A quoi un cyber-conflit ressemble-t-il, et des territoires européens y sont-ils impliqués? Voilà une question qui tient en haleine les experts en sécurité depuis assez longtemps déjà, mais leurs réponses sont aussi évasives que certaines vulnérabilités ‘zero day’.
Nous voici arrivés au siège central de WithSecure à Helsinki pour parler de la nouvelle stratégie de l’entreprise récemment scindée. Pour les connaisseurs, WithSecure est le produit d’une division (demerger) partielle. L’acteur en sécurité finnois F-secure s’est en effet scindé en une branche à la consommation, encore et toujours appelée F-Secure, et en une nouvelle entreprise de consultance pour entreprises, WithSecure.
Mais l’actualité est ce qu’elle est et dans la capitale finlandaise pas très éloignée de la frontière russe, on la ressent un peu plus nettement encore qu’ailleurs. ‘Nous voulons développer, puis maintenir la confiance dans une société numérique’, déclare Juhani Hintikka, CEO de WithSecure. ‘C’est important dans le paysage actuel.’ En tant que pays, la Finlande prépare sa défense depuis des années, apprend-on, et ce, tant dans le monde réel que dans le monde numérique. ‘Mais à présent que nous voulons faire partie de l’OTAN, le risque d’une cyber-attaque en guise de représailles s’amplifie’, affirme Hintikka. Le ton est aussitôt donné. Quiconque déambule dans Helsinki, constate au nombre de drapeaux ukrainiens combien le conflit est ressenti en Finlande, plus encore que chez nous.
Milieu criminel
Un conflit comme celui qui sévit en Ukraine, dépasse en effet largement les frontières, même dans le cyberespace. La guerre a entre-temps incité différents acteurs à passer à l’action. Des hackers de part et d’autre mettent des sites web hors ligne ou tentent de perturber des événements comme le Concours Eurovision de la Chanson. Dans ce sens, il s’agit là d’un des premiers conflits se déroulant à une aussi grande échelle. Il représente un défi tout particulier à relever par les firmes de sécurité.
Des entreprises comme Microsoft et Google par exemple soutiennent l’Ukraine dans la défense de ses réseaux. Officiellement pour protéger ses clients, mais on observe aussi, selon Mikko Hyppönen, chief research officer chez WithSecure, que c’est quasiment la première fois que de grandes firmes américaines prennent parti pour un camp dans un conflit.
Côté russe, on observe un acteur étonnant dans les bandes de cybercriminels professionnels. Le lendemain même de l’invasion, le groupe de hackers Conti a en effet exprimé son soutien à la Russie. ‘Cette bande est connue négativement pour ses attaques au rançongiciel et opère de manière particulièrement professionnelle’, déclare Christine Bejerasco, CTO chez WithSecure. Le fait que le groupe ait exprimé son soutien à l’invasion et menacé de lancer des attaques de représailles sur les organisations qui critiquent la Russie, peut s’apparenter à un mélange de ressenti et d’autoprotection. ‘Quoi qu’il en soit, l’un des plus grands défis à relever pour les opposants au ransomware réside dans le fait que les principaux acteurs malveillants se trouvent souvent en Russie’, précise Bejerasco. ‘Cela complique d’autant la collaboration, qui s’avère pourtant nécessaire. On se retrouve en effet avec le problème que les agresseurs opèrent en grande partie sur un internet sans limite, alors que nos services de police sont, eux, confrontés à des frontières.’
Et d’établir la comparaison avec la lutte contre le groupe de pirates REvil. Cette cyber-bande a été contrée en juin 2020 avec l’aide des autorités russes. En janvier de cette année, ce sont même quatorze de ses membres qui ont été arrêtés en Russie à la demande des Etats-Unis. ‘Or on ne voit pas ce genre de collaboration se manifester dans les circonstances actuelles avec Conti par exemple’, signale Bejerasco.
Il n’y a pas de cyber-conflits, mais uniquement des guerres qui sont menées aussi dans le cyberespace.
Sur ce plan, la cybersécurité doit donc s’attendre à des temps difficiles. ‘Si la Russie ne collabore pas, les hackers peuvent difficilement être arrêtés aussi longtemps qu’ils demeurent dans ce pays’, explique la CTO. Mais cela ne signifie pas qu’il n’y ait absolument pas d’options. Il y a une dizaine d’années, il y eut un problème similaire avec les auteurs d”exploit kits’. ‘Parmi ces auteurs, on trouvait quelques figures importantes de nationalité russe’, poursuit Bejeresco. ‘Ces gens furent finalement arrêtés, lorsqu’ils quittèrent la Russie. Ce qui mérite d’être souligné, c’est qu’ils ont souvent la tendance d’exhiber leur richesse et qu’à un moment donné, ils décident donc de voyager.’
