En 2022, la guerre en Ukraine s’est aussi jouée dans le cyberespace. Les très nombreuses actions menées par les belligérants, et leurs impacts pour les entreprises européennes, ont été recensés dans les travaux du Panocrim du Clusif.
A l’occasion de ses 30 ans, le Clusif, association française de la sécurité du numérique, a présenté les principaux enseignements de ses travaux menés en 2022. Au-delà d’un état global de la menace cyber, ce « Panocrim » a notamment permis de faire un focus important sur l’impact de la guerre en Ukraine.
Quel rapport entre la guerre en Ukraine et la série inédite d’attaques qu’a subi le Costa Rica en avril 2022, devenant le premier Etat au monde a être mis à genoux par des cybercriminels ? Les deux ont mis sous la lumière des projecteurs le groupe Conti et ses agissements (voir encadré). Elles ont aussi illustré plus largement les effets de bord complexes que l’invasion russe pouvait provoquer dans le cyberespace. C’est un des points clés qui ressortent des travaux menés en 2022 par le Clusif, l’association française de la sécurité du numérique, alors que depuis un an les conséquences de la guerre interroge les experts.
Si l’Agence nationale de la sécurité des systèmes d’information (Anssi) estime que l’emploi du terme cyberguerre est abusif dans le cas de l’invasion russe, l’impact dans le cyberespace est cependant bien réel.
Le docteur Michel Dubois, directeur scientifique et technique au sein de la direction de la cybersécurité du Groupe La Poste, et membre du Clusif, a confirmé la variété des actions menées. « Sans parler de cyberguerre, il y a effectivement une vraie utilisation du bras armée cyber dans le conflit » a-t-il souligné avant de revenir sur l’usage qu’en faisait les belligérants.
Sabotages, déclarations d’allégeances, remplacement de FAI…
Du côté pro-russe, outre le défaçage militant de plus d’une vingtaine d’agences gouvernementales ukrainiennes, c’est l’usage de malwares spécifiquement développés pour la guerre qui a marqué. Ces « wipers » (HermeticWiper, IsaacWiper…), ont frappé les infrastructures ukrainiennes, parfois en se faisant passer pour de « simples » ransomwares, mais avec l’objectif de détruire les données des systèmes visés (wiper, faisant référence au fait d’effacer tout simplement les données). Plusieurs d’entre eux étaient présent depuis de long mois, « dormants », dans les SI ciblés.
Si l’armée russe a très tôt bombardé les datacenters ukrainiens pour briser les communications de leur cible, des hackers pro-russes ont également multiplié des actes ou tentatives de sabotages. La plus connue et visible l’a été la veille du conflit sur l’entreprise ViaSat et son réseau satellitaire KAT-SAT, qui fournissait notamment l’armée ukrainienne en connexion internet. Les effets de bords ont été nombreux en Europe : avec près de 10 000 accès internet coupés en France, ou encore des systèmes de contrôle d’éoliennes déconnectés en Allemagne. D’autres tentatives, menées sur le réseau d’électricité ukrainiens ont été cependant moins efficaces.
« En matière de connexion à internet, la Russie a un très fort focus sur la question de la souveraineté. Cela s’est vu aussi dans sa capacité après avoir conquis la ville de Kherson, à couper le FAI ukrainien pour rétablir l’accès internet à travers un opérateur russe en une nuit et contrôler ainsi les informations disponibles » note par ailleurs le Dr. Michel Dubois.
Conti, PME du crime cyber enterrée par la guerre
Le groupe Conti a particulièrement été mis sur le devant de la scène en 2022 dans le cadre de la guerre en Ukraine. Né en février 2020, et héritier d’un autre groupe criminel de ransomware bien connu Ryuk/Wizard Spider, ces hackers n’ont pas tant intéressé du fait de leur modus operandi, somme toute classique, mais par leur haut degré de professionnalisation. Véritable PME du crime cyber, l’organisation a pu compter jusqu’à une centaine de personnes, traitées comme de véritables salariés, dans le cadre d’un organigramme bien défini, incluant des fonctions support RH ou formation, et avec un salaire moyen estimé à 1800 dollars. La location de locaux, l’achat de licence d’outils commerciaux ayant pignon sur rue comme CobaltStrike, à travers une société écran, ou encore l’embauche d’un communiquant pour mettre la pression sur ses victimes, sont autant de points différenciants pour ce groupe qui a collecté au moins 180 millions de dollars en 2021 par ses actions malveillantes.
Conti a cependant « explosé en vol » comme le rappelle l’expert du Clusif Gerôme Billois, en prenant partie pour la Russie dès le début du conflit. D’une part, sous la pression de l’embargo américain, il est devenu très dangereux pour ses victimes de payer des rançons vers la Russie ; d’autre part, l’un de ses membres, pro-ukrainien, a révélé sur la place publique les secrets et outils du groupe, en représailles. Avant de se disperser et de rejoindre d’autres groupes de hackers, les membres de Conti ont cependant mené un « baroud d’honneur » avec l’attaque du Costa Rica, qui a marqué les esprits. Fin avril 2022, la veille de la clôture des déclarations des impôts, les hackers ont bloqué le ministère des Finances du pays d’Amérique centrale, avant d’enchainer sur d’autres ministères, ses hôpitaux, des infrastructures publiques… Et un message sarcastique « Votre pays a été détruit par deux personnes, payez la rançon ».
