Selon le Service d’Etat ukrainien pour les communications spéciales et la protection de l’information (SSSCIP), dès le mois de janvier 2022, des attaquants russes et pro-russes se sont mis à diffuser un malware de type wiper conçu pour effacer les contenus d’un système ou le rendre inopérant, s’en prenant aux fournisseurs de service, aux infrastructures essentielles et aux agences gouvernementales ukrainiennes. Le 23 février vers 16h, heure locale, des attaques de type DDoS et wiper ont été lancées. Le 24 février 2022, jour de l’invasion de l’Ukraine par les forces armées russes, il semblait donc inévitable que les cyberattaques jouent un rôle important dans ce conflit.
Selon le SSSCIP, au 24 août 2022, l’Ukraine avait subi 1 123 attaques depuis le commencement de la guerre. Toutefois, en période de conflit, la perception de l’efficacité d’une action donnée est souvent obscurcie et distordue par le « fog of war », et il est difficile d’évaluer l’efficacité de ces attaques. Plus de six mois après l’invasion, il est temps de se demander quel impact la composante cyber de la guerre a eu sur l’évolution du conflit. Pour ce faire, il est possible de répartir les cyberattaques qui ont eu lieu depuis le début du conflit en quatre catégories : les attaques à visée destructrice, la désinformation, l’hacktivisme et l’espionnage.
Des cyberattaques diversifiées qui ont en partie fonctionné…
Avant la guerre, les attaques préemptives qui ont ciblé le réseau électrique ukrainien ou encore la diffusion du ver NotPetya sur le monde laissaient présager que les cyberarmes allaient jouer un rôle prépondérant dans ce conflit. Lorsqu’une vague d’attaques à visée destructrice a été lancée contre les modems de communication par le satellite Viasat, entraînant « d’énormes difficultés de communication au tout début de la guerre » dans le camp ukrainien, cette prédiction a paru se vérifier. Cette attaque a aussi causé des dommages collatéraux dans les pays membres de l’OTAN, perturbant le fonctionnement de plus de 5 800 éoliennes en Allemagne. En outre, de nombreuses cyberattaques russes semblent avoir été coordonnées avec des assauts conventionnels à Dnipro, à Kyiv ou encore à l’aéroport de Vinnytsia.
La Russie a l’habitude d’utiliser la désinformation comme une arme à visée politique. Une victoire rapide après une invasion éclair et l’installation d’un gouvernement fantoche nécessitait d’organiser des campagnes de désinformation ciblant deux sphères d’influence : en Ukraine, afin de convaincre la population que les forces russes arrivaient en libératrices, et en Russie pour obtenir le soutien de la population. La Russie a connu bien plus de succès à l’intérieur de ses frontières, où des études semblent indiquer que la propagande fonctionne en partie. A mesure que la guerre dure, une troisième campagne a été menée, ciblant le reste du monde et les pays non alignés, à l’image de l’Inde, de l’Egypte ou de l’Indonésie, avec la diffusion de fausses informations sur des laboratoires de production d’armes biologiques américains, sur la dénazification de l’Ukraine, ainsi que sur un prétendu génocide, destiné à mettre en doute la représentation du conflit par les médias occidentaux.
Du côté des hacktivistes, certains groupes cybercriminels bien connus, à l’image de Conti et Lockbit, ont immédiatement annoncé leur soutien à un camp ou à l’autre. Les acteurs des deux camps ont connu un sursaut d’activité aux premiers jours de la guerre : détournements de sites internet, attaques de type DDoS et autres piratages plus communs visant toutes sortes de cibles vulnérables et clairement identifiées comme russes ou ukrainiennes. Certaines attaques ont exploité les dernières vulnérabilités en date, à l’image de l’utilisation de la brèche « Follina » par des acteurs des menaces basés en Russie.
L’espionnage est la catégorie la plus difficile à quantifier. En effet, il est extrêmement compliqué de mesurer l’impact d’activités qui sont par définition secrètes. Néanmoins, en mars 2022, Google a publié un rapport qui dévoile l’existence de campagnes de phishing menées par la Russie et la Biélorussie. Proofpoint a également publié une étude montrant que des représentants de l’UE qui s’efforçaient d’apporter de l’aide aux réfugiés ont été ciblés par des campagnes de phishing émanant d’un compte e-mail ukrainien qui aurait été préalablement piraté par les renseignements russes.
