Plus de 17 ans après le développement, par la NSA et les Israéliens de l’unité 8200, de Stuxnet contre l’Iran, après Petya et NotPetya, les logiciels malveillants sont des armes de plus en plus utilisées en amont de la guerre «réelle». (Photo: Shutterstock)
Cyclops Blink, HermeticWiper ou NotPetya: ces noms ne vous disent peut-être rien. Mais ces logiciels, avec lesquels les hackers russes semblent attaquer l’Ukraine plus intensément depuis quelques semaines, selon Incert et d’autres experts, pourraient obliger l’Otan à réagir.
Officiellement, ni l’Otan ni les États membres de l’Union européenne n’interviennent militairement en Ukraine contre les Russes parce que le pays n’est membre d’aucune de ces deux alliances. Mais la situation pourrait changer, s’inquiètent des analystes de l’organisation transatlantique: les cyberattaques attribuées aux hackers russes – aux hackers d’État russes – pourraient avoir des impacts en dehors de l’Ukraine et sur le territoire de l’UE.
Les textes qui «encadrent» la guerre ont été laissés volontairement flous sur la question de la cyberguerre, mais combien d’opinions publiques accepteront que les patients d’un hôpital en Pologne ou en Italie meurent parce qu’un «ver» informatique vient effacer les données médicales sensibles ou interrompt le fonctionnement de ses installations alors que le serveur en question a été infecté depuis l’Ukraine?
Ce n’est pas de la science-fiction: en 2015 et 2016, des hackers présumés proches du Kremlin avaient par exemple interrompu le fonctionnement d’installations électriques en Ukraine avec CrashOverride , qui a valu des inculpations à six personnes aux États-Unis, en 2020 .
⚠️ Confirmed: #Ukraine's Ministry of Foreign Affairs, Ministry of Defense, Ministry of Internal Affairs, the Security Service of Ukraine and Cabinet of Ministers websites have just been impacted by network disruptions; the incident appears consistent with recent DDOS attacks 📉 pic.twitter.com/EVyy7mzZRrFebruary 23, 2022
Le premier niveau d’attaque, les attaques par déni de services (DDoS), rend des sites inutilisables. La semaine dernière, environ 70 sites gouvernementaux ukrainiens ont été rendus indisponibles pendant quelques heures, leur homepage affichant un message qui invitait les Ukrainiens à se préparer au pire.
En neuf mois, selon le service de sécurité ukrainien, 1.200 incidents avaient déjà été détectés l’an dernier.
10 milliards de dollars pour NotPetya
Mercredi, Eset et Symantec, deux sociétés spécialisées, ont découvert un «wiper», logiciel malveillant chargé d’effacer les données sur un site internet. HermeticWiper semblait déjà être en place depuis le 28 décembre, selon Incert, qui relaie les avertissements de sécurité. À la mi-janvier, l’Ukraine avait déjà été touchée par un autre wiper, WhisperGate, qui se faisait passer pour un ransomware ressemblant à NotPetya.
Ce dernier, connu depuis 2017, a coûté plus de 10 milliards de dollars à l’économie mondiale en étant disséminé depuis la Russie vers l’Ukraine, puis vers des centaines de sociétés en Europe et dans le monde. Dans la liste des cibles connues, on retrouve Mars ou Nivea (Allemagne), Maersk (Danemark), Lu, Saint-Gobain, Auchan ou SNCF (France), TNT Express, filiale de l’américaine FedEx, ou encore Merck (États-Unis).
Les recommandations de l’Incert
La semaine dernière, quatre agences – la NCSC britannique, le Cisa, la NSA et le FBI américains – ont alerté sur un autre logiciel malveillant, Cyclops Blink. Le successeur de Sandworm semble déployé depuis 2019 auprès du firewall de WatchGuard, sans que soit détaillé son mode d’action une fois qu’il a récupéré les logins et les mots de passe de ceux qui l’utilisent, plutôt dans un contexte professionnel, disent les experts.
Dans son avertissement, Incert invite à suivre la procédure mise en place par WatchGuard pour ceux qui pensent être victimes de Cyclops Blink, ainsi que les processus recommandés par l’agence britannique pour réinitialiser les mots de passe dans une organisation. Pour ceux qui seraient touchés par HermeticWiper – du nom d’une société chypriote impliquée dans le logiciel –, Incert renvoie vers les recommandations de l’agence de cybersécurité américaine .
L’agence luxembourgeoise rappelle aussi une série de principes de base pour une «cyber hygiene», qui vont de l’utilisation d’une identification à plusieurs facteurs à la mise à jour des logiciels aussi vite que possible, en passant par le signalement de tout comportement inhabituel du réseau ou encore de tester sa capacité à restaurer des données au plus vite en cas de souci.
Attaquée, l’Estonie choisit le Luxembourg
Face aux menaces, le vice-président ukrainien, Mykhailo Fedorov, a annoncé la création d’une armée digitale pour se battre contre les hackers russes et une douzaine d’experts européens de six pays (Lituanie, Croatie, Pologne, Estonie, Roumanie et Pays-Bas) forment une cyberforce de frappe européenne, la «cyber rapid-response team» (CRRT).
We are creating an IT army. We need digital talents. All operational tasks will be given here: https://t.co/Ie4ESfxoSn. There will be tasks for everyone. We continue to fight on the cyber front. The first task is on the channel for cyber specialists.February 26, 2022
La Russie a une fois de plus nié toute implication dans ces actes de cyberguerre, jugeant que les accusations étaient motivées par des considérations russophobes.
Et les Russes ne seraient pas les premiers à aller sur ce terrain. Américains et Israéliens ont utilisé un logiciel de ce type, Stuxnet, pour ralentir le programme d’enrichissement du nucléaire iranien à la fin des années 2000. Plus de 1.000 des 5.000 centrifugeuses auraient été rendues inutilisables grâce à ce malware.
C’est d’ailleurs à la même période, en 2009, que l’Estonie a été frappée par des attaques venues de Russie, lors de la «Web War One», une autre manifestation de la volonté de Poutine de remettre la main sur les anciennes républiques soviétiques qui avaient pris le large en 1991. L’Estonie, qui avait demandé à l’Otan de recourir à l’article 5 de ses statuts, qui prévoit que tous les autres membres de l’Otan agissent solidairement avec un membre attaqué, a finalement opté pour une solution «pragmatique»: l’ouverture d’une e-ambassade au Luxembourg. Considéré comme un territoire estonien, le centre de données abrite une copie de toutes les données sensibles du pays en cas de souci.
Petite victoire, ce lundi matin, un hacker ukrainien du très redouté et très efficace groupe russe Conti a publié 350.000 messages des hackers russes, furieux que ces derniers aient déclaré un soutien inconditionnel au président russe. From Europe with love … Le gang de 341 pirates détient 13 millions de dollars en bitcoins sur 200 adresses différentes. Dès le leak connu, ils ont annoncé redevenir neutres. Une déclaration de circonstance ou sincère, mystère.
/w=3840,quality=90,fit=scale-down)
