Il est certain que la Russie mobilise actuellement des moyens importants pour mener des cyberattaques contre l’Ukraine. Dotée d’excellents spécialistes, aidée par des groupes de pirates qu’elle protège, la Russie fait tout ce qu’elle peut pour paralyser et désorganiser sa cible. La semaine passée, des chercheurs des entreprises de cybersécurité Symantec et ESET ont détecté une attaque via un logiciel malveillant de type wiper. Contrairement au ransomware (ou rançongiciel), qui chiffre les données avant de les exporter, ce wiper supprime toutes les données des ordinateurs qu’il infecte. Entreprises proches du gouvernement ukrainien et banques ont été ciblées. Mais pas seulement elles: ce wiper, baptisé HermeticWiper, a aussi fait des dégâts en Lettonie et en Lituanie.
Mi-janvier, les sites de plusieurs ministères ukrainiens, dont ceux des Affaires étrangères et des Situations d’urgence, étaient tombés après des attaques, elles aussi imputées à la Russie. Un mois plus tard, une autre attaque DDoS frappait plusieurs banques en Ukraine, ainsi que les sites de l’armée et du Ministère de la défense. Entre ces deux événements, Le Temps avait constaté que des millions d’Ukrainiens avaient vu leurs documents d’identité mis en ligne après une cyberattaque.
Microsoft avait rapidement alerté directement l’Ukraine. «Quelques heures avant le lancement des missiles le 24 février, nous avons une nouvelle série de cyberattaques offensives et destructrices dirigées contre l’infrastructure numérique de l’Ukraine», expliquait récemment Brad Smith, président de Microsoft, assurant avoir fourni «des renseignements sur les cybermenaces et des suggestions de défense aux responsables ukrainiens».
Mais la Russie n’est semble-t-il pour l’heure pas parvenue à mener des cyberattaques, avec succès, contre des infrastructures critiques en Ukraine. Elle serait par contre capable d’analyser tout ou partie du trafic internet ukrainien…
2. Y a-t-il des représailles?
Oui. Mais elles semblent très limitées. Mykhailo Fedorov, chargé du numérique pour le gouvernement ukrainien, a mobilisé des dizaines de milliers de membres d’un groupe sur la messagerie Telegram pour mener des attaques contre les intérêts russes. Il y a eu des résultats, comme l’indisponibilité temporaire de certains sites web russes dans le domaine des médias et de l’énergie. Ces attaques, dites «par déni de service», consistaient à faire tomber ces sites grâce à de très nombreuses requêtes. Certains sites officiels russes ont aussi affiché temporairement des messages pro-ukrainiens. Mais il s’agissait apparemment d’opérations qui n’ont duré que quelques minutes. Idem pour les actions de hackers agissant sous la bannière Anonymous.
Plusieurs cyberattaques ont aussi été signalées contre des infrastructures de transport en Biélorussie, afin de freiner l’acheminement des troupes russes en Ukraine. Mais il n’a pas été possible d’en mesurer les effets.
3. Ces événements ont-ils des conséquences ailleurs?
C’est une certitude. Un exemple: l’un des plus gros fournisseurs d’accès à internet par satellite, l’américain Viasat, a subi une cyberattaque le jour même du début de l’invasion de l’Ukraine. Il semblerait que c’est en attaquant une infrastructure de Viasat basée en Ukraine que les pirates ont réussi à infecter l’entreprise. De nombreux clients de Viasat, notamment en France, ont depuis perdu leur connexion à internet.
Au Japon, des doutes entourent la paralysie qui a frappé quelques heures Toyota, dont un fournisseur, Kojima Industries, a été frappé par une cyberattaque. Ce n’est sans doute que le début, avertissent les experts. A plusieurs reprises ces derniers jours, les Etats-Unis et la France ont averti les exploitants d’infrastructures critiques de mieux les protéger.
4. Que se passe-t-il autour du groupe de pirates Conti?
Deux choses importantes. D’abord, le groupe a affirmé, dans un communiqué, vouloir menacer «le camp occidental de représailles sur des infrastructures critiques», avant de se rétracter pour affirmer sa neutralité. Mais Conti est à l’origine de plusieurs attaques d’envergure et semble disposer de gros moyens – il est peut-être d’ailleurs directement téléguidé par le Kremlin.
En parallèle, un membre dissident de Conti, peut-être ukrainien, a dévoilé une somme colossale de données internes au groupe: des discussions, des adresses bitcoin, des informations sur les négociations entre les victimes de demandes de rançon et les pirates, ainsi que des données personnelles. La mise à nu de ces données pourrait faire courir un nouveau risque aux victimes du groupe de pirates.
5. Que risque la Suisse?
Pour l’heure, aucune attaque directement liée au conflit actuel n’a été signalée. Selon les experts, la Suisse ne court pas davantage de risques qu’un autre pays occidental. Mais ces risques ont sensiblement augmenté. D’abord parce que les pirates russes pourraient rapidement se déchaîner contre des pays participant aux sanctions contre Moscou. Ensuite parce que les cyberattaques ne peuvent jamais être totalement ciblées: une attaque contre des intérêts américains pourrait affecter, par ricochet, des intérêts suisses. «Dans la situation de crise actuelle, il s’agit que la Suisse se protège contre les cyberattaques», a alerté dimanche la ministre de la Défense Viola Amherd. Dans la foulée, le Conseil des Etats a approuvé, cette semaine, l’augmentation de 206 à 575 les effectifs de l’armée dans le domaine de la cyberdéfense. Mais ces spécialistes devront protéger d’abord l’armée et les infrastructures critiques, pas les entreprises et les citoyens.
–-
Lire aussi: Les données de millions d’Ukrainiens sont en vente sur le darknet