Cinq choses à savoir sur la cyberguerre en Ukraine

Einstein a dit un jour qu'il ne savait pas quelles armes seraient utilisées pour la prochaine guerre mondiale, mais qu'il craignait que la guerre ne soit menée qu'avec des bâtons et des pierres. Une nouvelle confrontation mondiale est hautement improbable en ce moment, mais les armes utilisées sont toujours plus high-tech car certaines utilisent désormais du code informatique en lieu et place de poudre à canon.

Alors que les premières troupes russes commençaient à arriver en Ukraine, les experts en cybersécurité du monde entier se préparaient au pire – certains des plus grands gangs de cybercriminalité au monde sont connus pour avoir des liens étroits avec le gouvernement russe et opèrent à partir de soi-disant «paradis des hackers» dans le l'espace ex-soviétique.

Les craintes ont pris vie lorsque le groupe de rançongiciels Conti a publiquement promis son soutien à la cause russe. Plusieurs banques et institutions publiques ukrainiennes ont été touchées par des attaques DDoS et des logiciels malveillants d'effacement de données, mais les attaques de représailles contre les institutions publiques et les entreprises occidentales sont restées rares. Pour le moment.

Est-ce le signe que la plupart des organisations ont correctement évalué le danger et renforcé leur sécurité, ou est-ce simplement le calme avant la tempête ?

Voici ce que nous savons jusqu'à présent :

Pour l'instant, l'Ukraine est la cible principale

Jusqu'à présent, la plupart des cyberattaques se sont strictement concentrées sur les organisations ukrainiennes, en au moins trois vagues distinctes :

• le 14 janvier, 70 sites Web gouvernementaux ont été dégradés et mis hors ligne, y compris le ministère des Affaires étrangères et le Conseil de sécurité et de défense. Cependant, selon les rapports, aucune donnée n'a été divulguée et les temps d'arrêt ont duré quelques heures. Presque au même moment, le Microsoft Threat Intelligence Center (MSTIC) a signalé un logiciel malveillant actif, appelé WhisperGate, qui ressemblait à un rançongiciel mais ne disposait pas d'un composant de récupération. Cela signifiait qu'il était en fait conçu pour détruire des données.
• le 15 février, les deux plus grandes banques ukrainiennes ont été mises hors ligne par une attaque massive par déni de service distribué (DDoS) qui a également affecté les applications mobiles et les distributeurs automatiques de billets.
• le 23 février, une autre attaque DDoS a détruit des sites militaires et gouvernementaux tandis qu'un effaceur de données appelé HermeticWiper a été détecté sur des centaines d'ordinateurs appartenant à diverses organisations ukrainiennes. Simultanément, MSTIC a détecté un cheval de Troie appelé FoxBlade qui peut subrepticement armer les ordinateurs des victimes et les utiliser dans des attaques DDoS.

Malgré l'intérêt évident de perturber l'infrastructure ukrainienne, il n'y a aucune garantie que des logiciels malveillants comme WhisperGate, HermeticWiper ou FoxBlade ne se propagent aux ordinateurs d'autres pays également. De plus, alors que de plus en plus de pays se joignent aux sanctions contre la Russie, les pirates informatiques soutenus par la Russie pourraient changer d'orientation et exercer des représailles.

L'Ukraine riposte

Les hackers soutenus par le Kremlin ont peut-être eu l'avantage de la surprise, mais la cyberguerre n'est pas du tout à sens unique. Au contraire, après le choc initial, le gouvernement ukrainien a appelé à la constitution d'une cyberarmée informatique volontaire qui a rapidement commencé à riposter : le collectif de hackers Anonymous a détruit le réseau interne des chemins de fer biélorusses et près de 300 sites Web d'entreprises en Russie. Les messages internes et le code source de Conti ont été divulgués, le site du Kremlin a été piraté, l'Institut nucléaire russe et l'agence spatiale russe ont subi des violations de données et des chaînes de télévision russes ont été piratées pour montrer de vraies images d'Ukraine.

Cela ne touche pas que les entreprises

Il existe une croyance selon laquelle les acteurs étatiques ne s'en prennent qu'aux entreprises et aux institutions publiques, mais ce n'est pas le cas. Parfois, ils ciblent également les citoyens ordinaires. Fin février, l'équipe nationale d'intervention d'urgence informatique pour l'Ukraine a émis un avertissement concernant une importante campagne de phishing contre le personnel militaire. Plus inquiétant encore, des responsables européens ont été ciblés par des logiciels malveillants dans une tentative apparente de perturber les efforts visant à aider les réfugiés ukrainiens.

Qu'ils cherchent à recueillir des renseignements, à hameçonner des informations d'identification ou à entraver les efforts humanitaires, les acteurs étatiques ne font aucune discrimination lorsqu'il s'agit de cibler des personnes ordinaires. Même si vous n'êtes pas directement impliqué dans la situation actuelle, c'est toujours une bonne idée de protéger vos appareils contre les logiciels malveillants, de les mettre à jour régulièrement, d'utiliser des mots de passe forts et de faire attention aux escroqueries et aux e-mails de phishing.

Des tiers profitent de la situation

Les chercheurs de Bitdefender Labs ont détecté des vagues d'e-mails frauduleux et malveillants exploitant la crise humanitaire et l'esprit de charité de millions de personnes à travers le monde. Le conflit en Ukraine est une mine d'or pour les escrocs et les groupes criminels qui ne sont pas nécessairement impliqués politiquement mais qui aiment gagner de l'argent. L'une des méthodes préférées consiste à utiliser des e-mails frauduleux demandant aux destinataires de donner de l'argent. Les escrocs se font passer pour le gouvernement ukrainien, l'agence humanitaire internationale Act for Peace, l'UNICEF et l'Ukraine Crisis Relief Fund pour demander des dons en cryptomonnaies.

La cyberguerre pourrait être la prochaine guerre froide

L'absence d'attaques dévastatrices sur des cibles occidentales à l'échelle de Colonial Pipeline ou de Kaseya ne signifie pas que le danger est passé. Même si le conflit militaire prend fin, le cyberconflit est susceptible de persister pendant des années et toutes les parties impliquées, qu'il s'agisse d'agences gouvernementales, d'entreprises privées ou d'utilisateurs ordinaires, doivent l'accepter.

Qu'on le veuille ou non, les cyberattaques utilisées pour le sabotage ou l'espionnage ne vont pas disparaître de sitôt pour un certain nombre de raisons : elles sont peu coûteuses et efficaces, elles peuvent être lancées de n'importe où dans le monde, elles rapportent beaucoup d'argent, la responsabilité des États est difficile à prouver et, surtout, le nombre de cibles potentielles est pratiquement illimité.

Pour plus de conseils, veuillez consulter notre guide dédié à la cybersécurité dans les zones de conflit.

En réponse à la crise militaire et à l'augmentation de l'activité cybercriminelle, Bitdefender et la Direction nationale roumaine de la cybersécurité (DNSC) offrent une protection de cybersécurité gratuite à tout citoyen, entreprise ou institution ukrainien, aussi longtemps que nécessaire.