Ukraine : La cyber guerre est là et elle nous concerne TOUS

Atlantico : Alors que la guerre est actée en Ukraine, la cyberguerre semble elle aussi se profiler. Le groupe des « Anonymous » a ainsi déclaré la guerre à la Russie, et l’on  sait le pays particulièrement en pointe sur ces questions. L’interrogation porte donc sur la magnitude et le champ d'action de ces attaques offensives Russes. A quel point les pays européens membres de l’OTAN pourraient-ils être visés par des attaques cybernétiques ?

Franck DeCloquement :  Le risque n'est pas nul, et bien que la situation évolue à la vitesse du photon, il n'y a pas à proprement parler, à l'heure où nous rédigeons ces lignes, de « CyberGuerre » menée contre les intérêts Français. Mais il y a bien, en revanche, des opérations de cyberattaques ciblées sur l'Ukraine, comme il y en a déjà eu par le passé sur cet état. Nous avons cependant une très bonne idée des capacités Russes en la matière, ou de celles des acteurs alignés avec le Kremlin sur l'usage des armes cyber-offensives, sur la base justement de leurs actions passées. Nous pouvons donc aborder le risque actuel en gardant cela ancré à l'esprit. Même en temps de paix relative sur le territoire ukrainien, la Russie a déjà mené quelques opérations spectaculaires sur le front informatique, aux conséquences très sérieuses « dans le monde réel » pour ce pays. Les pirates russes ont en effet attaqué plusieurs sites gouvernementaux ukrainiens. Mais si ces cyberattaques venaient en revanche à s'étendre à d'autres nations occidentales défendant l'Ukraine (à l'image des pays de l'Union Européenne qui actuellement s'organisent pour armer en sous-main ce pays), cela pourrait rapidement dégénérer, et selon toute éventualité, produire de gigantesques perturbations pouvant vite devenir chaotiques pour  l'Internet. Car sur la toile mondiale, les cyberattaques peuvent aisément produire des destructions d'infrastructures vitales, primaires ou secondaires. L'avantage tactique pour l'agresseur – les Russes en l'occurrence – étant ne pouvoir possiblement agir de manière offensive, sans que ces actions criminelles ou guerrières puissent lui être attribuées de manière certaine par les défenseurs. Ce n'est donc pas un hasard si les instances américaines ont d'ores et déjà pressées les grandes institutions bancaires, les services publics, les infrastructures critiques et les opérateurs vitaux du pays à se préparer au pire. Et cela bien avant l'envahissement de l'Ukraine par l'armée russe en l'occurrence. Les enjoignant à renforcer prestement leur surveillance globale sur d'éventuelles intrusions extérieures en provenance de la Russie, ou des pays affidés au régime de Vladimir Poutine. Les responsables américains se préparent ainsi activement à contrecarrer et à riposter à d'éventuelles cyberattaques russes, alors que la crise ukrainienne s'aggrave d'heure en heure. Les américains surveillent donc de très près toute activité de piratage Russe sur les réseaux de leur pays, et ont d'ailleurs rapidement réagi pour blâmer l'agence emblématique de renseignement militaire russe « GRU », pour une cyberattaque qui avait temporairement bloqué l'accès aux sites Web des banques ukrainiennes cette semaine. Le secteur bancaire américain a reçu une leçon sur les cyber-risques qui peuvent traditionnellement accompagner les perturbations de nature géopolitiques. En 2012 et 2013, lorsque, à la suite des sanctions occidentales contre le programme nucléaire iranien, des pirates iraniens avaient ainsi submergé les sites web de dizaines de banques américaines avec la génération d'une saturation à base de faux trafic, coûtant des dizaines de millions de dollars en affaires perdues. Et cette expérience a d'ailleurs occupé une place prépondérante dans le Retex (retour d'expérience) des responsables de la cybersécurité des institutions financières américaines, qui ont depuis renforcé leurs défenses ces dernières années. Les experts considèrent depuis les secteurs financier et ceux de l'électrique comme deux des plus matures dans leurs dispositifs de cyberdéfense. 

