Il existe plusieurs groupes de hackers d’États russes et ukrainiens connus pour leurs activités de cyberespionnage et de cyberattaques. Mon propos n’est pas de les nommer.
Avant de poursuivre, il convient de nous entendre sur le terme de hacking en temps de cyberguerre.
La première chose qui vient à l’esprit relève du technologique, un hacking qui vise à altérer le fonctionnement de structures et d’infrastructures stratégiques. Dans le cadre d’une cyberguerre vous retrouverez trois types d’attaques : des attaques de destruction, des attaques d’infiltration et d’espionnage, des attaques d’influence.
Cela étant posé, pour redonner du sens aux deux notions que sont structures et infrastructures pouvant être les cibles des hackers d’États (éthique et patriote du point de vue de l’État pour lequel ils travaillent), prenez l’exemple d’une maison, la vôtre, prenons l’exemple de votre maison et/ou de votre appartement. Vous me suivez ? La structure de votre logement est faite de murs, de planchers, de toits ou plafonds qui constituent les éléments de base qui le maintiennent en place et le soutiennent (sans oublier les fondations).
D’un autre côté, l’infrastructure de votre habitation est constituée des services publics qui y sont associés, telle que les rues, les réseaux d’eau et d’électricité, qui sont nécessaires pour rendre votre lieu de vie habitable. Sommes-nous d’accord ?
Il y a donc deux manières de la rendre inhabitable : la détruire physiquement et la détruire fonctionnellement.
Parmi les cyberattaques en temps de cyberguerre nombreuses sont celles qui visent les infrastructures, si elles sont moins « visibles » elles sont tout autant dévastatrices. Je ne vais pas énumérer toutes les cyberattaques menées par les partisans de l’Ukraine et ceux de la Russie, juste vous faire prendre conscience de ce qui se joue derrière de « simples » écrans d’ordinateurs.
Sandworm, surnom donné à un groupe de pirates informatiques supposément basé en Russie également connu sous les noms de TeleBots, VoodooBear, et Iron Viking est ainsi soupçonné d’avoir mené plusieurs attaques de grande envergure dans le monde entier, notamment contre des entreprises, des gouvernements et des infrastructures critiques.
Parmi les attaques les plus connues attribuées à Sandworm figurent la cyberattaque contre les Jeux Olympiques d’hiver de 2018 à Pyeongchang, en Corée du Sud, la tentative d’attaque contre le système électrique ukrainien en 2015 et 2016, et la cyberattaque contre la compagnie d’électricité américaine, la Pacific Gas and Electric Company en 2019. En juin 2017, une cyberattaque massive a touché l’Ukraine ainsi que des entreprises et des organisations dans le monde entier. Cette attaque, connue sous le nom de NotPetya, a été attribuée à des hackers russes. Les dommages causés par cette attaque ont été estimés à plusieurs milliards de dollars. Pour vous donner un ordre d’idée : Saint-Gobain évalue à 250 millions d’euros les dégâts liés à l’attaque NotPetya !
Le 24 février 2022, le début de la cyberguerre totale
Les cyberguerres larvées sont incessantes, les espionnages vont bon train, entre État prétendus amis ou déclarés ennemis. C’est de bonne cyberguerre. Il suffit de comptabiliser le nombre de pays européens s’étant doté de Pegasus : NSO dénombre 22 utilisateurs actifs de son logiciel espion Pegasus dans 12 pays européens pour comprendre que dans le monde du renseignement, il n’y a pas un camp de vilains qui se comportent de façon très vilaine tandis que les gentils font du macramé et jouent à la belote en scrollant sur Tik Tok !
Ceci étant dit, entre faire mumuse entre services de renseignements et déclarer une cyberguerre totale il y a un pas.
Cette cyberguerre totale a été « non déclarée » à l’Ukraine et ses alliés le 24 février 2022 !
Pour rappel, l’invasion de l’Ukraine par la Russie de 2022 débute par un conflit aérien, maritime et terrestre initié le 24 février 2022 sur l’ordre du président russe Vladimir Poutine et ce à partir de la Russie, de la Biélorussie et des territoires ukrainiens occupés par les Russes depuis la guerre russo-ukrainienne de 2014.
Ce même jour, le 24 février 2022, l’entreprise américaine de télécommunications était victime d’une cyberattaque !
Selon Reuters :
Le blitz numérique sur le service satellite a commencé le 24 février entre 5 et 9 heures du matin, juste au moment où les forces russes ont commencé à entrer et à tirer des missiles, frappant de grandes villes ukrainiennes, dont la capitale, Kiev.
Étant naturellement complotiste, est-il utile d’ajouter que les contrats gouvernementaux montraient que le satellite KA-SAT avait « fourni une connectivité Internet aux unités militaires et policières ukrainiennes ». Comme ces coïncidences sont troublantes, que vous dire ? Il aura fallu pas moins de quatre mois pour que le 10 mai, l’UE affirme enfin une probable corrélation et concomitance de la cyberguerre et de la guerre…
L’Union européenne et ses États membres, ainsi que ses partenaires internationaux, condamnent fermement les activités cybernétiques malveillantes menées par la Russie contre l’Ukraine qui ont visé le réseau de satellites KA-SAT, exploité par Viasat.
Que d’intuition… Pour la condamnation tellement ferme je crains que les hackers d’État russes ne s’en remettent pas !
Cyberpatriotisme et/ou cyberopportunisme ?
Le 27 mars 2023, le groupe Royal Ransomware a revendiqué l’attaque qui avait visé la mairie de Lille début mars en publiant 350 Go des données dérobées sur leur site Darknet.
Le post a été repéré par Le Mag IT et le site Zataz. Les pirates indiquent en l’occurrence sur leur site darknet que leur publications ne correspondent qu’à 10 % des fichiers détenus, ce qui sous-entendrait qu’ils auraient en main plus de 3,5 To de dossiers appartenant à la mairie de Lille. Royal Ransomware est un rançongiciel !
Le groupe revient donc pour demander une rançon, avec deux moyens de pression : la clé de déchiffrement pour « faciliter la remise en route de l’infrastructure informatique » et l’incertitude sur les données dont il dispose. Le montant de la rançon serait de 5 millions de dollars. Faisons simple : certes le groupe qui attaque est russe. Que ce soit des hôpitaux, des mairies, d’autres administrations, cela sert la cyberguerre.
Pour autant, quelles conclusions tirer sur ce qui motive ces cybercriminels ? Certains y verront du patriotisme, d’autre, comme moi, seront plus circonspects car la cyberguerre offre en effet la possibilité de commettre des cybercrimes en toute impunité. Je ne pense pas que le Kremlin soit préoccupé par les agissements de Royal Ransomware dès lors qu’il agit contre des infrastructures de pays alliés. Quant à la mairie de Lille, que lui dire ? Mon conseil est de prendre acte du piratage, ce qu’elle a fait, de ne surtout pas payer et de mettre en place les dispositifs nécessaires pour que cela ne se reproduise pas, les cinq conseils que vous pouvez trouver sur le site du gouvernement sont d’excellents conseils.
Pour ce qui concerne la sauvegarde de données, j’ajouterai une recommandation : naturellement une sauvegarde quotidienne est idéale. Mais si malgré votre prudence votre structure est altérée, utilisez alors une sauvegarde datant d’une semaine quitte à perdre une semaine de travail ; ou auscultez avec grande, très grande, attention celle de la veille pour valider qu’elle est saine.
La première fois, c’est une erreur, la seconde c’est qu’on le fait exprès. Proverbe chinois
