La guerre Ukraine Russie se décline en numérique
La guerre entre l'Ukraine et la Russie ne se déroule pas que sur le terrain physique : elle a aussi envahi l'espace numérique, avec des cyberattaques et des fausses informations. Les autorités recommandent la vigilance.
Après des semaines de tensions, de négociations et de déclarations, la guerre a fini par éclater ouvertement entre l'Ukraine et la Russie le 24 février dernier. Et si le conflit se déroule sur le terrain physique aux portes de l'Europe, avec les conséquences que l'on connaît pour les populations, il se décline aussi dans l'espace numérique, aussi bien sur les réseaux sociaux que sur les infrastructures, via des cyberattaques, souvent au-delà des frontières, et parfois avec une portée qui n'a rien de virtuel.
Guerre en Ukraine : des images détournées
La première arme de la cyberguerre, c'est l'information. Ou, plutôt, la désinformation. Et si tous les grands médias traditionnels (journaux, télés, radios) couvrent le conflit sur place avec des envoyés spéciaux et des correspondants locaux qui partagent leurs observations en temps quasi réel, avec des témoignages, des reportages et des images certifiées, les réseaux sociaux sont exploités pour diffuser des fausses informations et de la propagande. On ne compte plus les photos et les vidéos détournées qui pullulent depuis une semaine sur la Toile : des fake news alimentées par des extrémistes et des officines gouvernementales qui souhaitent semer le doute et la confusion, et malheureusement relayées sans réflexion ni vérification par des utilisateurs naïfs ou émotifs. Comme l'ont relaté The Vergue et The Guardian, Facebook a déjà pris des mesures pour démanteler ces réseaux de désinformation, mais les fausses nouvelles circulent également sur Twitter et YouTube. Pour lutter contre la propagation des fake news, plusieurs organismes ont mis en place des cellules de vérification (fact checking, en anglais), à l'instra de Franceinfo qui y consacre plusieurs articles dans sa rubrique Le vrai du faux. On y trouve, par exemples, des images détournées de parade militaire, de drapeaux, de bombardements et d'explosions, certaines étaient même issues de jeux vidéo ! Le phénomène a d'ailleurs pris tellement d'ampleur que même BFMTV, la chaîne d'information en continu pourtant friande de temps réel et d'exclusivité, prend désormais le temps de vérifier soigneusement l'authenticité des images qui circulent avant de les diffuser et de les commenter. D'une façon plus générale, tous les acteurs recommandent de se méfier des informations partagées sur les réseaux sociaux et d'attendre leur confirmation avant de les partager.
Des cyberattaques détectées dès le début du conflei
Bien entendu, la cyberguerre ne se cantonne pas à la désinformation sur les réseaux sociaux. Elle touche aussi les services et les infrastructures numériques, avec des cyberattaques et des logiciels malveillants. Ainsi, quelques heures avant le début des hostilités, les chercheurs en sécurité d'Eset Research ont détecté un malware destructeur qui avait infecté "des centaines de machines" en Ukraine, ainsi qu'en Lettonie et en Lituanie. Baptisé HermeticWiper (alias Win32/KillDisc.NCV), ce logiciel malveillant de type wiper a effacé l'intégralité des fichiers contenus dans les ordinateurs ciblés, allant jusqu'à supprimer leur MBR (le secteur d'amorçage qui sert au démarrage) pour les rendre totalement inutilisables. Cette première cyberattaque a été suivi par une seconde, avec un malware dénommé IsaacWiper, mais les experts n'ont pas pu déterminer l'origine exacte de ces logiciels de destruction, même si des traces indiquent qu'ils auraient été créés dès la fin 2021.
#BREAKING #ESETresearch continues to investigate the #HermeticWiper incident. We uncovered a worm component #HermeticWizard, used to spread the wiper in local networks. We also discovered another wiper, called #IsaacWiper deployed in #Ukraine. https://t.co/hBA2NKy5Lf 1/4 pic.twitter.com/NzPIsYiwWW
— ESET research (@ESETresearch) March 1, 2022
Les chercheurs de Symantec ont également détecté un malware de type wiper qui s'est lui aussi propagé en Ukraine, en Lettonie et en Lituanie dans le même temps, sans en déterminer non plus l'origine. En revanche, des agences de cybersécurité américaines et britanniques ont mis la main sur un nouveau cheval de Troie très sophistiqué issu du groupe de pirates russes Sandworm. Baptisé Cyclops Blink, il a infecté des équipements pare-feu de la société WatchGuard pour créer un botnet. Pour mémoire, Sandworm est célèbre pour avoir provoqué des coupures de courant en Ukrraine en 2015 et 2016 et serait à l'origine de NotPetya, un vers qui avait provoqué des dommages informatiques dans le monde entier. Enfin, signalons que de nombreuses attaques par déni de service (des DDoS) ont été relevées dans les premières heures du conflit. Rappelons que cette technique d'agression – et classique – permet de saturer des serveurs afin de neutraliser des services en ligne.
Cyberguerre : les hackers prennent parti
Face à ces attaques, le monde des hackers s'est mis en marche. De nombreux groupes sont entrés en guerre, certains militant pour les Russes, à l'instar du groupuscule Conti, dont des données ont aussitôt été piratées et diffusées sur la Toile par des organisation favorables aux Ukrainiens. Même si ces informations confidentielles sont à manier avec précautions, elles sont téléchargeables en anglais sur GitHub. L'Ukraine a même décidé de former une armée numérique – IT Army – capable de mener des cyberattaques. Mykhailo Fedorov, le ministre de la transformation numérique ukrainien, a lancé un appel sur Tweeter pour attirer des candidats volontaires et sur sa chaîne Telegram, qui compte déjà plus de 250 000 abonnés, l'IT Army of Ukraine affiche une liste de sites Web gouvernementaux, de banques et d'entreprises liées à la Russie et à la Biélorussie à cibler en priorité.
L'État appelle à la plus grande prudence
Face à cette situation inédite aux menaces qu'elles font peser, les institutions appellent à la plus grande vigilance. En France, tous les organismes dépendant de l'État ont été sensibilisés, et des courriels sont envoyés aux agents pour les inciter à la prudence. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a d'ailleurs publié un bulletin d'alerte spécifique : "Les tensions internationales actuelles, notamment entre la Russie et l'Ukraine, peuvent parfois s'accompagner d'effets dans le cyberespace qui doivent être anticipés. Si aucune cybermenace visant les organisations françaises en lien avec les récents événements n'a pour l'instant été détectée, l'ANSSI suit néanmoins la situation de près. Dans ce contexte, la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles pour garantir la protection au bon niveau des organisations", déclare l'agence sur son site, en rappelant les consignes d'usage et en diffusant les mesures cyber préventives prioritaires à mettre en place sous forme d'un document PDF. Nul ne sait à cette heure sur quoi débouchera la crise actuelle, mais il semble en effet bon de prendre quelques précautions pour éviter que la cyberguerre ne s'étende en faisant des dégâts plus graves…