Cette offensive cyber n’est pas allé sans riposte du côté pro-ukrainien. Dès le début du conflit, des activistes biélorusses ont ainsi attaqué la société ferroviaire de leur pays, allié de la Russie, pour ralentir les déplacements et le déploiement de troupe en direction de l’Ukraine.
Une autre action très médiatique a été la création de « l’Armée IT » par le ministre ukrainien du numérique. Cette entité, appelant à la mobilisation de volontaires dans le monde entier, leur a ensuite donné des « kits d’outils cyber » et des cibles à attaquer. Ce qui n’a pas été sans conséquences pour les volontaires, souvent peu préparés à la réalité d’un conflit dans le cyberespace. Des jeunes français se sont ainsi clairement mis en danger de la sorte, d’une part parce que de telles actions sont illégales en France, mais aussi du fait des « hackbacks », les ripostes cyber de leurs adversaires, les ciblant.
Plus de 80 groupes criminels cyber mobilisés
Le célèbre groupe de hackers Anonymous a été très actif dès le début du conflit en menant une intense propagande par SMS et e-mail en faveur de l’Ukraine. Mais leurs actions se sont rapidement élargies, là aussi avec de nombreux effets de bords en dehors du pays agressé : le groupe s’en est pris aux membres de l’Otan et de l’UE, ainsi qu’aux entreprises qui avaient des activités en Russie, afin de pousser ces entités à l’action. Le piratage de la télévision russe pour passer un message anti-guerre et la création d’un embouteillage monstre à Moscou en réservant tous les taxis de la ville à la même adresse, fait partie des autres faits d’armes des hackers pro-ukrainiens.
En dehors de l’Ukraine, les conséquences en rebond au conflit cyber ont été nombreuses. Les Etats-Unis ont voté un texte de loi renforçant massivement leur cyberdéfense, alors qu’en Russie, Facebook et Twitter se voyait tout simplement interdit d’usage. Le géant des bases de données « libre » MongoDB a pour sa part radicalement effacé toutes ses bases de données localisées en Russie. Quant à la première organisation mondiale de bug bounty mondiale, HackerOne, elle a largement sanctionné ses membres à la fois russes et ukrainiens.
Au total, ce sont plus de 80 groupes cyber qui ont été identifiés comme actifs à l’occasion du conflit. Ils se répartissent de façon à peu près égale entre un soutien à la Russie et à l’Ukraine, mais la Russie semble avoir organisé un véritable système, hiérarchisé et rattaché à ses différentes entités militaires et du renseignement officielles, pour ces « suppléants cyber ». Côté ukrainien, l’organisation, plus récente, et également moins ordonnée. Enfin, le Dr Michel Dubois note l’arrivée plus tardive dans les évènements de groupes cyber qui pourraient être associé à la Chine. Ceux-ci font montre d’un grand opportunisme, attaquant des cibles variées autour du conflit, profitant de la confusion amenée par la guerre.
Les jeux olympiques future cible idéale ?
Alors que la guerre en Ukraine s’est invité dans les débats sur la préparation des jeux olympiques 2024, avec des demandes d’exclusion des athlètes russes des compétitions, le Clusif avait demandé aux responsables de la sécurité numérique de l’évènement mondial de venir présenter leurs enjeux en clôture de la présentation des travaux du Panocrim. Franz Regul, RSSI et Dominique Yang, RSSI adjoint ont ainsi pu partager les chiffres clés numériques de ces JO2024 : 13,5 millions de spectateurs attendus sur le terrain et 4 milliards connectés, 350 000 heures de diffusion de vidéo prévues, 12 000 écrans déployés, et un système d’information composé de 13 000 postes de travail, 200 applications et plus de 7000 points d’accès wifi.
« Lors de jeux olympiques de Tokyo, on a recensé 4,4 milliards d’évènements de sécurité dans les logs. A Paris pour les JO2024, il faudra sans doute multiplier ce nombre par huit » ont souligné les experts. Mais leur hantise est plutôt de revivre le scénario « Olympic Destroyer » du nom de l’attaque qui a touché les JO de PyeongChang en 2018, juste avant la cérémonie d’ouverture. Pour l’éviter, les organisateurs s’astreignent à des pratiques de security by design à tous les niveaux, de la gouvernance des projets jusqu’à la sélection des fournisseurs. Les tests sont permanent, notamment avec des cyber wargames « en condition réelle » et des évènements sportifs tests dans d’autres compétitions pour lesquels le comité d’organisation fourni les services de sécurité. Et vis-à-vis du grand public, un rappel : il n’y aura pas de revendeurs de billets pour les JO de Paris, et aucun billets au format papier. Tout passera uniquement par les plateformes : https://tickets.paris2024.org/ et https://www.paris2024.org