Data News a rencontré Serhii Demediuk, l’homme co-responsable de la cybersécurité de l’Ukraine laquelle, outre l’invasion physique, est également attaquée numériquement par la Russie depuis des années. ‘Les attaques physiques au sol coïncident souvent avec des cyberattaques.’
La guerre en Ukraine n’est pas seulement menée physiquement. Des années avant l’invasion, le pays était régulièrement victime de cyberattaques russes, qui n’ont pas diminué depuis. Nous avons écouté Serhii Demediuk à propos de la façon dont le pays gère cette situation. Il s’est exprimé cette semaine lors de la One Conference à La Haye, où s’était réuni le secteur de la sécurité néerlandais. Demediuk a également pris le temps de parler à Data News de la cyber-guerre en cours, parallèlement à l’invasion russe.
Demediuk est secrétaire adjoint du conseil national de sécurité ukrainien et vice-président du centre national de cybersécurité du pays. Ce dernier combine les efforts en matière de défense numérique de l’Ukraine et implémente les moyens liés à la sécurité nationale, ainsi que le développement d’une cyber-stratégie nationale. L’organisation propose aussi une législation débouchant sur une stratégie de sécurité et coordonne la coopération entre les entreprises privées et le gouvernement en la matière.
Cette interview a été réalisée par l’intermédiaire d’un interprète. Afin de représenter le plus fidèlement possible la conversation, les déclarations de Demediuk et de son interprète sont parfois reprises littéralement.
Comment la guerre a-t-elle modifié votre travail?
DEMEDIUK: Depuis l’invasion de la Russie, nous coordonnons également toutes les actions cyber-offensives pour la défense. Il s’agit entre autres des décideurs politiques, de la communication gouvernementale, de la défense, de la politique nationale, du ministère de la défense et de la banque nationale d’Ukraine. Nous assurons cette coordination pour garantir que tous les efforts politiques aillent dans la même direction et ne se sapent pas les uns les autres.
En soi, le contenu du travail n’a pas beaucoup changé, mais nous mettons désormais en œuvre des choses très différentes. Avant, la cybersécurité était axée sur la sécurité nationale. Après l’invasion, l’attention s’est davantage portée sur la cyberdéfense (en ce inclus les actions offensives, ndlr). Depuis, nous avons également systématiquement impliqué des bénévoles et le secteur privé.
Quel est le rôle de ces bénévoles?
DEMEDIUK: Aujourd’hui, nous utilisons ces volontaires dans des cyber-opérations offensives faisant partie de notre défense. Aujourd’hui, l’échange d’expériences se fait de manière beaucoup plus ouverte et en temps réel. Les informations sur les attaques et les vulnérabilités, par exemple, nous aident à réagir rapidement aux actions ennemies.
Voilà ce que je peux vous dire maintenant, mais sachez que je ne peux évidemment pas m’exprimer pleinement en temps de guerre.
La Russie utilise également des infrastructures américaines et européennes.
Sans cette communauté, nous ne pourrions pas faire face aux attaques soutenues par la Russie. Si la Russie utilisait uniquement sa propre puissance, cela serait encore possible, mais elle attaque avec toute une coalition 24 heures sur 24 et 7 jours sur 7, ce qui fait que nous devons réagir de manière appropriée.
Or la Russie utilise également des infrastructures des Etats-Unis et de l’Union européenne. Voilà pourquoi nous maintenons des contacts étroits avec ces deux pays pour pouvoir réagir. Plus tôt cette année, la Russie a également attaqué en recourant à des infrastructures chinoises, mais lorsque son approche a ciblé la collecte de renseignements, nous l’avons vu exploiter des ressources provenant des Etats-Unis, du Canada et de pays européens.
De quel type d’infrastructure parlez-vous?
DEMEDIUK: Il s’agit de services très variés, mais entre autres des services liés aux données massives (big data), des services de développement ou des programmes permettant de masquer les adresses IP.
Pouvez-vous détailler l’infrastructure numérique et les défis liés à sa sécurité?
DEMEDIUK: Pas pour le moment, peut-être pourrions-nous en parler après la guerre.
Ce que je peux dire, c’est que les attaques physiques au sol coïncident souvent avec des cyberattaques. La Russie s’engage dans la collecte de cyber-renseignements parallèlement à une offensive terrestre. Cela nous donne la possibilité de prédire les attaques. Nous avons désormais également l’expérience de l’identification de telles attaques. Si nous constatons que certains sites de la sécurité nationale ou du secteur énergétique font l’objet d’attaques graves, nous le signalons à la Défense, qui peut réagir plus rapidement.
Mais, et cela est très important pour nous, cela prouve aussi que la Russie connaît très bien ses cibles, par exemple s’il s’agit d’infrastructures civiles. Récemment, un hôpital a été attaqué en Ukraine. 24 heures plus tôt, nous y avions déjà observé des activités en ligne de leur part. Ils savaient donc parfaitement que c’était un hôpital pour enfants.