…mais dont l’impact sur l’évolution de la guerre reste limité
La plupart des cyberattaques à visée destructrice, de type DDoS ou wiper, ont été concentrées durant la période précédant l’invasion terrestre. Ce harcèlement préparatoire a bien eu des conséquences, mais il ne semble pas avoir favorisé la réussite de l’invasion terrestre par les forces armées russes. Après des problèmes initiaux, le commandement ukrainien a pu se ressaisir et établir des lignes de communication alternatives afin de minimiser les perturbations. Avec le recul, tout semble indiquer que la Russie a eu beaucoup plus de difficultés avec les communications de sa chaîne de commandement que l’Ukraine. En outre, l’Ukraine a été en mesure de déjouer un malware sophistiqué lorsqu’il a été découvert sur le réseau d’un fournisseur d’énergie ukrainien, du nom de Industroyer2.
Les civils ukrainiens n’ont pas accueilli les troupes russes en libérateurs et les forces armées ukrainiennes ne semblent pas disposées à déposer les armes. Les Etats-Unis et l’Europe continuent à soutenir l’Ukraine et le peuple russe lui-même semble circonspect, sans toutefois se révolter ouvertement. Fait notable : récemment, les forces armées ukrainiennes ont repris des territoires sous contrôle russe et ont été accueillies en libératrices par des civils dans la région de Kharkiv.
Lorsque Conti, l’un des groupes de cybercriminels les plus en vue, a publié des déclarations menaçantes visant l’Occident sur son site de diffusion, un chercheur ukrainien a divulgué des informations concernant l’identité et les pratiques de ses membres, menant à sa dissolution définitive. Par ailleurs, il semble que les pirates se soient désintéressés des activités liées à la guerre pour se tourner vers les prochaines distractions à leur portée, comme le piratage de la société Yandex Taxi en envoyant une commande à tous les taxis leur indiquant de se rendre dans le centre de Moscou, créant ainsi un embouteillage.
Pour ce qui concerne les activités d’espionnage, la Russie n’est pas immunisée contre le vol, la collecte ou le piratage de ses données. Comme l’a bien montré James Andrew Louis, du Center for Strategic and International Studies (CSIS), les technologies de communication russes ont été déployées de manière aussi sporadique que dysfonctionnelle pendant tout le début de l’invasion. Cela l’a mené à conclure que « s’appuyer sur le système de communication de l’adversaire crée de nombreuses opportunités d’exploitation. De nombreuses personnes pensent que l’une des raisons qui explique le fort taux de décès parmi les officiers russes les plus gradés s’expliquait par la vulnérabilité de leurs systèmes de communications, qui permettaient de déterminer avec précision leur emplacement géographique ».
Si, pendant la phase initiale de la guerre, l’activité cybercriminelle semble s’être concentrée autour d’opérations de déstabilisation, de destruction ou de perturbation, la fréquence de ces attaques a peu à peu décliné à mesure que la résolution du peuple ukrainien lui a permis d’entrer dans un état de guerre prolongé, ce qui a causé une nécessaire réorientation de l’activité vers des opérations d’espionnage ou de désinformation. Ces activités vont-elles s’intensifier afin d’exercer des pressions sur les dirigeants européens pour les pousser à assouplir les sanctions, alors que des pénuries d’énergie semblent inévitables ? Les groupes cybercriminels vont-ils concentrer leurs attaques sur les fournisseurs d’énergie européens, comme nous avons déjà pu le constater à petite échelle ? La guerre n’est pas terminée, et le rôle des cyberattaques pourrait encore évoluer pour prendre un tour aussi nouveau qu’imprévu. Il est néanmoins peu probable qu’elles jouent un rôle décisif sur le dénouement du conflit. Il ne s’agit pour l’instant que d’un outil supplémentaire qui peut être utilisé conjointement avec d’autres armes ou instruments de guerre.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));