En Ukraine, les spécialistes ont aussi pu observer en temps réel ce qui a pu se passer lors de l'invasion Russe du pays. Les « diffscans NetBlocks », qui cartographient l'espace d'adressage IP d'un pays en temps réel, affichent les niveaux de connectivité Internet, mais aussi les pannes correspondantes. Les pannes Internet intentionnelles peuvent ainsi avoir un modèle de réseau distinct utilisé par NetBlocks pour déterminer et attribuer la cause première d'une panne : un processus connu sous le nom « d'attribution » qui suit les étapes de détection et de classification. Des « interruptions » d'internet ont donc été enregistrées au moment même ou la Russie envahissait l'Ukraine ce funeste 24 février 2022... Les données réseau de NetBlocks ont à ce titre pu confirmer toutes une série de perturbations importantes du service Internet en Ukraine, à partir du jeudi 24 février. Des perturbations ont ensuite été observées dans une grande partie de l'Ukraine, y compris la dans la capitale Kiev, à mesure que l'opération militaire russe progressait. Dans la matinée du jeudi 24 février 2022, des perturbations Internet ont aussi été enregistrées à Kharkiv, la deuxième plus grande ville d'Ukraine. Les métriques ont d'ailleurs pu montrer une perte de connectivité patente sur le réseau Triolan, corroborant les rapports des utilisateurs de perte de service de ligne fixe. La perturbation a commencé au milieu des informations faisant état d'énormes explosions dans la région, alors que la Russie annonçait une mobilisation militaire, puis s'est intensifiée au cours de la journée... Plus tard dans la journée, une importante perturbation d'Internet a été enregistrée dans la ville portuaire stratégique de Marioupol, Donetsk. L'incident est survenu au milieu de rapports faisant état de victimes civiles et de la perte des services de télécommunications pour de nombreux abonnés. À Kiev, la connectivité a commencé à décliner progressivement à partir de jeudi matin alors que les civils fuyaient la capitale ou cherchaient refuge. Samedi matin, alors que le conflit atteignait Kiev, une perturbation majeure a été enregistrée sur le fournisseur Internet de base GigaTrans, qui fournit la connectivité à plusieurs autres réseaux. Bien que la connectivité soit restée disponible via d'autres routes, et que la perturbation ait été brève, l'incident aurait eu un impact significatif sur l'infrastructure des télécommunications. Des travaux d'ingénierie sont en cours pour évaluer tous ces incidents et leurs contextes exacts. Les perturbations des télécommunications en Ukraine ont jusqu'à présent été attribuées à des pannes de courant, des cyberattaques, des sabotages et des impacts cinétiques... Mais elles ont aussi offert une vision, et une plateforme d'observation en temps réel des opérations militaires d'invasion menées par l'armée Russe. Cybers offensives y compris...

Quelles seraient les principales cibles des cyberattaques à anticiper en Europe de l’Ouest et en France, au vue des stratégies russes habituelles ? Est-ce forcément les structures névralgiques qui seront visées ? Les entreprises et les particuliers peuvent-ils être  tout autant des cibles ? Pour quels motifs ?

Franck DeCloquement : L'histoire retiendra peut-être que l'état d'urgence sanitaire causé par la pandémie de la Covid 19 n'était qu'un préalable anticipant de facto une situation à venir bien plus dramatique encore... Et à ce titre, en matière de viralité informatique cette fois, l'ANSSI vient d'ailleurs de publier un mémo de prévention prioritaire, compte tenu de la situation actuelle de vives tensions à l'échelle internationale. « Et […] notamment entre la Russie et l’Ukraine, qui peuvent parfois s’accompagner d’effets dans le cyberespace qui doivent être anticipés. Si aucune cyber-menace visant les organisations françaises en lien avec les récents événements n’a pour l’instant été détectée, l’ANSSI suit néanmoins la situation de très près. Dans ce contexte, la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles pour garantir la protection au bon niveau des organisations. L’ANSSI incite donc les entreprises et les administrations à : suivre attentivement les alertes et avis de sécurité émis par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), disponibles sur son site; mettre en œuvre les cinq mesures cyber préventives prioritaires détaillées ci-dessous. » Le message en l'état est clair : « Face à d’éventuels effets dans le cyberespace liés au conflit en cours entre l’Ukraine et la Russie, l’Agence nationale de la sécurité des systèmes d’information préconise la mise en œuvre de cinq mesures préventives prioritaires : renforcer l’authentification sur les systèmes d’information, accroître la supervision de sécurité, sauvegarder hors-ligne les données et les applications critiques, établir une liste priorisée des services numériques critiques de l’entité, s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque ».

