La guerre en Ukraine ne suit pas le cours prévu. L'armée russe n'a pas simplement marché à travers le pays, et l'invasion a été non accompagné par une augmentation massive des cyber-opérations dirigées contre les infrastructures critiques ukrainiennes.
Tout cela pourrait changer dans un instant – mais pour l'instant, le conflit Russie/Ukraine est susceptible de redéfinir la relation entre la guerre cinétique et la cyberguerre. Tout a commencé comme prévu : une montée en puissance militaire à la frontière et une multiplication des cyber-opérations contre l'Ukraine destinées à préparer le champ de bataille.
Ces cyberopérations se sont poursuivies mais n'ont pas atteint l'ampleur escomptée. De nouveaux logiciels malveillants destructeurs ont été détectés sur des ordinateurs ukrainiens, mais pour la plupart, ils sont ciblés et ne sont pas en eux-mêmes conçus pour causer des dommages étendus à l'infrastructure. Ils ont commencé avec chuchotement détectés par Microsoft en janvier, mais ont été suivis par Hermétique, IsaacEssuie-glace, et FoxBlade (bien qu'il existe certaines suggestions selon lesquelles HermeticWiper et FoxBlade sont des noms distincts pour le même logiciel malveillant).
Il n'existe actuellement aucune preuve publique que ces logiciels malveillants sont des opérations d'État - mais cela semble probable. Les essuie-glaces n'offrent pas aux gangs criminels une méthode facile de monétisation. Alors qu'ils pourraient être développés et utilisés par des hackers « patriotiques » souhaitant faire avancer leur propre cause, tous ces exemples ont été développés bien avant le conflit.
Une escalade pourrait bien sûr encore se produire. "Il est faux de s'attendre à ce que la cyberactivité de la Russie contre l'Ukraine diminue maintenant que l'invasion a commencé", a déclaré Tim Kosiba (actuellement PDG de Bracket f, une société détenue par [expurgé], mais un ancien directeur technique du US Cyber Command) a déclaré SecurityWeek. Mais pourquoi ce n'est pas encore le cas, du moins au moment d'écrire ces lignes, reste un mystère.
Si vous voulez mettre une nation à genoux métaphoriquement, la voie la plus rapide serait probablement sa distribution d'énergie. « Perturbez l'alimentation électrique et vous avez un impact immédiat qui s'aggrave avec le temps », explique Lou Steinberg, fondateur et associé directeur de CTM Insights. « Sans électricité, la nourriture pourrit. Les médicaments gâtent. Les stations-service ne peuvent pas faire fonctionner les pompes, donc le carburant pour les camions est bloqué dans des réservoirs souterrains. Pas de camions signifie pas de nourriture et de médicaments de remplacement. Les usines de traitement de l'eau et des eaux usées s'arrêtent. Les gens meurent.
La Russie a déjà testé des cyberopérations contre le pouvoir ukrainien en 2015 et en retard 2016. En 2022, il a choisi une voie différente - il a capturé la centrale nucléaire de Zaporizhzhia par une action militaire. Nous ne savons pas si c'était parce qu'il ne pouvait pas détruire le fonctionnement de l'usine par des moyens cybernétiques, ou si cela faisait partie d'un motif plus large d'occuper l'Ukraine (ce qui nécessiterait de laisser l'infrastructure en grande partie opérationnelle) ou de détruire l'Ukraine (ce qui ne nécessitent une infrastructure opérationnelle).
C'est le principal problème que nous avons pour comprendre l'utilisation actuelle et future potentielle du cyber dans cette guerre. Il est impossible de deviner les plans de Poutine (s'il en a) ou ses motivations (qui peuvent changer à tout moment).
Ce qui est clair, cependant, c'est que le monde entier est sous la menace de quelque chose qui pourrait commencer par une cyberguerre mondiale en expansion et se transformer en une guerre cinétique mondiale et même nucléaire. Les deux principales façons dont cela pourrait se produire sont une réponse russe aux sanctions occidentales et/ou un effet de l'activité incontrôlée de pirates « patriotiques » non étatiques de chaque côté.
