Crédit photo: Giovana Fleck
Le 3 janvier 2022, Microsoft a détecté une activité inhabituelle en provenance de deux serveurs Microsoft Exchange : l’envoi d’une quantité considérable de données aux adresses IP. D’après les enquêtes, il s’est avéré que l’attaque était menée par les pirates russes, qui ont exploité une faille [1] de Microsoft afin de dérober la totalité des contenus de plusieurs courriels à travers le monde, notamment l’Ukraine, les États-Unis et l’Australie. C’était l’alpha d’une série de cyberattaques contre l’Ukraine. La mise hors ligne des sites web gouvernementaux [2], la diffusion des messages de menace [2], l’envoi aux Ukrainiens des messages de retrait [3] d’argent aux guichets automatiques, les attaques DDoS [4] (Déni de service distribué) sur le secteur bancaire, des alertes à la bombe [5] dans les écoles ainsi qu’un logiciel [6] malveillant qui effacerait toutes les données du réseau.
La Russie n’a jamais reconnu ces attaques [4]. Toutefois, des preuves convaincantes attestent l’embauche ou l’encouragement de ces pirates [7] par Moscou afin de mener des attaques.
La Russie a déjà été impliquée dans les cyberattaques notamment en Ukraine, en Estonie, en Géorgie et aux États-Unis. En 2014, quatre jours avant les législatives [8] ukrainiennes, un logiciel malveillant a été installé sur le système électoral central ukrainien, qui par la suite a présenté un candidat pro-russe comme vainqueur. Ce logiciel a compromis et supprimé des dossiers capitaux ; il a endommagé le système de décompte des voix. Après la fermeture des bureaux de vote, la Commission électorale centrale ukrainienne a été confrontée aux attaques DDoS qui ont mis leur réseau hors service. En conséquence, pendant deux heures, elle n’était pas en mesure de publier les résultats. Pendant ces deux heures, les médias russes ont présenté le candidat qu’ils soutenaient comme vainqueur [9] avec 37% des voix.
En 2015, des pirates russes ont lancé [10] des attaques à distance contre l’Ukraine. Un logiciel malveillant dénommé BlackEnergy [11] a attaqué des courriels personnels dans plusieurs entreprises énergétiques. Une fois cliquer sur ce logiciel malveillant, KillDisk était activé. Ce dernier est un logiciel malveillant qui formate les disques durs et empêche le redémarrage du système. Cette situation a entraîné des délestages en Ukraine. Les pirates ont simultanément lancé une attaque TDoS (Déni de Service téléphonique [12]) afin d’empêcher les citoyens de contacter le centre d’assistance électrique. Cette double attaque a créé une sérieuse panne d'électricité qui a touché plus de 225 000 citoyens. Cet incident [13] est la première attaque à distance sur des infrastructures publiques avec l’usage des armes cybernétiques.
Une stratégie testée : les attaques cybernétiques sur les voisins de la Russie
En 2007, alors que la Russie et l’Estonie se crêpaient le chignon suite à la décision de Tallinn de déplacer l’un des mémoriaux soviétiques de la Seconde Guerre mondiale [14] de son lieu initial, les pirates russes, après avoir piraté et exploité un million d’ordinateurs à l’échelle planétaire lors d’une opération dénommée BotNet [15], ont mis hors service [16] les systèmes bancaires et administratifs de l’État estonien. D’après les estimations, la Russie s’est attaquée à plus d’un million [17] ordinateurs dans 70 pays. l’Estonie a sollicité [18] l’aide de l’OTAN comme le stipule l’article V [19] sur la défense collective. Ce dernier n’a pas été en mesure de tendre la main en ce moment, une situation qui a soulevé la question des cyberattaques comme nécessitant la défense collective de l’Organisation. Plus tard, l’Alliance [18] a adopté le concept stratégique [20] pour « prévenir, détecter les cyberattaques, comment s’en défendre et s’en remettre; notamment en utilisant le processus de planification de l’OTAN pour le renforcement et la coordination des capacités nationales de la cyber-défense, en plaçant tous les organes de l’OTAN sous une cyber-protection centralisée, et en intégrant mieux la sensibilisation, l’alerte et la riposte de l’OTAN et les pays membres aux cyberattaques ».
En août 2008, la Russie et la Géorgie se sont engagées dans un conflit armé au sujet de l’Ossétie du Sud, territoire à l’origine de la sécession de la Géorgie. Tout en menant des opérations militaires, la Russie a supervisé des attaques [16] DDoS contre plusieurs sites Web géorgiens qui ont sérieusement affecté les services de communication et de finance. En réponse, le 9 août, la Banque nationale de Géorgie [16] a sommé toutes les banques d’arrêter les services électroniques. Malheureusement, l’infrastructure physique géorgienne passait par la Russie et l’Azerbaïdjan (en plus d’un seul câble de fibres optiques vers la Turquie). Pendant l’escalade du conflit, les troupes russes ont verrouillé les câbles du trafic téléphonique [21] international. Ils ont également saisi le trafic téléphonique international cellulaire et primaire. Ce verrouillage a occasionné une surcharge sur le reste des canaux utilisés par les civils et les organisations non gouvernementales.