Ces mesures prioritaires de cybersécurité sont essentielles « et leur mise en œuvre à court terme permet de limiter la probabilité d’une cyberattaque ainsi que ses potentiels effets. Pour être pleinement efficaces, elles doivent cependant s’inscrire dans une démarche de cybersécurité globale et de long terme ». En outre, et pour répondre à votre question, des sauvegardes régulières de l’ensemble des données, y compris celles présentes sur les serveurs de fichiers, d’infrastructures et d’applications métier critiques, doivent être réalisées. « Ces sauvegardes, au moins pour les plus critiques d’entre elles, doivent être déconnectées du système d’information pour prévenir leur chiffrement, à l’instar des autres fichiers. L’usage de solutions de stockage à froid, comme des disques durs externes ou des bandes magnétiques, permettent de protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité. L’actualisation fréquente de ces sauvegardes est également préconisée. Pour cela, il faut avoir une vision claire de ses systèmes d’information et de leur criticité. Elle est essentielle pour prioriser les actions de sécurisation ainsi que pour réagir efficacement en cas d’incident. Il est donc conseillé pour les entités, en associant les métiers, de réaliser un inventaire de leurs services numériques et de les lister par sensibilité pour la continuité d’activité de l’entreprise. Les dépendances vis-à-vis de prestataires doivent également être identifiées ». L'ANSSI insiste également sur l'impératif de s'assurer d'un dispositif de gestion de crise qui soit adapté à l'occurrence d'une ou de plusieurs cyberattaques. Une cyberattaque peut en outre avoir des effets déstabilisateurs et délétères sur les organisations. Les fonctions support comme la téléphonie, la messagerie mais aussi les applications métier peuvent être mises rapidement hors d’usage. Il s’agit alors de passer en fonctionnement dégradé, et dans certains cas, cela signifie aussi revenir à l'usage rustique du papier et du crayon... L’attaque cause en général une interruption d’activité partielle et, dans les cas les plus graves, une interruption totale. Définir des points de contact d’urgence, y compris chez les prestataires de services numériques, et s’assurer d’avoir les numéros en version papier dans des agenda dédiés est particulièrement utile dans ces situations d'urgence. Au-delà, il s’agit pour les organisations de définir un plan de réponse aux cyberattaques associé au dispositif de gestion de crise – quand il existe – visant à assurer la continuité d’activité, puis son retour à un état nominal. La mise en œuvre d’un plan de continuité informatique doit permettre à l’organisation touchée de continuer à fonctionner quand survient une altération plus ou moins sévère du système d’information. Le plan de reprise informatique vise, quant à lui, à remettre en service les systèmes d’information qui ont dysfonctionné. Il doit notamment prévoir la restauration des systèmes et des données.

