Alors que les troupes russes se massaient à la frontière le 14 janvier, des dizaines de sites Web du gouvernement ukrainien ont été dégradés avec les mots « ayez peur et attendez le pire ».
Le piratage coordonné a été considéré par les responsables ukrainiens et occidentaux de la cybersécurité comme un premier avertissement que la Russie mènerait une redoutable guerre numérique parallèlement à une invasion terrestre du pays. Peu de temps après, une série de cyberattaques majeures ont été détectées sur des groupes d’énergie et de communication, mais tout aussi rapidement repoussées.
Un mois après le début de la guerre du Kremlin, les responsables ukrainiens se sont rassurés sur le fait que les réseaux critiques ont résisté à des semaines de cyberattaques, mais comme l’a averti un responsable, les ressources plus vastes de la Russie signifiaient qu’elle pourrait épuiser progressivement la résistance en ligne. « Nos réseaux sont nos gens », a-t-il déclaré. « Et la Russie tue notre peuple. »
Ce récit de la première phase de la cyberguerre de la Russie contre l’Ukraine est basé sur des entretiens avec des responsables ukrainiens et occidentaux ayant une connaissance directe des événements, dont beaucoup n’ont pas été rapportés auparavant.
À peu près au même moment où les sites du gouvernement ukrainien ont été dégradés en janvier, Ukrenergo, la société de transport d’électricité appartenant au gouvernement, a observé une augmentation des tentatives de s’introduire dans ses réseaux. Les ingénieurs de l’entreprise étaient déjà en état d’alerte, chargés d’empêcher une répétition d’une cyberattaque de 2015 qui a vu des pirates russes couper l’électricité dans certaines parties de Kiev.
En février, le nombre de tentatives infructueuses était trois fois plus élevé qu’un an plus tôt, a déclaré Oleksander Kharchenko, conseiller au ministère de l’Énergie. Une tentative particulièrement audacieuse impliquait un employé local compromis qui tentait d’introduire un code malveillant dans les locaux de l’entreprise.
Le fonctionnement de près de 6 000 éoliennes appartenant à l’allemand Enercon a été affecté par une probable cyberattaque contre un système satellite quelques heures après le lancement de l’invasion russe © Benoit Tessier/Reuters
« Ils essayaient tout, essayant de pénétrer par notre site Web, essayant DDoS », a déclaré Kharchenko, décrivant un déni de service distribué, où des milliers d’ordinateurs envoient des requêtes simultanées afin de faire tomber les systèmes. « C’était 24h/24 et 7j/7. »
Moins d’une heure après que le président russe Vladimir Poutine a annoncé le 24 février à l’aube qu’il avait envoyé des troupes en Ukraine, des milliers de modems à travers l’Europe centrale ont perdu leur connexion à un satellite volant à 36 000 km au-dessus de la Terre.
Alors que les modems qui connectaient les clients du satellite américain ViaSat émettaient leurs avertissements, le perte soudaine de données cascade à travers l’Europe. Quelque 5 800 éoliennes appartenant à l’allemand Enercon sont passées en mode de secours car l’entreprise a perdu sa capacité à surveiller à distance leur fonctionnement. Des milliers de personnes en Italie, en Allemagne et en Pologne ont perdu leur connexion Internet. Viasat a reconnu un « cyber-événement » mais n’en a pas blâmé la Russie.
En Ukraine, cette perte soudaine de connexion de données a touché ses bases militaires dispersées, selon deux responsables ukrainiens. Mais alors que des dizaines de modems de qualité militaire ont soudainement cessé de fonctionner, les troupes sont rapidement passées à d’autres communications cryptées. « Il y a toujours des systèmes de secours », a déclaré l’une des personnes au courant de l’incident. « C’était au moment où la guerre commençait, mais les équipes étaient formées à cette situation, pour éviter à tout prix la catastrophe. »
Les réseaux de télécommunications et les réseaux énergétiques ukrainiens sont restés en grande partie résilients, certains, comme celui de Marioupol, ne s’effondrant qu’après qu’une pluie de missiles et de mortiers ait détruit les infrastructures physiques, a déclaré Victor Zhoraun haut fonctionnaire chargé de coordonner les cyberdéfense du pays avec les alliés occidentaux.
