Officiellement, ni l’Otan ni les États membres de l’Union européenne n’interviennent militairement en Ukraine contre les Russes parce que le pays n’est membre d’aucune de ces deux alliances. Mais la situation pourrait changer, s’inquiètent des analystes de l’organisation transatlantique: les cyberattaques attribuées aux hackers russes – aux hackers d’État russes – pourraient avoir des impacts en dehors de l’Ukraine et sur le territoire de l’UE.
Les textes qui «encadrent» la guerre ont été laissés volontairement flous sur la question de la cyberguerre, mais combien d’opinions publiques accepteront que les patients d’un hôpital en Pologne ou en Italie meurent parce qu’un «ver» informatique vient effacer les données médicales sensibles ou interrompt le fonctionnement de ses installations alors que le serveur en question a été infecté depuis l’Ukraine?
Ce n’est pas de la science-fiction: en 2015 et 2016, des hackers présumés proches du Kremlin avaient par exemple interrompu le fonctionnement d’installations électriques en Ukraine avec , qui a valu .
Le premier niveau d’attaque, les attaques par déni de services (DDoS), rend des sites inutilisables. La semaine dernière, environ 70 sites gouvernementaux ukrainiens ont été rendus indisponibles pendant quelques heures, leur homepage affichant un message qui invitait les Ukrainiens à se préparer au pire.
En neuf mois, selon le service de sécurité ukrainien, 1.200 incidents avaient déjà été détectés l’an dernier.
10 milliards de dollars pour NotPetya
Mercredi, Eset et Symantec, deux sociétés spécialisées, ont découvert un «wiper», logiciel malveillant chargé d’effacer les données sur un site internet. HermeticWiper semblait déjà être en place depuis le 28 décembre, selon Incert, qui relaie les avertissements de sécurité. À la mi-janvier, l’Ukraine avait déjà été touchée par un autre wiper, WhisperGate, qui se faisait passer pour un ransomware ressemblant à NotPetya.
Ce dernier, connu depuis 2017, a coûté plus de 10 milliards de dollars à l’économie mondiale en étant disséminé depuis la Russie vers l’Ukraine, puis vers des centaines de sociétés en Europe et dans le monde. Dans la liste des cibles connues, on retrouve Mars ou Nivea (Allemagne), Maersk (Danemark), Lu, Saint-Gobain, Auchan ou SNCF (France), TNT Express, filiale de l’américaine FedEx, ou encore Merck (États-Unis).
Les recommandations de l’Incert
La semaine dernière, quatre agences – la NCSC britannique, le Cisa, la NSA et le FBI américains – ont alerté sur un autre logiciel malveillant, Cyclops Blink. Le successeur de Sandworm semble déployé depuis 2019 auprès du firewall de WatchGuard, sans que soit détaillé son mode d’action une fois qu’il a récupéré les logins et les mots de passe de ceux qui l’utilisent, plutôt dans un contexte professionnel, disent les experts.
Dans son avertissement, Incert invite à suivre pour ceux qui pensent être victimes de Cyclops Blink, ainsi que pour réinitialiser les mots de passe dans une organisation. Pour ceux qui seraient touchés par HermeticWiper – du nom d’une société chypriote impliquée dans le logiciel –, Incert renvoie vers .
L’agence luxembourgeoise rappelle aussi une série de principes de base pour une «cyber hygiene», qui vont de l’utilisation d’une identification à plusieurs facteurs à la mise à jour des logiciels aussi vite que possible, en passant par le signalement de tout comportement inhabituel du réseau ou encore de tester sa capacité à restaurer des données au plus vite en cas de souci.
Attaquée, l’Estonie choisit le Luxembourg
Face aux menaces, le vice-président ukrainien, Mykhailo Fedorov, a annoncé la création d’une armée digitale pour se battre contre les hackers russes et une douzaine d’experts européens de six pays (Lituanie, Croatie, Pologne, Estonie, Roumanie et Pays-Bas) forment une cyberforce de frappe européenne, la «cyber rapid-response team» (CRRT).
La Russie a une fois de plus nié toute implication dans ces actes de cyberguerre, jugeant que les accusations étaient motivées par des considérations russophobes.
Et les Russes ne seraient pas les premiers à aller sur ce terrain. Américains et Israéliens ont utilisé un logiciel de ce type, Stuxnet, pour ralentir le programme d’enrichissement du nucléaire iranien à la fin des années 2000. Plus de 1.000 des 5.000 centrifugeuses auraient été rendues inutilisables grâce à ce malware.
C’est d’ailleurs à la même période, en 2009, que l’Estonie a été frappée par des attaques venues de Russie, lors de la «Web War One», une autre manifestation de la volonté de Poutine de remettre la main sur les anciennes républiques soviétiques qui avaient pris le large en 1991. L’Estonie, qui avait demandé à l’Otan de recourir à l’article 5 de ses statuts, qui prévoit que tous les autres membres de l’Otan agissent solidairement avec un membre attaqué, a finalement opté pour une solution «pragmatique»: l’ouverture d’une e-ambassade au Luxembourg. Considéré comme un territoire estonien, le centre de données abrite une copie de toutes les données sensibles du pays en cas de souci.
Petite victoire, ce lundi matin, un hacker ukrainien du très redouté et très efficace groupe russe Conti a publié 350.000 messages des hackers russes, furieux que ces derniers aient déclaré un soutien inconditionnel au président russe. … Le gang de 341 pirates détient 13 millions de dollars en bitcoins sur 200 adresses différentes. Dès le leak connu, ils ont annoncé redevenir neutres. Une déclaration de circonstance ou sincère, mystère.