Cyberguerre
L’invasion russe de l’Ukraine va-t-elle provoquer la première cyberguerre? ‘Il n’y a en fait pas de cyber-conflits, mais uniquement des guerres qui sont menées dans le cyberespace’, déclare Janne Taalas, le CEO de CMI Martti Ahtisaari Peace Foundation, à ce propos lors d’une présentation à Sphere, la conférence des utilisateurs de WithSecure. Son organisation est une fondation indépendante finnoise qui se livre à de la ‘gestion de conflits’, à savoir tenter d’installer la paix dans les zones conflictuelles. ‘Le cybermonde est l’un des domaines où des conflits sont menés. Le problème qu’on connaît à présent, c’est que les armées combattantes considèrent la cyberguerre comme un domaine, alors que les acteurs pacifiques sont nettement plus lents.’
Taalas reçoit l’approbation de Philip Ingram, un ex-espion britannique et à présent conférencier d’honneur: ‘Les cyber-attaques ne sont pas des conflits individuels, mais font toujours partie d’une plus ample stratégie.’ Et de citer l’exemple de ce qu’il appelle la première attaque DDOS autrefois planifiée: en 1914, lorsque les Britanniques cisaillèrent quatre des câbles télégraphiques sous-marins entre l’Europe et les Etats-Unis afin de priver l’Allemagne de communiquer avec ses ambassades. Le cinquième transitait par le Royaume-Uni et put par conséquent être mis sur écoute.
Selon lui, les grandes cyber-attaques sont plutôt des émanations d’une vaste affaire d’espionnage. Pensons par exemple au malware Stuxnet que les Etats-Unis avaient introduit en Iran pour y paralyser les centrales électriques. Tout bien considéré, la Russie et l’Ukraine sont depuis plusieurs années déjà impliquées dans une cyberguerre.
Semer la discorde
‘Le cyberguerre est efficiente, financièrement abordable et – surtout – elle est contestable’, déclare Mikko Hyppönen, chief research officer chez WithSecure, dans un discours teinté d’émotion. ‘Ces dix dernières années, la Russie a enregistré pas mal de succès avec ses cyber-actions. Elle les a utilisées pour diviser l’Occident et impacter les élections, et elle y est très bien parvenue. Elle était même en train de gagner. Voilà pourquoi il est étonnant que Poutine ait opté pour une attaque physique.’
Rien qu’avec des moyens numériques, il n’est pas possible de s’opposer aux balles, aux bombes non guidées des années septante et aux tirs d’artillerie.
Mais cette guerre physique a donc un cyber-pendant qu’on peut malaisément nier. Et Hyppönen de citer l’exemple de la police ukrainienne aux frontières: ‘Juste après l’invasion, il y eut de longues files à la frontière pour sortir du pays. Les femmes et les enfants devaient parfois attendre des journées entières. Pourquoi? Parce qu’une cyber-attaque avait effacé les ordinateurs de la police aux frontières. Voilà un exemple précis d’une cyber-attaque au beau milieu d’une guerre physique.’
ESET, l’autre grande firme de sécurité européenne, signale avoir trouvé quatre maliciels effaceurs (‘wiper’) en Ukraine depuis le début de la guerre. Le premier d’entre eux a été envoyé le soir même de l’invasion russe. Le malware se présente parfois comme un rançongiciel (‘ransomware’), mais ne crypte aucun fichier. En lieu et place, il détruit les systèmes en en effaçant entièrement les fichiers. Selon ESET, les agresseurs avaient depuis bien plus longtemps déjà accès aux systèmes. Il était donc question d’attaques ciblées planifiées dans le but de perturber des sites et organisations ukrainiens le jour de l’invasion.
Expérience
Le fait que ces attaques n’aient pas privé de réseaux tout le pays, est, selon Hyppönen, surtout dû à l’Ukraine même. ‘Elle contre-attaque’, déclare-t-il. ‘Sur le plan des réseaux, l’Ukraine est le pays le mieux défendu d’Europe, parce qu’elle doit le faire depuis huit ans déjà. Si nous procédons à des formations militaires de cyber-attaques, ce sont là des scénarios théoriques. Mais pour les Ukrainiens, c’est du réel et du permanent.’
Et de faire référence entre autres au malware Industroyer qui avait paralysé de grandes parties du réseau d’électricité du pays le jour de Noël 2017. NotPetya, le rançongiciel qui avait réussi à toucher Maersk notamment, ciblait initialement un logiciel comptable ukrainien. ‘L’Ukraine enregistre en fait trois fois plus de cyber-attaques depuis le début de la guerre que durant le période correspondante de 2021’, ajoute Hyppönen, ‘Mais nombre d’entre elles échouent.’ Pensons par exemple à Industroyer 2.0, l’attaque lancée contre le réseau d’électricité, qui a été repoussée en avril de cette année, selon la cyberpolice ukrainienne.
Pour Philip Ingram, il existe encore une autre raison pour laquelle la principale partie de la violence guerrière ne se déroule momentanément pas dans le cyberespace. ‘Une fois qu’on recourt à des armes physiques, il n’est guère possible de faire face par des cyber-attaques’, affirme-t-il. ‘Rien qu’avec des moyens numériques, il n’est pas possible de s’opposer aux balles, aux bombes non guidées des années septante et aux tirs d’artillerie.’
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici