Sans les montrer, Kyïv (Kiev) affirme avoir des preuves que la Russie est l’auteur des cyberattaques contre ses sites gouvernementaux. Selon Microsoft, cette attaque, sous la forme d’un malware déguisé en ransomware, serait bien plus importante et toucherait de nombreuses agences et organisations gouvernementales ukrainiennes.


au sommaire


    À la suite de la cyberattaque massive commise le 13 janvier, c'est-à-dire dès le lendemain de la fin des pourparlers entre la Russie et l'Otan sur la crise ukrainienne, l'enquête pour déterminer son origine est toujours en cours. Selon le SBU, le service ukrainien de renseignements, 70 sites gouvernementaux auraient été attaqués et dix d'entre eux piratés. Toujours d'après le SBU, aucune fuite de données n'aurait eu lieu. Si aucun organisme international ne se risque à attribuer l’attaque, tous les regards se tournent vers la Russie.

    De son côté, l'Ukraine n'hésite pas à dénoncer l'auteur supposé de cette attaque. C'est ainsi que dans un communiqué, le ministère ukrainien de la Transformation numérique a déclaré « à ce jour, toutes les preuves indiquent que la Russie est derrière la cyberattaque ». Pour le ministre, il s'agit d'une « manifestation de la guerre hybridehybride que la Russie mène contre l'Ukraine depuis 2014 ». Toujours selon le ministère, l'objectif du Kremlin reste de déstabiliser le gouvernement ukrainien, tout en sapant la confiance des populations. La Russie a nié avec une pointe de sarcasme être l'auteur de l'attaque.

    Selon Microsoft, le message d’une demande de rançon de 10.000 dollars en Bitcoin affiché par le ransomware n’est qu’un leurre. Il est trop générique pour que ce soit la finalité des auteurs. © Capture Microsoft
    Selon Microsoft, le message d’une demande de rançon de 10.000 dollars en Bitcoin affiché par le ransomware n’est qu’un leurre. Il est trop générique pour que ce soit la finalité des auteurs. © Capture Microsoft

    Un ransomware destructeur

    En attendant d'obtenir des preuves formelles, de nombreux acteurs de la cybersécurité mettent à disposition leurs ressources pour tenter d'y voir plus clair. C'est notamment le cas du laboratoire de MicrosoftMicrosoft. La firme a annoncé que le malware utilisé reste actif et qu'il pourrait continuer à contaminer des dizaines de systèmes. Selon les experts, le malware s'exécute lorsqu'un appareil du réseau est éteint.

    Or, éteindre les machines, c'est justement le premier réflexe que l'on peut avoir lorsqu'un réseau est contaminé par un ransomwareransomware. Concrètement, au redémarrage, le malware va commencer par écraser le secteur d'amorçage du disque dur (MBR), puis chiffrer tout son contenu. Il agit comme un ransomware mais n'est pas doté de mécanisme de récupération des rançons véritablement opérant. Sa vocation est donc la destruction des systèmes par chiffrementchiffrement fort.

    Pour le moment, Microsoft a déclaré qu'il n'était pas en mesure d'énoncer l'auteur de l'attaque. En revanche, ce qui est certain c'est qu'elle visait des dizaines de systèmes appartenant au gouvernement, mais aussi à des ONG et à des organisations du secteur technologique, toutes basées en Ukraine. Autrement dit, les auteurs ont souhaité que l'attaque rayonne le plus largement possible sur un panel de cibles liés à l'État ukrainien. Une méthode qui pourrait conforter la théorie de Kyïv sur la volonté de déstabiliser le pays.


    L'État ukrainien, victime d'une cyberattaque massive

    Une cyberattaque massive a touché une quinzaine de sites gouvernementaux cette nuit en Ukraine. Si elle n'a pas pu encore être attribuée, tous les regards se tournent vers la Russie, alors que les tensions sont au plus haut entre les deux pays.