Les sanctions
Les sanctions sont un exercice d'équilibre délicat. Ils doivent être assez durs pour blesser l'autre côté sans être si durs qu'ils causent des dommages égaux au marché intérieur et causent la perte du soutien public. Les sanctions actuelles imposées par l'Occident sont sévères et pourraient être encore plus sévères si elles n'avaient aucun effet.
L'Institut international d'études stratégiques (IISS) estime que Poutine a commis une erreur stratégique majeure en envahissant l'Ukraine. Il a sous-estimé la résistance ukrainienne, il a surestimé le soutien national et il a uni le monde dans la condamnation et les sanctions contre la Russie.
"Poutine a largement sous-estimé la cohésion et la détermination occidentales", écrit Nigel Gould-Davies, chercheur principal pour la Russie et l'Eurasie à l'IISS. « La Russie fait désormais face à une série de sanctions jamais infligées à une grande économie, notamment le gel des avoirs de la banque centrale. La politique allemande a subi un changement sismique : la suspension du gazoduc Nord Stream 2, l'exclusion des entités russes de SWIFT et la décision historique d'envoyer des armes à l'Ukraine.
C'est la réponse possible de Poutine à ces sanctions qui est préoccupante. Le samedi 5 mars 2022, il a déclaré que des sanctions occidentales paralysantes s'apparentaient à une déclaration de guerre. Interrogés sur ce qui pourrait inciter la Russie à diriger des cyberopérations contre l'infrastructure critique des États-Unis et des pays de l'OTAN, la plupart des observateurs répondent par des "sanctions qu'il juge trop sévères".
C'est une préoccupation. Les observateurs de la sécurité avertissent depuis des années que des États adversaires, dont la Russie, se surveillent et s'intègrent dans les infrastructures critiques américaines et européennes « juste au cas où ». Cette crainte est amplifiée par le potentiel inconnu que les acteurs étatiques russes auraient pu utiliser les attaques SolarWinds et la vulnérabilité Log4j de l'année dernière. Le danger est que Poutine puisse avoir l'impression que le moment du "juste au cas où" est venu - surtout si les sanctions sont si sévères qu'il sent qu'il n'a plus rien à perdre.
Cependant, Andras Toth-Czifra, analyste principal du renseignement mondial chez Flashpoint, suggère que la politique de sanctions occidentales doit frapper la Russie si durement et si rapidement que la capacité politique de Poutine à réagir est dégradée. "Il semble que la stratégie de sanctions vise à obtenir des résultats rapides ou à précipiter un changement de politique rapide et radical en Russie, en s'appuyant sur le mécontentement social et les fissures des élites que ces mesures vont exacerber", a-t-il déclaré. SecurityWeek. "Le risque que le président russe réagisse de manière asymétrique et progressive est présent, cependant, le soutien interne à la guerre en Ukraine est mince et risque de s'affaiblir davantage alors que l'armée russe et l'économie russe subissent de lourdes pertes."
Le Dr Danny Steed, maître de conférences en cybersécurité à l'Université de Cranfield, a un point de vue similaire. "Ce qui devrait être une grande préoccupation pour les nations occidentales, c'est de savoir comment la Russie pourrait déployer des cyber-moyens pour contrer des efforts tels que les sanctions", prévient-il. "Avec l'Occident qui ne favorise clairement pas sa propre réponse militaire, l'utilisation de sanctions pourrait inviter des cyberattaques contre les économies occidentales en tant que réponse russe."
Jusqu'à présent, il semble que les agences occidentales se soient abstenues de mener des cyberopérations directes contre la Russie en réponse à son invasion de l'Ukraine. Cela pourrait-il être maintenu si la Russie déchaînait des dégâts majeurs, par exemple, aux États-Unis avec des attaques contre le CNI ? C'est peu probable. Tous les pays « occidentaux » dotés d'une capacité de cyberattaque, notamment les États-Unis, le Royaume-Uni, l'Australie et peut-être Israël, seraient obligés de réagir. C'est une escalade, et on ne sait pas où cela pourrait mener.
