Pourquoi les hackers russes visent nos sites Internet sensibles

Les Ukrainiens, au moins, n’ont pas vraiment été pris par surprise. «Depuis le temps qu’ils subissent les assauts de Vladimir Poutine, ils ont appris à parer ces cyberattaques russes», confirme le général Marc Watin-Augouard, fondateur du Forum international de la cybersécurité (FIC). Déjà, en 2015 puis en 2016, les Russes avaient plongé dans le noir des centaines de milliers d’habitants en piratant deux centrales électriques. L’année suivante, ces cybersoldats avaient paralysé des pans entiers de l’économie ukrainienne en infectant ses réseaux au moyen du «ver» NotPetya, conçu pour se répliquer automatiquement. «NotPetya a causé plus de 10 milliards de dégâts, en Ukraine et au-delà, car sa diffusion était vite devenue incontrôlable, au point que les Russes eux-mêmes avaient fini par être touchés», se souvient Maxime Arquillière.

Cet effet boomerang aurait incité les Russes à privilégier des armes moins dévastatrices. L’entrée dans le conflit des champions américains de la tech a un peu plus contrecarré les plans de Moscou. Ainsi, le centre de renseignements sur les cybermenaces de Microsoft a-t-il été le premier à avertir Volodymyr Zelensky qu’une attaque numérique visait plusieurs de ses ministères et institutions financières, quelques heures à peine avant l’invasion russe. Google a déployé un système d’alerte aux bombardements qui prévient les habitants sur leur smartphone en cas de raid aérien. Amazon a fait rapatrier sur ses serveurs plus de 10 millions de gigaoctets de données sensibles du gouvernement, des banques et des entreprises stratégiques. Et Starlink, le service d’accès à Internet par satellite d’Elon Musk, a peut-être changé le cours de la guerre en maintenant des liaisons de communication entre les forces ukrainiennes. Les militaires y ont recours aussi bien pour contacter des centres de commandement que pour transmettre les coordonnées de cibles ennemies à bombarder.

Mais le coup de génie de Volodymyr Zelensky est d’avoir élargi ce cyberfront à toute la population, en appelant à la guerre numérique collaborative. «Si vous avez repéré des vulnérabilités dans les défenses russes (bugs, portes dérobées, identifiants), merci de nous communiquer l’information via le chatbot @stop_russian_war_bot. Des experts ukrainiens s’en serviront pour combattre l’occupant», tweetait le département de la Défense quelques jours après l’invasion. Depuis, 300000 volontaires seraient venus grossir les rangs de cette IT Army. Diverses applications proposent par ailleurs à chaque citoyen de se muer en cyber-résistant.

L’appli ePPO, aussi connue sous le nom eAir Defense Observer, invite ainsi monsieur Tout-le-Monde à signaler le moindre engin aérien suspect. Il suffit de préciser la nature de l’aéronef (un mode d’emploi apprend à distinguer les différents types d’appareil), puis de pointer son smartphone vers le drone ou l’avion pour transmettre les coordonnées de l’appareil à la défense ukrainienne. En octobre, ce dispositif aurait permis de détruire une roquette russe en plein vol. Et grâce à eVorog (traduisez : eEnnemi), une autre appli lancée sur Telegram par le ministère ukrainien de la Transformation numérique moins d’un mois après le début de l’invasion, près d’un demi-million d’Ukrainiens signalent les mouvements de troupes, aident à géolocaliser l’arsenal russe ou pointent les marquages effectués par l’envahisseur sur le toit des immeubles, annonciateurs de frappes aériennes. Les habitants peuvent ainsi être rapidement évacués avant les raids.

Gardons-nous cependant de sous-estimer les capacités de nuisance de Moscou. Car dans cette guerre de l’ombre, les principaux faits d’armes s’opèrent hors de portée des radars et des caméras de télé. Mandiant, une filiale de Google qu’on ne peut guère suspecter de faire la propagande du Kremlin, soupçonnait récemment un groupe de hackers russes d’avoir piraté le fabricant turc des drones Bayraktar TB2. Ces flibustiers high-tech auraient trouvé le moyen de neutraliser ces aéronefs. Livrés l’an dernier à Kiev, ces engins équipés de missiles s’étaient vite imposés comme une arme redoutable, contribuant même début mai à détruire deux bateaux russes. Depuis, ils ont mystérieusement disparu du ciel ukrainien.

