuis l’invasion de l’Ukraine par les troupes russes, le 24 février dernier, le monde entier s’inquiète d’une autre menace collatérale : celle de possibles cyberattaques massives commanditées par le Kremlin. Les hackers russes sont depuis longtemps réputés pour leurs capacités de nuisance, au point que de nombreux pays, dont la France, rehaussent leurs niveaux de vigilance et émettent des recommandations. Explications. 

Les hackers russes à l’œuvre depuis de nombreuses années

L’exceptionnelle capacité de nuisance des hackers russes, qu’ils soient d’ailleurs directement mandatés par le Kremlin ou seulement actifs à des fins lucratives, est connue de longue date par les pays occidentaux. Le pouvoir russe est, par exemple, montré du doigt après de vastes opérations de déstabilisation numérique des élections américaines de 2016, puis des élections européennes de 2019. 

La liste s’est dangereusement allongée ces deux dernières années… En 2020, le groupe de pirates russes Nobelium est accusé d’être à l’origine de l’attaque retentissante de l’éditeur de logiciels SolarWinds, occasionnant des dégâts pour 18 000 clients et une centaine de grandes sociétés américaines. La Maison-Blanche y a toujours vu la signature du Kremlin. 

Washington a également accusé des groupes de cybercriminels russes, proches du gouvernement, d’être derrière de vastes attaques au rançongiciel, comme celle contre le réseau d’oléoducs de produits raffinés Colonial Pipeline ; ou les filiales australiennes, canadiennes et américaines du géant brésilien de la viande JBS, en mai 2021.

La « Cybersecurity and Infrastructure Security Agency », l’agence fédérale américaine en charge de la sécurité cyber du pays, estime que les hackers russes ont régulièrement ciblé, depuis 2020, des entreprises américaines disposant d’habilitation secret-défense.

Quant à Google, il a prévenu en octobre 2021 que sa messagerie Gmail était victime d’un nombre d’attaques anormalement élevé. Le géant de la Silicon Valley estimait alors que 86 % de ces attaques proviendraient d’APT28, ou « Fancy Bear », un groupe de hackers qui entretiendrait des liens étroits avec les services de renseignements de l’armée russe.

Nobelium (encore lui) a de nouveau été incriminé par Microsoft en novembre 2021. Il aurait mené une vaste offensive contre des organisations européennes et américaines faisant partie intégrante de la chaîne mondiale d’approvisionnement du secteur informatique. Le gouvernement russe est accusé de soutenir les pirates, ce qu’il dément.

De premières attaques post-invasion ont donné le ton

Depuis le déclenchement des hostilités en Ukraine, le 24 février 2022, c’est peu dire que cette agressivité connue des pirates russes inquiète au plus haut point. D’autant qu’ils n’ont cessé de cibler l’Ukraine depuis 2014, année des premières avancées russes dans la région du Donbass ukrainien. Des centrales électriques, des organismes gouvernementaux, des ministères en ont notamment fait les frais. 

La veille de l’assaut sur tout le pays (le 23 février 2022), les ministères de la Défense, de l’Intérieur, des Affaires étrangères, mais aussi des banques ukrainiennes et d’autres sites gérés par les autorités ont été inaccessibles quelques heures. 

Le 24 février, une heure seulement après le discours de Vladimir Poutine, président de la fédération de Russie, annonçant l’offensive en Ukraine, le réseau américain de satellites KA-SAT a été touché par une vaste panne. Cette panne, attribuée depuis à la Russie, a privé des centaines de milliers de clientes et de clients ukrainiens d’Internet. En France, une dizaine de milliers d’abonnés Internet via Nordnet – qui dépend de ce même réseau satellitaire – ont également été concernés. En Allemagne, 6 000 éoliennes ont été touchées, les rendant totalement incontrôlables…

L’événement a donné le ton et montré aux Occidentaux que le Kremlin ne se priverait sans doute pas de mener la cyberguerre. Quelques attaques en forme d’avertissement qui semblent indiquer que la Russie a engagé les grandes manœuvres dans le cyberespace. A fortiori en réponse aux importantes sanctions économiques entrées en vigueur depuis. 