Une Guerre Numérique menée par la Russie avec sa composante hybride et ses codes malveillants possiblement implantés depuis des semaines, voire même des mois, par des opérations d'espionnage et d'ingérences clandestines pourrait naturellement paralyser les TPE, les PME-PMI et les Industries, mais aussi nos Mairies, nos instances régionales, nos collectivités locales et territoriales, et tous nos institutionnels. Et à ce titre, l'offensive militaire diligentée par le Kremlin a été précédée par une cyberattaque dévastatrice visant la destruction des données (wiper). Après les ransomwares, le monde va en effet découvrir les « Data Wiper »: autrement dit l'effacement de nos données pur et simple (y compris nos sauvegardes). Aussi, les « communs » que représentent les IOC (les marqueurs des attaquants) doivent être partagés pour proposer une défense homogène et commune. Car si la guerre en Ukraine vise prioritairement les infrastructures critiques du pays, cela peut rapidement dégénérer et franchir de nouveaux paliers offensifs, pour s'étendre au reste du monde. Et nos infrastructures françaises, dans ce climat de tension internationales, seront naturellement la cible des cyber-soldats Russes et des hackers malveillants commandités par le régime Russe. C’est aussi pour cela que certains spécialistes en informatique demandent instamment la levée sans délais du Secret Défense sur les IOC (Indices de compromission) actuellement réservées au seul profit des OIV (Opérateurs d'Importances Vitales), OSE (Opérateurs de services essentiels), EDS (Entreprises de Défenses Stratégiques) pour l'ensemble de l'écosystème des cyber solutions de notre pays, afin de protéger nos entreprises et nos territoires le plus efficacement possible. C'est le sens de leur démarche immédiate menée en lien avec leur partenaire UBCOM. Les dégâts dans le monde virtuel sont traditionnellement dévastateurs, et évidemment très impactant pour « nos vies réelles ». Or, aux yeux de beaucoup de spécialistes, la France est dans un état d'impréparation catastrophique face à ces menaces offensives imminentes. C'est pour cela qu'à l'initiative du média réseau social « Smartrezo » et du collectif « PlayFranceDigital » qui regroupe plus de 300 alternatives numériques françaises, des experts de la cybersécurité tel Frans Imbert-vier « d'Ubcom » et Cyrille Elsen de « Serenicity » nous exposent à travers une vidéo les risques, et abordent simplement les actions immédiates à mettre en œuvre dans les jours à venir. Le collectif PlayFranceDigital, se tient à ce titre à la disposition de tous pour accompagner dans cette démarche de sécurisation nécessaire, afin de permettre à chacun de trouver l'acteur du numérique français le plus adapté pour contrecarrer des probables attaques qui se profilent. Afin de réaliser cette tâche d'une ampleur inégalée, le collectifs considère  crucial que les CCI de notre pays s'associent à cette démarche de reconquête de notre sécurité et de notre souveraineté numérique. Car demain, il sera peut-être déjà trop tard.

La population doit-elle avoir conscience qu’elle peut également être la cible de cyberattaques ? Que faut-il craindre exactement ? Existe-t-il des moyens de s’en protéger efficacement ? Sauvegarder ses données sur disques durs externes, utiliser un VPN sont-ils par exemple des choses utiles ? Y-a-t-il des bonnes pratiques à mettre en œuvre à échelle des individus dans ce contexte de crise internationale  ?

Franck DeCloquement : Pour chacun de nous, il est fortement recommandé de s’assurer de la bonne mise en place des mesures d’hygiène informatique essentielles, présentées d'ailleurs très clairement dans le guide d’hygiène informatique de l’ANSSI. Il est également vivement conseillé de suivre très attentivement les alertes et avis de sécurité, émis par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), disponibles sur son site : https://www.cert.ssi.gouv.fr/.

Comme pour les entreprises, les particuliers que nous sommes doivent naturellement sauvegarder très régulières l’ensemble de leurs données, au moins pour les plus critiques d’entre elles, qui doivent être en outre « déconnectées du système d’information général » pour prévenir leur chiffrement malveillant, à l’instar des autres fichiers. L’usage de solutions de stockage à froid, comme des disques durs externes qui permettent en outre de protéger les sauvegardes d’une infection des systèmes ou d'une compromission des données, mais aussi de conserver les données critiques à la reprise d’activité. L’actualisation fréquente de ces sauvegardes individuelles est également très vivement préconisée. Car les Cloud sécurisés pourraient être la cible prioritaire des actions Russes, et être mis rapidement hors d'usage. Des actions de sabotages n'étant pas à exclure.

Enfin, et pour la bonne préparation face à une gestion de crise cyber, l’application des recommandations des guides « Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique »  et « Anticiper et gérer sa communication de crise cyber » est également préconisée.