L’intensité des attaques, autres que sur les réseaux électriques, a baissé depuis le début des hostilités, a-t-il ajouté. « Nous avons maintenant des périodes plus calmes qu’avant, et cela pourrait s’expliquer par la concentration de notre adversaire sur la guerre conventionnelle sur les attaques contre les civils ukrainiens au lieu de l’infrastructure informatique. »
Les ingénieurs ukrainiens, en particulier ceux qui protègent les infrastructures civiles contre les cyberattaques, ont pu faire appel au soutien d’entreprises occidentales telles que Cisco, Microsoft et Google, qui défendent actuellement au moins 150 entreprises ukrainiennes.
Entrecoupées de celles-ci, il y a des cyber-attaques occasionnelles d’une intensité féroce. Le 24 février, à peu près au moment où les connexions par satellite ViaSat ont été interrompues, des attaques à l’échelle nationale ont également été menées par une centaine de pirates informatiques hautement qualifiés appartenant à près d’une douzaine de groupes ayant des liens avec la Russie et la Biélorussie, a déclaré Serhii Demadiuk, secrétaire adjoint de la Sécurité nationale. et du Conseil de la défense, et ancien chef de la cyberpolice ukrainienne.
« Les cyberattaques contre l’infrastructure informatique, qui ont précédé l’invasion physique et le bombardement des villes ukrainiennes, sont la cyberopération la plus complexe de l’histoire et sont l’un des premiers exemples de ce à quoi ressemble une véritable cyberguerre », a déclaré Demadiuk.
Dans un cas, a-t-il dit, une grande organisation de sécurité ukrainienne avec plus de 5 000 employés et 1 000 serveurs a évité une perte dévastatrice de toutes les données avec seulement 90 minutes à perdre en raison des avertissements d’un partenaire américain.
Ces attaques n’ont pas encore cessé. Une institution financière ciblée le premier jour de la guerre a vu le 14 mars une autre vague de logiciels malveillants dits d’effacement tenter d’effacer toutes ses données, ont déclaré des chercheurs de Symantec, parallèlement à une tentative d’effacement des données chez un important fournisseur informatique.
« Les Ukrainiens ont maintenant l’expertise qu’ils n’avaient peut-être pas en 2015 », a déclaré Matt Olney, qui dirige un groupe de renseignements sur les menaces au sein de Cisco. « Ils ont appris les leçons des cinq, six dernières années. »
Olney a aidé à étudier l’attaque russe originale en 2015 qui a détruit des parties du réseau énergétique ukrainien, et un logiciel malveillant de 2017, surnommé NotPetya, qui a effectivement supprimé de grandes parties des systèmes informatiques. Cisco compte environ 500 personnes travaillant pour aider les clients à répondre aux attaques.
« [The Ukrainians] construit les processus, les choses ennuyeuses, les playbooks », a déclaré Olney. «Les choses qui sont tout simplement odieuses à faire en temps de paix. Maintenant que nous sommes dans cette situation critique, ils portent tous leurs fruits. »
Dans un cas, le bombardement a obligé les ingénieurs à transporter physiquement les serveurs dans une autre ville et à les remettre en ligne – une tâche laborieuse et complexe même en temps normal – pour maintenir les systèmes en fonctionnement, a-t-il déclaré.
Les responsables américains ont suggéré qu’une partie de la résilience surprenante de l’Ukraine sur le champ de bataille cybernétique est due au fait que la Russie n’a pas pleinement libéré son potentiel d’attaques dévastatrices.
« Pourquoi n’avons-nous pas vu la vraie équipe A? » a déclaré le sénateur américain Mark Warner lors d’une conférence la semaine dernière. « Je suis toujours relativement étonné qu’ils n’aient pas vraiment lancé le niveau de malveillance que leur cyber-arsenal inclut. »
D’autres, dont Olney de Cisco, ont suggéré que la Russie utilisait son cyber-arsenal pour un espionnage plus traditionnel, comme le piratage des réseaux occidentaux pour garder une longueur d’avance sur les sanctions ou surveiller les mouvements de troupes.
On craint également de plus en plus que Moscou ne s’en prenne encore à un plus large éventail de cibles. Joe Biden, le président américain, a averti mardi les entreprises américaines de renforcer leurs cyber-barricades dans l’attente d’une cyber-attaque russe.
« L’ampleur de la cyber-capacité russe est assez conséquente », a déclaré Biden. « Et ça vient. »