Les États sur le qui-vive et de premières recommandations

Il n’aura fallu que quelques jours aux autorités françaises pour émettre de premières recommandations. Le 26 février 2022, l’ANSSI (Agence nationale de sécurité des systèmes d’information) publiait cinq principales actions à mener sans délai en direction des entreprises : 

  • Renforcer l’authentification sur les systèmes d’information,
  • Accroître la supervision de sécurité,
  • Sauvegarder hors ligne les données et les applications critiques,
  • Établir une liste priorisée des services numériques critiques de l’entité,
  • S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque.

Le 2 mars 2022, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques indiquait sans ambiguïté qu’une « partie de l’écosystème cybercriminel russophone s’est positionné dans le conflit en cours, le groupe cybercriminel Conti apportant par exemple son soutien au gouvernement russe. D’autres groupes ont toutefois déclaré rester neutres, se focalisant uniquement sur des objectifs lucratifs ». 

Les antivirus de l’éditeur Kaspersky, entreprise fondée en 1997 à Moscou, sont d’ores et déjà dans le collimateur. « Dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie », indique encore le Centre de veille. À ce stade, il reste cependant déconseillé de se passer subitement de cet antivirus. Mais les entreprises sont vivement encouragées à revoir leur stratégie de protection à moyen terme. 

Le 5 mars, le secrétaire d’État au numérique, Cédric O, confirmait que « de nombreuses cyberattaques russes ont touché l’Ukraine et ses infrastructures. La France et l’ensemble des pays de l’Union européenne ont augmenté leur niveau d’alerte »

Une kyrielle d’entreprises, comme Engie et Airbus, ont indiqué avoir rehaussé leur niveau de sécurité. Tout comme de nombreuses banques et organisations européennes. La Banque centrale européenne a d’ailleurs averti les institutions financières du risque de cyberattaques consécutives aux sanctions économiques visant la Russie.

Aux États-Unis, la CISA (Cybersecurity and Infrastructure Security Agency) prend également la menace très au sérieux, et a récemment publié un avis intitulé « Shields Up ». L’agence rappelle que « au cours de la dernière décennie, le gouvernement russe a utilisé le vecteur cyber comme élément clé de sa réponse militaire ». Selon elle, la Russie serait prête à envisager des actions visant à perturber massivement services et activités bien au-delà de l’Ukraine.

Un nouveau virus effaceur dans l’arsenal russe

Et si les Russes disposaient d’une nouvelle arme sur le front cyber ? Des expertes et experts en cybersécurité alertent sur un nouveau virus, de fabrication russe, dit « wiper » (effaceur). 

Mis au jour en Ukraine depuis le début des hostilités, ce programme malveillant serait présent en France depuis la mi-février, et déjà détecté dans les systèmes de plusieurs organismes. Il s’agit d’un virus dormant, avec de nombreux variants qui le rendent difficile à détecter par des systèmes classiques de sécurité. Le principe d’un wiper est de tout écraser. Il supprime tout ce qui est présent sur le disque dur. L’objectif est clairement de paralyser les systèmes d’information en effaçant toutes les données.

Les analystes s’inquiètent également de véritables bombes à retardement, des virus, là aussi dormants, introduits il y a plusieurs mois, voire plusieurs années dans des systèmes informatiques. Passés inaperçus tout ce temps, ils pourraient être déclenchés « à la demande ». Des charges actives aux conséquences redoutables pour l’activité des organisations qui en seraient victimes. 

Les câbles sous-marins de télécommunication dans le viseur des Russes ?