Face à la dégradation des canaux de communication, le Gouvernement géorgien a décidé de censurer la communication et les informations, ainsi que de filtrer les adresses IP russes [22] à partir de leur réseau afin de mettre fin aux attaques DDoS. Ces mesures ont permis de réduire temporairement les attaques, mais les pirates ont commencé à masquer leurs adresses IP et à cibler les services géorgiens sur des hôtes étrangers. Par exemple, les pirates russes ont attaqué des serveurs basés aux États unis avec des DDoS après que le Gouvernement géorgien ait migré son serveur vers un serveur Web en Atlanta [22].
Après les attaques DDoS russes, de nombreux pirates pro-géorgiens [16] ont commencé a contre-attaquer les serveurs russes y compris quelques sites de médias russes. Cependant, avec le blocage des sites Web, des communications et des informations russes, les citoyens géorgiens se sont rapidement noyés dans une panne d’information. La censure médiatique et le filtrage Internet ont semé la panique et alimenté les rumeurs ainsi que la désinformation sur une quelconque victoire russe [21].
Le Gouvernement géorgien était incapable de démentir l’information ou de se connecter avec ses citoyens. L’état de confusion et de suspicion a fortement impacté le moral des Géorgiens, ce qui s’est d’ailleurs ressenti sur le champ de bataille. [22]
La Russie est sortie victorieuse de cette guerre grâce au contrôle des flux, de l'Internet et du récit par la désactivation des services du gouvernement, des sites Web, des serveurs financiers et le refus d’accès à l’information aux citoyens géorgiens.
Morale à l'endroit de l'Ukraine
Cette situation est riche d’enseignements pour les défis actuels de l’Ukraine. En effet, une fois les cyberattaques russes ont débuté en février 2022, un collectif de pirates anonymes pro-Ukraine a annoncé qu’il avait ciblé [23]les chaînes de télé russes pour la diffusion des messages pro-ukrainiens, tandis qu’une chaîne Telegram [6] avait été créée avec de milliers de membres combattant en ligne pour l’Ukraine.
Contrairement à la Géorgie en 2008, l’Ukraine bénéficie du soutien [24] électronique de l’OTAN et ses voisins. Après que la Russie ait envoyé ses troupes vers Kiev, l’OTAN a signé [2] un accord avec l’Ukraine sur le renforcement de ses capacités cybernétiques et son accès à la plateforme de partage d’informations sur les logiciels malveillants de l’Alliance. La Maison blanche a également apporté son soutien [25] cybernétique au Gouvernement ukrainien. Elon Musk a proposé ses services haut débit par le biais du satellite [26] Starlink, pour le fonctionnement des serveurs du Gouvernement. En outre, l’Union européenne a mis sur pied une équipe [4] de riposte rapide à la cybercriminalité (CRRT) dirigée par la Lituanie. Cette équipe comprend 12 experts [27] en provenance de Lituanie, de Croatie, de Pologne, d'Estonie, de Roumanie et des Pays-Bas issus d'entités privées et gouvernementales [24]. La Roumanie a également signé [28] un partenariat pour fournir gracieusement un appui technique et des renseignements sur les menaces à l’endroit du gouvernement, des entreprises et citoyens ukrainiens.
Il est difficile d’évaluer le succès de l’Ukraine malgré ses tentatives de contre-attaque. Une possible indication date du 9 mai, lorsque les pirates ont interrompu le discours télévisé de Poutine [29] lors de la célébration du Jour de la Victoire. Ce jour-là, les utilisateurs de la smart TV russe ainsi que les téléspectateurs en ligne ont vu les noms de leurs programmes télévisés modifiés en ces termes [30]: « le sang de milliers d’Ukrainiens et de centaines d'enfants est sur vos mains. La télévision et les autorités mentent. Non à la guerre».
Chronologie de la cyberattaque russe contre l'Ukraine. Image utilisée avec la permission de Giovana Fleck.
Malgré leurs compétences, les pirates russes ont juste causé des dégâts modérés à l’endroit des infrastructures numériques ukrainiennes. Les deux parties ont commis des erreurs similaires à celles vécues en Géorgie. Poutine a récemment bloqué [31] tous les sites Web de médias européens et les réseaux sociaux tels que Facebook, Instagram et Twitter, afin de submerger ses citoyens du discours russe. Les services de sécurité russes ont également entamé des fouilles [32] inopinées dans les téléphones des citoyens, à la quête des publications, photos, vidéos or messages anti-guerre.
Pendant ce temps, l’Union européenne a décidé de bloquer [33] les sites de propagande russes à savoir, Sputnik et Russia Today. Le 20 mars, le Président ukrainien a aussi dissout [34] onze partis d’opposition de gauche accusés de soutenir la Russie. Ces partis détenaient 10% de sièges au parlement national.
En plus des sanctions, les Russes se voient refuser l’accès aux services Internet des fournisseurs étrangers [35], rendant ainsi plus efficace la censure russe. Dans le même temps, le Gouvernement ukrainien a proscrit et bloqué certaines voix de l’opposition. Alors que la guerre évolue, la leçon à tirer de la Géorgie est que le flux d’informations aux citoyens doit être un facteur décisif.
