Après l’invasion de l’Ukraine,
les Russes sont-ils prêts à mener
une cyberguerre ?

De premières attaques post-invasion ont donné le ton

Depuis le déclenchement des hostilités en Ukraine, le 24 février 2022, c’est peu dire que cette agressivité connue des pirates russes inquiète au plus haut point. D’autant qu’ils n’ont cessé de cibler l’Ukraine depuis 2014, année des premières avancées russes dans la région du Donbass ukrainien. Des centrales électriques, des organismes gouvernementaux, des ministères en ont notamment fait les frais. 

La veille de l’assaut sur tout le pays (le 23 février 2022), les ministères de la Défense, de l’Intérieur, des Affaires étrangères, mais aussi des banques ukrainiennes et d’autres sites gérés par les autorités ont été inaccessibles quelques heures. 

Le 24 février, une heure seulement après le discours de Vladimir Poutine, président de la fédération de Russie, annonçant l’offensive en Ukraine, le réseau américain de satellites KA-SAT a été touché par une vaste panne. Cette panne, attribuée depuis à la Russie, a privé des centaines de milliers de clientes et de clients ukrainiens d’Internet. En France, une dizaine de milliers d’abonnés Internet via Nordnet – qui dépend de ce même réseau satellitaire – ont également été concernés. En Allemagne, 6 000 éoliennes ont été touchées, les rendant totalement incontrôlables…

L’événement a donné le ton et montré aux Occidentaux que le Kremlin ne se priverait sans doute pas de mener la cyberguerre. Quelques attaques en forme d’avertissement qui semblent indiquer que la Russie a engagé les grandes manœuvres dans le cyberespace. A fortiori en réponse aux importantes sanctions économiques entrées en vigueur depuis. 

Les États sur le qui-vive et de premières recommandations

Il n’aura fallu que quelques jours aux autorités françaises pour émettre de premières recommandations. Le 26 février 2022, l’ANSSI (Agence nationale de sécurité des systèmes d’information) publiait cinq principales actions à mener sans délai en direction des entreprises : 

• Renforcer l’authentification sur les systèmes d’information,
• Accroître la supervision de sécurité,
• Sauvegarder hors ligne les données et les applications critiques,
• Établir une liste priorisée des services numériques critiques de l’entité,
• S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque.

Le 2 mars 2022, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques indiquait sans ambiguïté qu’une « partie de l’écosystème cybercriminel russophone s’est positionné dans le conflit en cours, le groupe cybercriminel Conti apportant par exemple son soutien au gouvernement russe. D’autres groupes ont toutefois déclaré rester neutres, se focalisant uniquement sur des objectifs lucratifs ». 

Les antivirus de l’éditeur Kaspersky, entreprise fondée en 1997 à Moscou, sont d’ores et déjà dans le collimateur. « Dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie », indique encore le Centre de veille. À ce stade, il reste cependant déconseillé de se passer subitement de cet antivirus. Mais les entreprises sont vivement encouragées à revoir leur stratégie de protection à moyen terme. 

Le 5 mars, le secrétaire d’État au numérique, Cédric O, confirmait que « de nombreuses cyberattaques russes ont touché l’Ukraine et ses infrastructures. La France et l’ensemble des pays de l’Union européenne ont augmenté leur niveau d’alerte ». 

Une kyrielle d’entreprises, comme Engie et Airbus, ont indiqué avoir rehaussé leur niveau de sécurité. Tout comme de nombreuses banques et organisations européennes. La Banque centrale européenne a d’ailleurs averti les institutions financières du risque de cyberattaques consécutives aux sanctions économiques visant la Russie.

Aux États-Unis, la CISA (Cybersecurity and Infrastructure Security Agency) prend également la menace très au sérieux, et a récemment publié un avis intitulé « Shields Up ». L’agence rappelle que « au cours de la dernière décennie, le gouvernement russe a utilisé le vecteur cyber comme élément clé de sa réponse militaire ». Selon elle, la Russie serait prête à envisager des actions visant à perturber massivement services et activités bien au-delà de l’Ukraine.

Un nouveau virus effaceur dans l’arsenal russe

Et si les Russes disposaient d’une nouvelle arme sur le front cyber ? Des expertes et experts en cybersécurité alertent sur un nouveau virus, de fabrication russe, dit « wiper » (effaceur). 

Mis au jour en Ukraine depuis le début des hostilités, ce programme malveillant serait présent en France depuis la mi-février, et déjà détecté dans les systèmes de plusieurs organismes. Il s’agit d’un virus dormant, avec de nombreux variants qui le rendent difficile à détecter par des systèmes classiques de sécurité. Le principe d’un wiper est de tout écraser. Il supprime tout ce qui est présent sur le disque dur. L’objectif est clairement de paralyser les systèmes d’information en effaçant toutes les données.

Les analystes s’inquiètent également de véritables bombes à retardement, des virus, là aussi dormants, introduits il y a plusieurs mois, voire plusieurs années dans des systèmes informatiques. Passés inaperçus tout ce temps, ils pourraient être déclenchés « à la demande ». Des charges actives aux conséquences redoutables pour l’activité des organisations qui en seraient victimes. 

Les câbles sous-marins de télécommunication dans le viseur des Russes ?

Il en existe 420 sous toutes les mers du monde, soit 1,3 million de kilomètres. Ces câbles sous-marins, véritables autoroutes de fibres optiques, permettent de faire transiter 99 % du réseau mondial d’Internet et de téléphonie. Depuis plusieurs années, l’OTAN (Organisation du traité de l’Atlantique Nord) redoute que la Russie puisse un jour s’en prendre à ce réseau qui assure les communications entre les continents, et permet de nombreux échanges financiers et commerciaux. 

La menace est revenue sur le devant de la scène à l’aune de la guerre en Ukraine. D’autant que des navires russes ont à plusieurs reprises été repérés à proximité de certains hubs (nœuds stratégiques de télécommunication sous-marins), notamment le long des côtes françaises et irlandaises ces derniers mois, dont à la mi-février 2022. De quoi donner des sueurs froides au monde entier, qui voit là surgir le spectre d’un black-out total. Par exemple, on estime que 10 000 milliards de transactions financières quotidiennes transitent par ces autoroutes… On comprend aisément l’enjeu stratégique qu’elles représentent.

L’Union européenne tente de fourbir ses armes

Renforcer la sécurité du cyberespace communautaire. En prenant la présidence de l’Union européenne, le 1^er janvier 2022, la France en a fait l’une de ses priorités. À l’époque, les velléités russes en direction de l’Ukraine n’avaient pas encore pris forme sur le terrain. 

Mais l’institution européenne était déjà sur ses gardes, voyant l’ombre de puissances hostiles comme la Chine, la Corée du Nord et la… Russie possiblement derrière plusieurs incidents cyber récents ayant touché des organismes européens.