    Article de Sylvain BigetSylvain Biget publié le 14/01/2022 

    Alors que les pourparlers viennent de se terminer entre les États-Unis, ses alliés et la Russie au sujet d'une potentielle offensive militaire en Ukraine, la situation reste très préoccupante. En marge des bruits de bottes à la frontière est de l'Ukraine, c'est encore une fois l'arme cyber qui vient tonner. Il y a quelques semaines, Futura expliquait que des cybercombattants américains et britanniques avaient été déployés en Ukraine pour aider les autorités à augmenter la cyberdéfense du pays. Les experts s'inquiétaient alors d'une offensive qui débuterait par une cyberattaque massive provenant de Russie.

    Et justement, cette nuit, une quinzaine de sites Web d'organismes gouvernementaux ont effectivement subi une cyberattaque. Futura a pu, par exemple, constater que le site du ministère des Affaires étrangères ne répondait plus. Avant qu'il ne disparaisse, sur ce site, un message menaçant rédigé en russe, en ukrainien et, étrangement, en polonais était affiché.

    Il était surplombé par un drapeau ukrainien barré, la carte du pays et d'autres symboles patriotiques également barrés. Le message indiquait que toutes les données personnelles des Ukrainiens avaient été téléchargées sur le Web. Il mentionnait également l'armée insurrectionnelle ukrainienne et d'autres organisations nationalistes, qui avaient combattu auprès des nazis, l'URSS pendant la Seconde Guerre mondiale, et qui ont commis plusieurs massacres dans certaines régions polonaises contestées à l'époque.

    Une intention étrange qui pourrait faire croire que les auteurs de l'attaque pourraient être polonais et non pas russes, comme tout le monde pourrait l'imaginer. Pour le moment, les équipes de cybersécurité du gouvernement ukrainien travaillent à la restauration des systèmes et les cyber-enquêteurs planchent sur le sujet. Pour réaliser leur attaque, il semble que les hackers aient profité d'une faille dans un système de gestion de sites InternetInternet appelé October.

    « <em>Ukrainiens !… Toutes les informations vous concernant sont devenues publiques. Ayez peur et attendez-vous au pire</em> ». Voici le message qui s’affichait en russe, en ukrainien et en polonais sur le site du ministère des Affaires étrangères ukrainien. © Capture d'écran
    « Ukrainiens !… Toutes les informations vous concernant sont devenues publiques. Ayez peur et attendez-vous au pire ». Voici le message qui s’affichait en russe, en ukrainien et en polonais sur le site du ministère des Affaires étrangères ukrainien. © Capture d'écran

    Les cyberattaques pour préparer l’offensive ?

    Évidemment, comme souvent, les preuves manquent pour attribuer formellement l'attaque, mais c'est bien vers le Kremlin que les regards se tournent. Ainsi, après avoir condamné l'attaque, sans pour autant l'attribuer, les autorités des pays soutenant l'Ukraine et, notamment l'Union européenne, ont indiqué qu'ils allaient fournir leur assistance pour aider le pays. Comme Futura l'a précédemment expliqué, l'Ukraine a été ciblée à plusieurs reprises depuis 2014, lorsque Moscou a annexé la Crimée et déclenché une guerre dans la région du Donbass.

    Parmi les attaques, il y a eu, en 2017, NotPetya. Elle a eu un retentissement international et ciblait précisément le secteur économique ukrainien pour le paralyser. En 2015-2016, des attaques contre les infrastructures électriques ont eu lieu également avec des coupures géantes. Selon les derniers chiffres officiels, il y aurait eu environ 288.000 cyberattaques au cours des 10 premiers mois de 2021.


    Ukraine : comment une cyberattaque pourrait paralyser le pays

    Alors que Poutine menace ses adversaires occidentaux d'une réponse militaire en Ukraine, la première arme qu'il pourrait exploiter est la cyberattaque. Les experts américains estiment que les hackers russes sont capables de paralyser le pays en s'attaquant à ses infrastructures essentielles. Explications.

    Article de Sylvain Biget, publié le 25 décembre 2021

    En Ukraine, entre 2015 et 2016, une vaguevague de 6.500 cyberattaques contre les institutions et les infrastructures paralysait douze centrales électriques du pays. À Ivano-Frankivs'k, à l'ouest du pays, une attaque de la centrale électrique de Prykkarpatya Oblenergo avait ainsi privé de courant 250.000 usagers durant six heures. Futura s'était rendu sur place et un ingénieur avait montré les vidéos qu'il avait filmées avec son téléphone.