Mandiant attribue cette opération à Sandworm. Réputé proche du GRU, le service d’espionnage militaire russe, ce groupe de hackers doit son nom (en français, le «ver des sables») à son modus operandi préféré, qui consiste à répandre sur le réseau des vers informatiques destructeurs. Mais le Kremlin s’appuierait sur de nombreuses autres bandes, toutes très spécialisées. Callisto, par exemple, serait très versée dans l’espionnage des ONG. «Parmi ses cibles, nous avons repéré des institutions qui collectent des informations sur d’éventuels crimes de guerre. On soupçonne que ce groupe cherche sinon à éliminer des preuves, à tout le moins d’aider Moscou à préparer sa défense», explique Maxime Arquillière. D’autres groupes, tel Cozy Bear, seraient chargés d’espionner la diplomatie de l’Otan, tandis que Turla chercherait à surveiller la logistique de l’armée ukrainienne…

Ces multiples passes d’armes sont surveillées avec attention par les autres cyberpuissances. Comme la Chine: alors que Xi Jinping ne cache plus ses intentions belliqueuses vis-à-vis de sa voisine Taïwan, des chercheurs liés à l’Armée populaire de libération (APL) ont par exemple appelé à neutraliser des satellites américains Starlink. «Leur excellente performance dans le conflit russo-ukrainien incitera certainement les Etats-Unis à y avoir recours dans d’éventuelles hostilités en Asie», avertissaient-ils en septembre.

Les Chinois pourraient aussi s’inspirer de la tactique russe en matière de contrôle de l’information. «L’annexion territoriale de l’Ukraine s’est doublée d’une annexion numérique, c’est une vraie nouveauté», analyse Julien Nocetti, spécialiste de la Russie et chercheur associé au programme Géopolitique des technologies à l’Institut français des relations internationales (Ifri). A mesure qu’ils progressent à travers le pays, les Russes attaquent les fournisseurs locaux d’accès à Internet et les opérateurs télécoms, bloquent l’accès à Facebook, Twitter ou Instagram et déconnectent les villes occupées du reste de l’Ukraine.

Leur objectif? Réaiguiller le trafic Internet vers Moscou, via une liaison haut débit déployée dès 2014, à l’occasion de l’annexion de la Crimée. «Ce reroutage facilite la surveillance des communications et la censure. Les régions occupées voient le monde à travers des lunettes russes», explique l’expert. Les Américains n’ont pas non plus perdu leur temps en venant renforcer la défense ukrainienne via l’US Cyber Command. Leurs opérations de soutien sur l’Internet européen, pour nous protéger d’éventuelles intrusions russes, leur ouvrent de fait les portes de nos réseaux… pour nous espionner sans risque.

A la France, et à ses partenaires européens, de tirer les leçons qui s’imposent. En surveillant notamment leurs liaisons Internet sous-marines, un point de fragilité. Ces câbles truffés de fibres optiques à très haut débit assurent pourtant l’essentiel de nos communications et font transiter chaque jour pour plusieurs milliards d’euros de transactions financières. Déjà, l’an dernier, Emmanuel Macron avait appelé la Marine nationale et les services de renseignements à intensifier leurs opérations de surveillance autour de ces autoroutes de l’information, pour parer à toute tentative de sabotage. Tandis qu’à l’été 2021, le «Yantar» avait été prié de s’éloigner des côtes irlandaises, alors qu’il semblait suivre le tracé d’une liaison télécoms connectée aux Etats-Unis.

Ce navire de renseignements russe était en effet équipé d’un sous-marin de poche, capable d’opérer à 6000 mètres de profondeur. Certes, en cas de rupture d’un câble dans nos eaux, les capteurs installés sur ces équipements émettraient un signal qui déclencherait l’intervention sous 48 heures d’un câblier de maintenance de la flotte d’Orange Marine, filiale de l’opérateur télécoms, ou d’Alcatel Networks. «Malgré tout, ni la France ni le Royaume-Uni ne disposeraient des moyens nécessaires en cas d’attaque simultanée», déplore Serge Besanger, professeur à l’Ecole supérieure du commerce extérieur et spécialiste des relations internationales. Problématique, alors que des espions ont déjà été repérés sur notre littoral.

Cette cyberprotection de nos infrastructures vitales est d’autant plus un enjeu de défense nationale que les cibles potentielles ne sont pas toujours celles que l’on imagine, comme les centrales nucléaires ou les réseaux de transports. En 2021, un hacker non identifié était par exemple parvenu à s’introduire dans le réseau de distribution d’eau de la ville d’Oldsmar, en Floride, pour intoxiquer les habitants à la soude caustique. L’attaque avait été repérée à temps pour éviter la catastrophe, seulement deux jours avant la finale du Super Bowl disputée dans la cité voisine de Tampa.

