Adrien Merveille observe combien l’écosystème de l’hacktivisme cyber a évolué depuis un an et constate les frontières de plus en plus ténues entre l’hacktivisme et les attaques malveillantes pilotées par les Etats. Il souligne comment, entre vrais dégâts et « coups de com », il devient difficile, et deviendra encore plus difficile demain, de distinguer de groupes d’attaquants aux objectifs étatiques cachés, beaucoup moins éthiques ceux-là, et qui touchent les entreprises en tout premier lieu. D’où l’épineuse question du rôle central des entreprises dans les énergies déployées et les moyens dépensés pour prévenir la déstabilisation de leurs activités.
Adrien Merveille, expert Cybersécurité chez Check Point Software
L’hacktivisme est traditionnellement associé à des entités peu structurées comme les Anonymous. Ces groupes décentralisés et non structurés sont initialement constitués d’individus qui travaillent ensemble à favoriser des changements politiques et sociétaux, et ont une politique de recrutement ouverte à tous. Au cours de l’année écoulée pourtant, dans le contexte du conflit russo-ukrainien, l’écosystème hacktiviste a mûri, tant sur le plan des sources utilisées que des motivations.
Les groupes hacktivistes ont intensifié leur niveau d’organisation et de contrôle, au point qu’ils mènent des opérations comparables à celles d’une armée, notamment en matière de recrutement et d’entraînement, de partage d’outils, de renseignements et d’attribution de cibles. Après les attaques russes contre l’infrastructure informatique ukrainienne au début de la guerre, l’Ukraine a lancé un mouvement appelé « IT Army of Ukraine ». Depuis un groupe Telegram spécifique, ses opérateurs gèrent plus de 350 000 volontaires internationaux dans le cadre de leur campagne contre des cibles russes. Autre exemple, Killnet, le plus grand groupe d’hacktivistes affiliés à la Russie, de structure organisationnelle quasi militaire avec une hiérarchie très établie, est composé de plusieurs équipes spécialisées dans l’exécution d’attaques qui répondent à un commandement principal.
A lire aussi : Quels dispositifs pour aider les territoires face à la tempête cyber ?
La plupart des groupes d’hacktivistes récents ont une idéologie politique claire et cohérente alignée sur les discours de gouvernants. Certains, moins politisés, ont néanmoins professionnalisé et organisé leurs activités en lançant des campagnes très ciblées, motivées par des objectifs plus sociaux qu’économiques.
Entre vrais dégâts et “coups de com”
Tous les groupes actifs, bien conscients de l’importance de la couverture médiatique, utilisent leurs canaux de communication pour rendre publiques leurs succès et, au-delà de la démonstration des dégâts, alimenter la peur. Killnet compte par exemple plus de 91 000 abonnés sur sa plateforme Telegram, où il publie des attaques, recrute des membres pour son équipe et partage des outils d’attaque. L’activité du groupe est largement reprise dans les principaux médias russes qui promeuvent leurs exploits et rendent leurs attaques visibles auprès des « ennemis » ou entités antirusses.
Certains groupes revendiquent la responsabilité de cyberattaques alors qu’en réalité ils n’y ont que peu voire pas participé. Au début de l’année 2023, plusieurs milliers de passagers de la compagnie aérienne allemande Lufthansa ont été immobilisés dans plusieurs aéroports du pays. Bien qu’il semble que ce soient des travaux qui ont endommagé le réseau externe, le groupe hacktiviste pro-russe Killnet a pourtant revendiqué une attaque, déclarant qu’il s’agissait de représailles après le soutien de l’Allemagne à l’Ukraine.
Or peu d’éléments permettent de penser que Killnet est effectivement impliqué dans l’attaque, le groupe cherchant plutôt à se faire connaître et à alimenter le sentiment de peur, accompagnant sa revendication de messages menaçants les autres pays soutenant l’Ukraine. Il n’est pas toujours facile d’établir qui ou quelle organisation se cache derrière une attaque, et encore plus difficile d’affirmer que tel incident est potentiellement piloté par un État.
Qui se cache derrière le masque ? L’épineuse question de l’attribution
Entre revendiquer une responsabilité et être réellement responsable, il y a une marge. Opérer sous couvert d’anonymat permet de légitimer des attaques soutenues par les États, mais jusqu’à quel point tolérer que des groupes sèment la terreur, et sans être inquiétés ?
Il est communément acquis que l’hacktivisme commandité par un État consiste à créer des armes et des attaques informatiques dont le but est de produire des effets politiques similaires à ceux habituellement recherchés lors d’un recours conventionnel à la force par des États.
Cela signifie que les États-nations peuvent agir de manière anonyme dans le monde virtuel, en toute impunité et sans assumer la responsabilité des attaques. En ciblant des éléments d’infrastructures essentielles tels que des institutions financières ou de santé, des bâtiments officiels, des fournisseurs d’énergie ou des services d’urgence, certaines attaques visent cependant à provoquer un maximum de dégâts. Et selon le soutien apporté, leurs conséquences peuvent être comparables à celles d’un recours direct à la force.
Avant l’invasion de l’Ukraine par la Russie, le terme « hacktivisme » était rarement utilisé dans un contexte sérieux. Mais la guerre a entraîné une recrudescence des activités de groupes connus et inconnus. Dans les 48 heures qui ont suivi l’invasion de l’Ukraine par la Russie, selon Forbes, le nombre de cyberattaques présumées d’origine russe a augmenté de 800 %. Plus intéressant encore, parmi les cibles de Killnet figurent seulement 5% d’entreprises ou individus ukrainiens.
À quoi ressemblera l’hacktivisme en 2023 ?
La fréquence et la sophistication des attaques dans cette nouvelle ère de l’hacktivisme soulèvent des questions quant à leurs origines. Il s’avère en effet de plus en plus difficile de distinguer les attaques de gouvernements, d’hacktivistes ou de cyber-attaquants simplement motivés par l’argent.
Il est sûrement trop tôt pour qualifier d’emblée toute forme d’hacktivisme de terrorisme d’État, mais il ne fait aucun doute que les deux phénomènes sont de plus en plus difficiles à dissocier. Dans la mesure où les tensions géopolitiques continuent de dominer l’agenda mondial, cette nouvelle ère de la cyberguerre ne fait que commencer.