Activité de hacker patriotique sans entraves
Les sanctions ne sont pas la seule cause potentielle d'une escalade des hostilités au-delà des frontières de l'Ukraine. Il semble que les acteurs étatiques russes s'efforcent de cibler leurs activités et d'empêcher leurs logiciels malveillants de s'échapper dans le monde entier, comme NotPetya fait en 2017. De même, les agences occidentales font apparemment des efforts pour contrôler leurs propres cyberopérations. Mais les gangs criminels et les pirates individuels n'ont ni le même niveau de discipline ni les mêmes compétences pour garantir que leurs actions n'aggravent pas la situation. Et ces gangs et ces individus prennent rapidement parti dans le conflit.
Le collectif Anonymous a été l'un des premiers. Ce annoncé sur Twitter le 24 février, « Le collectif Anonymous est officiellement en cyberguerre contre le gouvernement russe ». Son fil Twitter regorge désormais d'allégations de piratage, d'attaques DDOS réussies et de fuites d'informations sensibles sur les sites d'actualités et gouvernementaux russes.
Conti a été l'un des premiers gangs criminels à se ranger du côté de la Russie - mais une tournure montre la complexité de la situation. Le 27 février 2022, Conti a émis un avertissement, "Nous utiliserons nos ressources pour riposter si le bien-être et la sécurité de citoyens pacifiques sont en jeu en raison de la cyberagression américaine."
Calvin Gan, directeur principal de l'unité de défense tactique de F-Secure, commente : « On sait depuis longtemps que les groupes de rançongiciels ont souvent des développeurs en Russie et en Ukraine, et cette position ferme de Conti a conduit leurs membres ukrainiens à divulguer des informations internes. Les fuites de Conti ont été publiées par les membres ukrainiens sur Twitter, commençant le lendemain de l'"avertissement" et se poursuivant aujourd'hui.
Les fournisseurs de sécurité se précipitent pour analyser ces fuites. Malwarebytes avertit que cela prendra un certain temps, mais commente : « Ce que nous savons déjà, c'est qu'il existe des informations extrêmement précieuses sur le groupe de rançongiciels Conti, en particulier sur la façon dont ils fonctionnent en tant qu'organisation et comment ils ciblent leurs victimes. Bien que Conti soit assez ingénieux et rebondira probablement, il ne fait aucun doute que ces fuites leur coûteront beaucoup d'argent et susciteront peut-être des craintes quant à leur identification en tant qu'individus.
Le 4 mars 2022, Flashpoint a signalé que le site Web souterrain Raid Forums - connu pour ses fuites de bases de données importantes - avait mystérieusement disparu. Il n'y a eu aucune revendication de responsabilité, mais Flashpoint note qu'il y a eu un sentiment pro-ukrainien croissant. Le jour où l'invasion a commencé, l'un des administrateurs ("moot") a déclaré que le site interdirait tous les utilisateurs tentant de se connecter à partir d'une adresse IP russe. Un jour plus tard, Kozak888 a divulgué une base de données appartenant à un service de livraison express russe. Il contenait 800 millions d'enregistrements, y compris les noms complets, les adresses e-mail et les numéros de téléphone. Kozak888 a déclaré que la fuite de la base de données était une conséquence de l'invasion de l'Ukraine par la Russie (les cosaques sont une vieille cavalerie célèbre avec des liens étroits avec l'Ukraine).
Le 26 février 2022, Mykhailo Fedorov (le ministre de la transformation numérique de l'Ukraine) annoncé le recrutement d'une armée informatique privée.
Cette nouvelle armée informatique civile est dirigée via Telegram. Au moment d'écrire ces lignes, le compte Telegram compte 35,483 XNUMX abonnés. La plupart seront des chercheurs, des journalistes et des agents du gouvernement – mais il ne fait aucun doute que de nombreux développeurs et hackers privés souhaiteront s'allier à l'Ukraine.
Outre les individus, des cybergroupes connus ont également pris parti dans le conflit. Un personnage connu sous le nom de CyberKnow a suivi ce développement. Sa dernière mise à jour était publié le 4 mars 2022, avec le commentaire suivant : "Il s'agit d'essayer de saisir à quoi pourrait ressembler l'espace de cyber-combat dans n'importe quel conflit."