Il en existe 420 sous toutes les mers du monde, soit 1,3 million de kilomètres. Ces câbles sous-marins, véritables autoroutes de fibres optiques, permettent de faire transiter 99 % du réseau mondial d’Internet et de téléphonie. Depuis plusieurs années, l’OTAN (Organisation du traité de l’Atlantique Nord) redoute que la Russie puisse un jour s’en prendre à ce réseau qui assure les communications entre les continents, et permet de nombreux échanges financiers et commerciaux. 

La menace est revenue sur le devant de la scène à l’aune de la guerre en Ukraine. D’autant que des navires russes ont à plusieurs reprises été repérés à proximité de certains hubs (nœuds stratégiques de télécommunication sous-marins), notamment le long des côtes françaises et irlandaises ces derniers mois, dont à la mi-février 2022. De quoi donner des sueurs froides au monde entier, qui voit là surgir le spectre d’un black-out total. Par exemple, on estime que 10 000 milliards de transactions financières quotidiennes transitent par ces autoroutes… On comprend aisément l’enjeu stratégique qu’elles représentent.

L’Union européenne tente de fourbir ses armes

Renforcer la sécurité du cyberespace communautaire. En prenant la présidence de l’Union européenne, le 1er janvier 2022, la France en a fait l’une de ses priorités. À l’époque, les velléités russes en direction de l’Ukraine n’avaient pas encore pris forme sur le terrain. 

Mais l’institution européenne était déjà sur ses gardes, voyant l’ombre de puissances hostiles comme la Chine, la Corée du Nord et la… Russie possiblement derrière plusieurs incidents cyber récents ayant touché des organismes européens. 

La crise actuelle confirme aux États membres tout l’enjeu de déployer rapidement l’Unité conjointe de cybersécurité créée en juin 2021, mais devant être totalement opérationnelle à la date du 30 juin 2022. Le but serait d’adopter des réactions de pointe coordonnées, et de faciliter l’échange d’informations, pour mieux réagir collectivement à des attaques massives. 

Autre dossier au programme des 27 pour 2022 : la révision de la directive Sécurité des réseaux et de l’information (SRI), avec, notamment, l’objectif de renforcer encore les niveaux d’exigence de chaque État en matière de cybersécurité. Ceci, afin que tout l’espace communautaire dispose d’une infrastructure de cybersécurité d’un même niveau de fiabilité. 

Nul doute que la crise actuelle apporte de nouveaux arguments pour accélérer ces chantiers.

Au cours de la dernière décennie, le gouvernement russe a utilisé le vecteur cyber comme élément clé de sa réponse militaire

La CISA, Cybersecurity and Infrastructure Security Agency, agence fédérale de sécurité cyber des États-Unis

Lire aussi

Cybersécurité : quel est le niveau
des entreprises françaises ?

Technologie & Systèmes
10 mai 2022

Le constat du cabinet Wavestone, acteur majeur du conseil en France, est sans appel : les entreprises françaises ont progressé dans leur préparation au risque cyber, mais l’effort global reste insuffisant. En mars 2022, le spécialiste de la transformation des organisations publie un baromètre évaluant les entreprises françaises face aux…

« Si l’humain continue de constituer une faille,
il y aura toujours un trou dans la raquette
en matière de cybersécurité »

image de plusieurs cadenas digital
Technologie & Systèmes
26 avril 2022

Pour Aurélie Luttrin, qui accompagne entreprises et collectivités dans la sécurisation de leur transformation digitale, l’humain doit plus que jamais être placé au cœur des stratégies de cybersécurité. À condition de rectifier certains travers, et de développer des compétences indispensables. Interview. En septembre 2021, vous avez signé une tribune titrée…

Cybersécurité : qu’est-ce que le Campus Cyber ?

Technologie & Systèmes
19 avril 2022

Inauguré le mardi 15 février 2022, le tout nouveau Campus Cyber a élu domicile aux portes de Paris, et plus précisément dans la tour Eria à La Défense. Dessinée par l’architecte Christian de Portzamparc, cette immense tour de 13 étages peut se vanter de réunir tous les acteurs de la…