    Sur les écrans de contrôle, on pouvait voir les pirates en pleine action en train de prendre le contrôle total des installations. Impossible de reprendre la main ! Comme les installations électriques mixaient des technologie soviétiques et modernes, les techniciens avaient pu redémarrer localement les points de livraison du courant. L’attaque avait été bien préparée et les hackers avaient attendu la période des vacances pour mener leur action.

    Couper le courant en s'attaquant aux points de distribution d'énergieénergie, c'est éteindre toutes les communications et paralyser un pays entièrement. Ce scénario serait possible en France et même sans doute plus dangereux encore. Pas besoin de pirater les centrales nucléairescentrales nucléaires pour y parvenir. Sans électricité, toute la vie s'arrête et les supermarchés qui fonctionnent à flux tendus ne tiendraient pas plus de 48 heures. Une catastrophe pire qu'une guerre physiquephysique !

    Alors que la tension monte d'un cran entre les membres de l'Otan et la Russie au sujet de la zone du Donbass, l'Ukraine craint justement qu'une vague de cyberattaques contre ses systèmes électriques ne se prépare. Il faut souligner que la cyberguerre russe menée contre l'Ukraine ne s'est jamais arrêtée même si, comme celle des tranchées de la ligne de front, elle restait de faible intensité. Mais, selon les renseignements américains, elle s'intensifie depuis le mois dernier, en même temps que l'accumulation de troupes russes près de la frontière à l'Est du pays.

    Salle de commandes de la centrale électrique de Prykkarpatya Oblenergo. Celle-ci avait été piratée de façon spectaculaire fin 2015. Les opérateurs avaient dû redémarrer manuellement le réseau électrique secteur par secteur. © Sylvain Biget
    Salle de commandes de la centrale électrique de Prykkarpatya Oblenergo. Celle-ci avait été piratée de façon spectaculaire fin 2015. Les opérateurs avaient dû redémarrer manuellement le réseau électrique secteur par secteur. © Sylvain Biget

    L’arme cyber pour préparer le terrain

    Pour préparer l'Ukraine à ces cyberattaques, des spécialistes américains et du Royaume-Uni y ont été déployés sur place. L'idée consiste à améliorer la cyberdéfense du pays et à augmenter sa cyber-résiliencerésilience. Les États-Unis envisagent même une projection sur place de ressources de l'US Cyber Command. S'agira-t-il uniquement de montrer que les cybercombattants sont présents pour intimider les hackers russes ? Certainement, car il n'y pas grand chose à faire pour sécuriser le réseau électriqueréseau électrique ukrainien.

    Comme nous l'avons déjà évoqué, celui-ci est fragile en raison de ses infrastructures datant de l'époque soviétique mêlées à des éléments plus récents provenant de la Russie. De même, les systèmes informatiques de contrôle des centrales électriques sont russes. Enfin, pour couronner le tout, le réseau est imbriqué avec celui de la Russie.

    C'est pourquoi, telle une salve d'artillerie visant à préparer le terrain pour mener une offensive, l'arme cyber serait un moyen très efficace pour paralyser les infrastructures ukrainiennes. L'objectif : enclencher une autre bataille de la guerre hybride afin de déstabiliser le gouvernement pour imposer un chef à l'écoute de Moscou. L'arme cyber est également idéale pour régler la tension actuelle, puisque la preuve de l’attribution resterait, comme toujours difficile à apporter.

    De fait, il n'y aurait pas besoin de se lancer dans une invasion terrestre aventureuse. Elle aurait de lourdes conséquences pour la Russie. Dans tous les cas, les experts imaginent que, si une cyberattaque massive a lieu, elle interviendra très probablement après Noël orthodoxe, c'est-à-dire à la fin de la première semaine de janvier. En attendant, les responsables du renseignement américain cherchent encore comment y répondre de manière offensive.