État des lieux au 25 Février 2022
L’escalade militaire en cours en Ukraine se manifeste également dans le cyberespace. La tension était déjà vive avant l’attaque. Depuis le début de l’offensive, un malware effaceur de données a été repéré par ESET sur des centaines de systèmes en Ukraine.
Le « brouillard de guerre » dissimule probablement d’autres cyberattaques en cours impliquant les deux protagonistes, voire des acteurs extérieurs.
Concernant la France, l’ANSSI appelle au « renforcement de la vigilance cyber », sans mentionner de menace spécifique dans sa communication publique sur les événements en cours.
Le CERT-XMCO suit attentivement la situation et notamment les réponses françaises et occidentales, pouvant entraîner des représailles de la Russie. Dans cette éventualité, les secteurs de l’Énergie, de la Télécommunication, des Transports, de la Finance et de la Défense semblent particulièrement menacés.
Chronologie des évènements récents
24 Février 2022 – 5h30 / Prise de parole de Vladimir Poutine
Après de nombreuses semaines de tensions, le jeudi 24 février à 5h30 du matin, heure de Moscou, Vladimir Poutine a pris la parole à la télévision pour annoncer le lancement d’une « opération militaire spéciale »[1].
Cette dernière fait suite à la reconnaissance officielle des Républiques séparatistes de Donetsk et de Lougansk par la Fédération de Russie qui avait ensuite envoyé des troupes afin de « les protéger d’une attaque de la part de l’armée ukrainienne ».
Malgré les nombreuses heures de négociations avec les États-Unis et l’Europe, au premier rang de laquelle, la France, Moscou a finalement choisi d’envahir l’Ukraine. Ainsi de multiples attaques ont été identifiées sur le territoire ukrainien, au Nord, au Sud et à l’Est. Des points stratégiques ont été ciblés par l’armée russe comme l’aéroport militaire d’Antonov à Gostomel[2], près de Kiev.
Les informations recueillies par les équipes du CERT-XMCO sont les suivantes à date :
- Le 15 février 2022 : Plusieurs banques ukrainiennes (Privatbank, OschadBank) ont été touchées par des attaques DDoS avec un impact modéré. Des attaques de ce type ont eu lieu fréquemment ces dernières semaines sur différentes banques et ministères, y compris le mercredi 23 février. Les institutions financières occidentales avaient incité les banques à augmenter leur résilience dans le domaine cyber face à l’augmentation des tensions entre la Russie et l’Ukraine[3] ;
- Mercredi 23 février : le site internet du ministère de la Défense a été touché par des attaques DDoS ;
- Mercredi 23 février : ESET[4] a rapporté la découverte d’un nouveau malware effaceur de données (data wiper) installé sur des centaines de systèmes en Ukraine. Selon Symantec[5], un sous-traitant du gouvernement ukrainien en Lettonie et Lituanie ainsi qu’une institution financière en Ukraine ont été touchés. Les indicateurs techniques montreraient une création du malware (nommé « HermeticWiper ») en décembre 2021. Ce n’est pas la première fois qu’un malware effaçant les données est utilisé contre des systèmes ukrainiens (confère « WhisperGate » le 14 février)[6] ;
- Jeudi 24 février – Des ministères ukrainiens touchés
Les sites internet de plusieurs ministères ukrainiens sont devenus difficiles d’accès et des instabilités de la connexion internet ont été rapportées dans plusieurs régions d’Ukraine[7] ;
- Jeudi 24 février – Des sites du gouvernement russe inaccessibles
Plusieurs sites du gouvernement russe sont devenus inaccessibles. Il peut s’agir de la conséquence d’attaques par déni de service mais aussi d’une mesure de protection par blocage des adresses IP non originaires de Russie. Le Centre national de coordination des incidents informatiques (NCCC) créé par le FSB a mis en garde les entreprises et administrations russes contre la menace d’une intensification des attaques informatiques[8] ;
- Vendredi 25 février – Appel du gouvernement ukrainien à des groupes de hackers
Le gouvernement ukrainien appelle les hackers du pays à « s’impliquer dans la cyber-défense du pays »[9] ;
- Vendredi 25 février – Le collectif « Anonymous » appelle à lancer des cyberattaques contre la Russie
Du fait de la complexité d’attribution de telles attaques, cet appel pourrait permettre à différents États de lancer des opérations cyber contre la Russie en profitant de la confusion ;
- Vendredi 25 février – les médias américains relaient les options de riposte du président Biden
Les médias outre-Atlantique indiquent que le président Joe Biden s’est vu offrir différentes options par ses services de renseignement. Ces options incluraient des cyberattaques visant à paralyser les réseaux électriques, le transport ferroviaire ou l’accès à internet sur le territoire de la Fédération de Russie[10] ;
Situation en France
Concernant la France, le dernier bulletin public de l’ANSSI fait état d’un renforcement de la vigilance mais ne communique pas sur des menaces visant spécifiquement la France[11].
Le Ministre des affaires étrangères russe a indiqué dans un communiqué de presse[12] que la Russie était prête à « réagir fortement » aux mesures de rétorsion occidentales, et « pas nécessairement de façon symétrique ».
Le premier exemple est l‘interdiction de l’espace aérien Russe aux compagnies ayant un lien avec le Royaume-Uni à la suite de la fermeture de l’espace aérien du Royaume-Uni à Aeroflot, la compagnie nationale russe.
Un risque non-négligeable de représailles cyber en cas de sanctions économiques occidentales
Compte tenu des intentions exprimées par la Russie, de ses capacités d’action dans le cyberespace et de la communication américaine sur d’éventuelles cyberattaques sur les infrastructures russes (réseaux internet, ferroviaires et électriques), une escalade n’est pas à exclure. Et ce, notamment au vu des déclarations du Président russe le 24 février[13] dernier sur « des conséquences que vous n’avez encore jamais connu » adressés aux pays qui chercheraient à s’opposer au conflit.
Dès lors, les annonces américaines, européennes et françaises de sanctions économiques contre les secteurs de la finance, de l’énergie, des transports et des technologies risquent d’engendrer des représailles côté russe[14] sur ces mêmes secteurs. À noter que la France est un pays particulièrement présent économiquement en Russie. Paris est le second investisseur direct en Russie[15] d’après la Direction Générale du Trésor avec 35 entreprises du CAC40 ayant des filiales locales[16].
Kiev avait déjà fait l’objet de cyberattaques fortement médiatisées telles que le ver informatique « NotPetya » en 2017. L’attaque avait notamment touché les secteurs du transport avec le métro de Kiev, le secteur de l’énergie avec la centrale nucléaire de Tchernobyl ou encore les secteurs bancaires. L’attaque consistait à effacer les données afin de déstabiliser les organisations.
Par ailleurs, d’autres d’attaques sont donc à craindre et notamment des attaques par supply-chain comme on l’observe de plus en plus depuis quelques années. Ainsi, les entreprises entretenant des liens avec des partenaires russes ou ayant des filiales russes pourraient être affectées.