La guerre en Ukraine peut à première vue se dérouler à l’ancienne avec des chars et des missiles, mais à l’abri des regards, une bataille très différente se déroule. Bienvenue sur le front cybernétique.
Alors que les chars entraient dans leur pays, des milliers d’Ukrainiens ont reçu un message dans leur boîte de réception. Le courriel était bref, avec une date et un court texte. La date était le jour de l’attaque russe, le 24/02/02. En dessous : « Période travaillée du 01.02.2022 au 24.02.2022 », comme s’il s’agissait d’un paiement de salaire. Attaché était un fichier zip.
On ne sait pas combien d’Ukrainiens ont cliqué dessus. Quoi qu’il en soit, l’Organisation ukrainienne pour la sécurité spéciale des communications et de l’information (SSSCIP) a été contrainte d’émettre un avertissement : « N’ouvrez jamais le contenu de ces lettres et messages ! Selon l’agence, l’e-mail était un message de « l’ennemi » pour « recueillir des renseignements »: infecter les appareils mobiles et les ordinateurs portables pourrait enregistrer le comportement des citoyens. Les soldats et leurs familles sont également attaqués en masse sur leurs appareils, selon le service. Les organisations qui veillent à la sécurité numérique ont été paralysées.
Depuis plus de huit ans, l’Ukraine est entraînée dans une guerre numérique avec la Russie. Cette bataille s’est intensifiée autour et pendant l’invasion russe de cette semaine, selon des rapports de sociétés de sécurité et des rapports de renseignement. Les pirates tentent de perturber l’Ukraine de diverses manières, notamment par le biais de vastes campagnes de phishing.
Plusieurs groupes russes le font depuis un certain temps. Par exemple, Gamaredon, qui est lié au service de sécurité interne FSB. La société informatique américaine Sentinel a montré en 2020 que Gamaredon avait bombardé plus de 5 000 cibles en Ukraine, principalement dans des endroits où l’armée ukrainienne est également stationnée.
Logiciels malveillants destructeurs
À la mi-janvier, les sites Web ukrainiens étaient jonchés de textes menaçants. En polonais, en ukrainien et en russe, on disait que les données personnelles des citoyens ukrainiens avaient été volées et qu’ils devaient « se préparer au pire ». Dans le même temps, des organisations ukrainiennes ont été ciblées par une attaque malveillante destructrice. Les documents ont été effacés et le système d’exploitation a été détruit.
Aussi juste avant l’invasion, l’Ukraine a été touchée numériquement pour la première fois. Les pirates informatiques russes ont fait tomber le secteur financier et les ministères ukrainiens par le biais de ce qu’on appelle des attaques DDoS. De plus, une telle quantité de trafic Internet est envoyée à certains serveurs qu’ils deviennent surchargés. Selon les services de renseignement britanniques, il s’agissait « presque certainement » de pirates informatiques du service de sécurité militaire russe GRU. Les Britanniques semblaient avoir une bonne vision des serveurs utilisés par les hackers russes, qui étaient principalement situés dans les pays occidentaux.
La veille de l’attaque, les ministères ukrainiens ont été touchés par des attaques DDoS. Et quelques heures avant que le président russe Poutine n’annonce l’invasion, un nouveau logiciel malveillant destructeur a été lancé. Ce malware, appelé HermeticWiper, cible les fournisseurs des institutions financières et du gouvernement, explique Dave Maasland, directeur de la société de sécurité Eset aux Pays-Bas.
« Dans un certain nombre de cas, nous l’avons également vu déployé de manière centralisée via l’annuaire actif. » L’annuaire actif permet aux administrateurs d’un réseau de gérer les droits et les paramètres d’un réseau. C’est une indication que les pirates ont déjà été à l’intérieur et ont attendu le bon moment pour frapper. L’américain Symantec a trouvé des traces dans le malware qui remontent à décembre 2021.
Les services de sécurité américains et britanniques avertissent que des hackers russes ont également déployé une autre arme numérique depuis le raid : Cyclops Blink. Il s’agit d’un logiciel malveillant non ciblé qui est distribué dans l’espoir de faire le plus de victimes possible. Cyclops Blink infecte les appareils qui sécurisent les réseaux et vole les mots de passe.
« Aidez-nous, hackers »
La question est de savoir si l’Ukraine peut se défendre contre cette violence numérique. Les sites Web du gouvernement sont peu ou pas accessibles. La communication passe par Telegram et Facebook. Victor Zohra, expert numérique au SSSCIP, déclare sur Facebook qu’il fournira des preuves de l’inconduite russe dans le cyberespace. Le gouvernement ukrainien appelle depuis jeudi tous les hackers à défendre le pays et à espionner les soldats russes. « Il est temps d’aider à la cyberdéfense de notre pays », lit-on dans une requête sur les forums de hackers, rapporte Reuters.
« La situation est difficile », a déclaré Bogdan Dolintse d’Ukraine. Il travaille comme gestionnaire sur un projet TIC pour le gouvernement ukrainien. Il a fui Kiev. « Des attaques numériques se produisent régulièrement ces dernières semaines », dit-il. Mais ce sont les missiles et les canons qui tuent et sèment le chaos. L’invasion de la Russie a changé les priorités. « Désolé, mais je suis occupé par d’autres choses », déclare le directeur d’une société de sécurité numérique à Kiev qui assiste normalement les entreprises et le gouvernement. La cyberpolice ukrainienne envoie également de moins en moins d’informations sur les attaques de piratage sur sa chaîne Telegram. Aux dernières nouvelles : qui peut proposer un logement à ses concitoyens ayant fui les violences ?