Les couleurs rouge et jaune indiquent les affiliations de base. "Les groupes d'Orange sont désormais inactifs sur Twitter - ils ont soit fermé leurs profils, soit ils ont été fermés", explique CyberKnow. Ce qui est clair, cependant, c'est que la guerre russo-ukrainienne a un effet très polarisant parmi les cybercriminels.
Le danger est que ces groupes ne sont pas contrôlés de manière centralisée et n'ont pas la discipline, ni très probablement les compétences, des acteurs étatiques. La possibilité que ces groupes indépendants attaquent directement l'infrastructure critique de l'autre côté, ou la fuite accidentelle de logiciels malveillants destructeurs tels que des essuie-glaces en dehors des limites géographiques de la zone de guerre, ne peut être ignorée.
Certains de ces groupes pourraient bien croire qu'ils sont protégés par la soi-disant non-imputabilité d'Internet. C'est une erreur. Les agences de renseignement occidentales savent qui sont ces groupes, où ils opèrent et ce qu'ils font. Cependant, leurs fausses croyances peuvent les inciter à s'engager dans des attaques destructrices contre les infrastructures militaires et civiles critiques des États-Unis et de l'OTAN. Il s'agit là d'un potentiel majeur d'escalade de la cyberactivité. La manière dont les gouvernements occidentaux réagiront à de telles attaques – si elles se produisent – sera cruciale.
Il s'agit clairement d'une menace que les puissances occidentales comprennent et au moins en partie à laquelle elles s'attendent. "Les logiciels malveillants destructeurs peuvent présenter une menace directe pour les opérations quotidiennes d'une organisation, affectant la disponibilité des actifs et des données critiques", annoncé CISA. « D'autres cyberattaques perturbatrices contre des organisations en Ukraine sont susceptibles de se produire et peuvent involontairement se propager à des organisations dans d'autres pays. Les organisations doivent accroître leur vigilance et évaluer leurs capacités en matière de planification, de préparation, de détection et de réponse à un tel événement. »
Au Royaume-Uni, Lindy Cameron, directrice générale du Centre national de cybersécurité du GCHQ, a déclaré : « Dans un monde qui dépend si fortement des actifs numériques, la cyber-résilience est plus importante que jamais… Le Royaume-Uni est plus proche de la crise en Ukraine que vous ne le pensez… Si la situation continue de s'aggraver, nous pourrions assister à des cyberattaques qui ont des conséquences internationales, qu'elles soient intentionnelles ou non.
La réponse de l'entreprise à la situation
Toute entreprise, où qu'elle se trouve dans le monde, qui se considère trop petite ou trop inoffensive pour être menacée par les retombées cybernétiques de cette guerre devrait reconsidérer sa décision. La rapidité avec laquelle NotPetya s'est répandu dans le monde et la nature aveugle de ses victimes devraient être un avertissement. Il n'est pas certain que la cyberagression se propagera au-delà de la Russie/Ukraine, mais c'est une réelle possibilité.
Toutes les organisations doivent se préparer aussi bien et aussi rapidement que possible. Ce sont les bases qui sont les plus urgentes - à commencer par une main-d'œuvre informée et consciente. Chaque membre du personnel sensibilisé à la cybersécurité est en fait un pare-feu humain.
Au-delà de cela, tous les correctifs doivent être mis à jour le plus rapidement possible. Les applications anti-malware doivent être maintenues à la dernière version possible et configurées pour effectuer des analyses automatiques fréquentes.
Et, s'il n'est pas déjà implémenté, MFA doit être installé et activé dès que possible.
Services Connexes: La Russie, l'Ukraine et le danger d'une cyberguerre mondiale
Services Connexes: Russie vs Ukraine – La guerre dans le cyberespace
Services Connexes: Parlons de la cyberguerre mondiale avec Anton Shingarev de Kaspersky Lab
Services Connexes: Parler de la cyberguerre au Royaume-Uni avec Sir David Omand
Kevin Townsend est un contributeur principal chez SecurityWeek. Il écrit sur les questions de haute technologie depuis avant la naissance de Microsoft. Au cours des 15 dernières années, il s'est spécialisé dans la sécurité de l'information ; et a eu plusieurs milliers d'articles publiés dans des dizaines de magazines différents - du Times et du Financial Times aux magazines informatiques actuels et anciens.
Mots clés:
