Les pirates informatiques russes semblent avoir accès au système de la plus grande société de télécommunications ukrainienne Kyivstar depuis des mois, avant que tous les services du fournisseur ne soient paralysés par une cyberattaque le mois dernier. L’Ukraine prévient que cela pourrait également arriver à l’Occident, avec des conséquences potentiellement désastreuses.
Pas de couverture mobile, pas d’accès internet, des lampadaires éteints, des distributeurs automatiques qui ne distribuaient plus d’argent, voire les sirènes des raids aériens qui ne fonctionnaient plus à certains endroits. L’opération de piratage informatique à grande échelle qui a frappé Kyivstar dans la matinée du 12 décembre a eu un immense impact sur la société ukrainienne. L’entreprise de télécommunications est la plus grande du pays, avec 24 millions de clients, elle dessert plus de la moitié de tous les Ukrainiens. Comme de nombreux clients se sont rapidement tournés vers les deux autres fournisseurs ukrainiens, ils ont également dû faire face à une surcharge. Ce n’est qu’après quelques jours que la plupart des services ont pu être rétablis.
Les recherches menées par les services de renseignement ukrainiens SBOe montrent désormais que les hackers russes tenus pour responsables de l’attaque étaient présents dans les systèmes de Kyivstar depuis mai dernier. Le chef du département de cybersécurité du service, Ilya Vitjoek, l’a déclaré dans une interview à l’agence de presse Reuters. Le département de Vityuk est venu en aide à Kyivstar immédiatement après l’attaque pour fermer les brèches et empêcher de nouvelles tentatives d’attaque.
Accès complet en novembre
Des tentatives d’intrusion dans les systèmes de Kyivstar auraient eu lieu dès le mois de mars, voire peut-être même avant. Les tentatives ultérieures en mai ont été plus fructueuses et les pirates ont probablement eu un accès complet aux systèmes de Kyivstar depuis novembre. Ils ont ensuite lancé leur attaque à grande échelle et bien préparée début décembre.
Selon Vitjoek, ce piratage est probablement le premier exemple au monde d’une cyberattaque « désastreuse » qui pourrait « détruire complètement le cœur d’une entreprise de télécommunications ». En outre, l’attaque allait au-delà de la simple paralysie du trafic téléphonique et Internet et visait probablement également à effacer complètement les systèmes informatiques ukrainiens et à les rendre inutilisables. « Presque tout » a été effacé, y compris des milliers d’ordinateurs et de serveurs virtuels. De nombreux utilisateurs ont dû éteindre physiquement leurs appareils pour éviter d’autres dommages causés par le piratage.
Néanmoins, les pirates ont réussi à voler des informations personnelles sur les clients de Kyivstar – à la fois privés et institutionnels, à suivre la localisation des téléphones et à intercepter des messages texte. Selon Vitjoek, les hackers russes voulaient également porter un coup psychologique et faire comprendre aux Ukrainiens qu’ils peuvent à tout moment être capturés à distance par leur voisin russe. Plus de 1,1 million de clients Kyivstar vivent dans des petites villes et villages où aucun autre fournisseur n’est disponible.
Intangible
« Cette attaque envoie un message clair, non seulement à l’Ukraine, mais à l’Occident tout entier, à savoir que personne n’est intouchable », a déclaré Vitjuk. Kyivstar est le plus grand fournisseur d’Ukraine et une riche entreprise privée qui a investi massivement dans la cybersécurité ces dernières années à la lumière des précédentes cyberattaques russes.
Le fournisseur affirme n’avoir aucune preuve d’une fuite de données. L’armée n’aurait pas non plus été affectée par l’attaque car elle travaille avec ses propres systèmes militaires et mieux sécurisés. Les dizaines de milliers de drones présents sur le champ de bataille dépendent entre autres entièrement des réseaux mobiles de l’armée. Chaque jour, les parties russe et ukrainienne tentent par tous les moyens de perturber les systèmes ennemis grâce à la guerre électronique.
On ne sait pas encore exactement qui est derrière cette attaque. Deux collectifs de hackers russes ont revendiqué l’effraction, celui de « Solntsepyuk » étant particulièrement considéré comme crédible. Solntsepyuk entretient des liens étroits avec le collectif Sandworm, plus connu et mondialement tristement célèbre, qui relève probablement des auspices du service de renseignement militaire russe GRU.
Sandworm est considéré comme responsable de nombreuses cyberattaques en Ukraine et ailleurs ces dernières années. Il y a un an, le collectif a également réussi à pénétrer un opérateur de télécommunications ukrainien, explique Vitjoek, mais cette tentative a été remarquée à l’époque car le SBOe lui-même avait infiltré les systèmes russes. Il n’est pas clair si cette attaque visait également Kyivstar. Au total, le SBOe a réussi à repousser plus de 4 500 cyberattaques majeures contre les institutions gouvernementales ukrainiennes et les infrastructures critiques l’année dernière.
Les pirates ont peut-être trouvé une ouverture dans les systèmes grâce au compte compromis d’un employé de Kyivstar, après quoi ils ont pu installer des logiciels malveillants pour voler des mots de passe et s’accorder progressivement un accès de plus en plus grand. Cependant, l’existence d’une taupe au sein de l’entreprise n’est pas non plus exclue, puisque le message Telegram de Solntsepyuk revendiquant la responsabilité de l’attaque exprime sa gratitude envers les « collègues concernés » de Kyivstar, indiquant peut-être que quelqu’un a délibérément créé une faille de sécurité.