Mais c’est une dernière attaque que craignent les cyberservices du monde entier. Ou plus précisément une «apocalypse numérique», qui surviendra le jour où une puissance mondiale parviendra à dompter l’informatique quantique. Ce nouveau champ scientifique, qui exploite les propriétés de l’infiniment petit, pourrait en effet donner naissance à une cyberbombe, aussi puissante et stratégique que l’arme nucléaire. «Une machine quantique saurait effectuer en quelques minutes des calculs qui prendraient des milliers d’années avec les plus performants de nos ordinateurs actuels», résume Yvan Vanhullebus, référent technique R&D chez le spécialiste de la sécurité Stormshield.

Concrètement, cette puissance de feu arriverait à craquer toutes les clés de chiffrement qui empêchent aujourd’hui les cyberespions de percer nos dossiers secret-défense ou nos réseaux de télécommunications. «Si nous ne mettons pas rapidement en œuvre de nouveaux chiffrements capables de déjouer ces algorithmes, avertit l’expert, la nation qui parviendra la première à maîtriser cette technologie dominera toutes les autres dans le cyberespace.» Et pourra alors goûter au pouvoir suprême, qui garantit de soumettre ses adversaires sans avoir à faire parler la poudre à canon.

États-Unis

• Juin 2010 : Un virus introduit dans la centrale iranienne de Natanz détruit des centaines de centrifugeuses destinées à enrichir l’uranium.
• Juin 2019 : Après la destruction d’un drone américain par Téhéran, la Maison-Blanche lance des cyberattaques contre des systèmes iraniens delancement de missiles et de fusées.
• Juin 2019 : Des pirates de l’US Cyber Command pénètrent le réseau électrique russe pour y implanter des logiciels dormants, potentiellement paralysants.
• Septembre 2022 : La Chine accuse l’agence américaine de renseignement militaire d’avoir infiltré l’université de Xi’an, en pointe dans l’aéronautique et l’espace.

Israël

• Mai 2020 : L’Etat hébreu lance une attaque contre un terminal portuaire iranien. Les ordinateurs régulant le flux des navires et des camions tombent en panne et créent le chaos sur les voies navigables et les routes.

Russie

• Juin 2017 : Le virus NotPetya infecte des dizaines d’entreprises ukrainiennes. Puis il se propage et cause plus de 10 milliards de dégâts dans le monde entier. Le français Saint-Gobain évalue ses pertes à 250 millions d’euros.
• 2020 : Les Russes implantent un cheval de Troie dans un logiciel de SolarWinds, un spécialiste américain de gestion de réseau informatique. Ils pénètrent les systèmes de ses 18 000 clients, dont une dizaine d’agences publiques américaines.
• Février 2022 : Quelques heures avant l’offensive en Ukraine, le satellite de télécommunications Ka-Sat, exploité par l’état-major ukrainien, est attaqué par un effaceur de données. Il subit d’importantes coupures de signal.
• Décembre 2022 Des pirates russes font main basse sur des bases de données de l’Office national des anciens combattants, en France. Selon les experts, le but serait d’entrer en contact avec des militaires français.

Iran

• Février 2014 : Des hackers iraniens causent pour 40 millions de dollars de pertes en vandalisant le réseau d’un casino de Las Vegas. Son propriétaire avait appelé Washington à «raser Téhéran sous le feu nucléaire».
• Avril 2020 : Des pirates pénètrent des sites de distribution d’eau en Israël et tentent d’augmenter les niveaux de chlore pour empoisonner la population. L’attaque est déjouée à temps.
• Septembre 2022 : Une série de cyberattaques paralyse les services publics et détruit des archives numériques de l’Etat albanais. Tirana accueille depuis dix ans des exilés iraniens opposés au régime de Téhéran.

Chine

• Mars 2021 : Le groupe Hafnium, soutenu par Pékin, pirate la messagerie électronique de Microsoft pour accéder au système d’information de 60 000 PME et institutions du monde entier. L’Autorité bancaire européenne, installée dans le quartier de la Défense (92), fait partie des victimes.
• Juillet 2021 L’Agence nationale de la sécurité des systèmes d’information (Anssi) signale une campagne «particulièrement virulente», menée dans l’Hexagone par des hackers chinois.

Corée du nord

• 2021-2022 : De faux chasseurs de têtes trompent des ingénieurs d’entreprises de défense avec des e-mails piégés. Des gigaoctets de données sont siphonnés en France, en Italie et en Allemagne notamment.
• Mars 2022 : Les hackers d’élite du groupe Lazarus, proches du régime de Pyongyang, s’infiltrent dans des plateformes de cryptomonnaie pour dérober l’équivalent de 600 millions de dollars. Selon le FBI, cette monnaie virtuelle servirait à financer des missiles balistiques. des hackers chinois.