(L’attaque en question date de début juillet. La Russie a toujours affirmé que c’était le résultat d’une défense anti-aérienne ukrainienne, bien que l’ONU, entre autres, soit parvenue à d’autres conclusions, ndlr.)
Il en a été de même lors du piratage de Viasat (la firme de satellites Viasat a subi une cyberattaque le jour où la Russie a envahi l’Ukraine, le 23 février 2023, ndlr). Nous avions informé la firme avant l’invasion qu’elle constituait une cible possible, car nous avions observé des signaux à proximité, mais elle n’a pris aucune contre-mesure. La cyber-invasion russe a commencé en décembre 2021.
Que peuvent faire de plus les partenaires internationaux pour l’Ukraine en matière de soutien numérique?
DEMEDIUK: Nous pouvons utiliser toutes leurs capacités. Mais spécifiquement, je pense, entre autres, aux vulnérabilités pour mener des contre-attaques. Je ne peux pas répondre en détail, mais c’est parce que nous pouvons tout utiliser effectivement. Et l’échange de renseignements opérationnels est crucial à cet égard.
Comment gérez-vous les conséquences des grandes technologies, comme par exemple connaître l’emplacement de chaque smartphone dans un paysage publicitaire numérique?
DEMEDIUK: Cela n’a aucune influence. Cela fait partie de notre paysage numérique et quelle que soit l’entreprise concernée, qu’il s’agisse de Google ou une firme d’Elon Musk, il s’agit simplement du service qu’elles proposent dans chaque pays.
Si on parle spécifiquement de géolocalisation, il faut l’inclure dans votre stratégie. Nous utilisons également les informations de localisation et les métadonnées dans nos attaques contre l’ennemi. Si nous ne distinguons pas d’empreinte numérique quelque part, cela devient suspect pour nous, et nous surveillerons de plus près cet endroit. Les grandes entreprises collectent des données, et nous développons notre stratégie en en tenant compte.
Observez-vous encore et toujours une cybercriminalité ‘normale’ en Ukraine, distincte des attaques dirigées par la Russie?
DEMEDIUK: Bien sûr. Les organisations à motivation financière restent actives dans notre pays, et leurs attaques n’ont pas diminué avec l’invasion. Nous avons également nos menaces internes, et nos forces de l’ordre en ont plein les bras.
Etes-vous mieux armé contre la cybercriminalité ‘moyenne’ en raison de l’augmentation des attaques sophistiquées?
DEMEDIUK: Cela nous aide énormément. L’expérience que nous y acquérons, permet également de prévoir et parfois de prévenir d’autres types de criminalité. Même lorsque nous déployons de nouveaux services, nous le faisons de manière à empêcher que ce type de crime ne se produise.
Les attaques au sol coïncident souvent avec des cyberattaques.
Mais le facteur humain reste le maillon le plus faible. L’ingénierie sociale et le phishing jouent actuellement un rôle crucial. Les services de renseignement russes l’utilisent pour envahir la vie privée de nos spécialistes de la défense. La fragilité de la psychologie humaine est le point faible.
Qu’avez-vous à dire aux pays ou aux entreprises sur la cybersécurité, sachant ce que vous savez et voyez dans votre pays?
DEMEDIUK: L’ennemi et ses partenaires se concentrent sur le renseignement pour mener des attaques dévastatrices. Ils ciblent également les chaînes d’approvisionnement de divers logiciels. Nous observons qu’ils s’intéressent aux grandes entreprises qui fournissent des services à l’international. Pour ensuite utiliser ces services comme une arme pour cibler les civils. Notpetya fut une démonstration de leur pouvoir et de ce qu’ils continuent de faire aujourd’hui encore.
Ces grandes entreprises doivent comprendre qu’elles peuvent être attaquées à tout moment ou qu’elles sont peut-être déjà ciblées. Une entreprise comme Microsoft est une cible privilégiée pour la Russie. Nombreux sont ceux qui utilisent ses produits, ce qui en fait une cible idéale.
Quel rôle l’IA joue-t-elle dans la guerre?
DEMEDIUK: Je ne peux pas donner trop de détails à ce sujet, mais nous utilisons l’IA tant au niveau national que par l’intermédiaire de partenaires internationaux pour identifier et éliminer l’ennemi.
Des pays européens ont-ils déjà pu tirer des leçons de l’Ukraine?
DEMEDIUK: L’attaque contre l’Ukraine ne signifie pas qu’il ne peut pas y avoir d’attaques contre les pays de l’UE qui nous soutiennent. Je ne peux pas dire si l’UE a tiré des leçons de cette histoire. En 2023 et 2024, la Russie a montré à quel point elle était téméraire. Elle a piraté des émetteurs par satellite pour y diffuser ses messages de victoires. Personnellement, je ne pense pas que les entreprises commerciales aient appris quoi que ce soit de ces attaques.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici