Depuis le déclenchement de la guerre en Ukraine, les responsables cybersécurité des Etats et des entreprises sont sur le qui-vive. Le risque de voir la Russie lancer des cyberattaques contre les pays européens est à pris au sérieux.
« Nous avons augmenté notre niveau d’alerte, c’est vrai pour l’État, pour les entreprises stratégiques » expliquait il y a quelques jours Cedric O sur France Info.
Car la Russie mène une attaque sur deux fronts : celui des frontières et des infrastructures physiques de l’Ukraine et celui des infrastructures numériques.
Mais bien évidemment, le cyber espace n’a pas de frontières et les autorités françaises et européennes s’inquiètent d’une extension des cyber attaques alors que les Européens multiplient les sanctions contre Vladimir Poutine et son gouvernement.
Des cyber attaques qui peuvent prendre des formes très variées et cibler entreprises, infrastructures, organisations publiques et humanitaires mais également affecter le bon déroulement de la campagne électorale avec des campagnes organisées de Fake News et de désinformation. L’ANSSI qui a publié un guide pour les entreprises vient ainsi de proposer aux candidats à l’élection présidentielle qui le souhaitent de « les aider et de les informer en matière de cybersécurité pour sécuriser leur campagne ». Cedric O a ainsi affirmé sur Twitter que « la France fera tout ce qui est en son pouvoir pour qu’aucune cyberattaque ne perturbe la vie démocratique ».
Des arnaques en tout genre
Sur le front des cybermenaces, la plupart des attaques jusqu’ici repérées n’ont rien à voir avec la cyberguerre et tout à voir avec les arnaques.
Le groupe Infoblox Threat Intelligence a observé une augmentation remarquable du nombre de nouveaux noms de domaine liés à l’Ukraine : ce nombre a doublé en une semaine.
Une partie de ces noms de domaine est tout à fait légale, parfois liée à des opérations humanitaires ou de nouvelles sources d’information.
Mais une autre partie provient de groupes cybercriminels qui visent à usurper et imiter les efforts de soutien pour dérober de l’argent aux internautes., en analysant le trafic sur ses résolveurs DNS récursifs : les experts ont observé plus de deux fois plus de domaines, détectés pour la première fois, que la semaine précédente.
Différencier les deux n’est pas chose aisée. Les chercheurs ont trouvé des indicateurs de compromission (IoCs) liés à la fois à des campagnes de logiciels malveillants, et aux individus essayant de coordonner la livraison d’équipements médicaux à l’Ukraine.
Mais, pour la plupart des escroqueries, l’objectif final est de collecter des cryptomonnaies en faisant de faux appels aux dons ou de fausses applications de soutien aux Ukrainiens.
Un satellite cyberattaqué
Jusqu’ici une seule cyberattaque plus ou moins rattachée aux événements en Ukraine a été officialisée en Europe. Celle menée contre un satellite de l’opérateur Viaat. Cette attaque a eu plusieurs répercussions. Elle a privé des abonnés français du réseau Nordnet de leur connexion à Internet et de la réception de chaînes de télévision. Elle a aussi eu des répercussions sur un réseau d’éoliennes en Belgique et en Allemagne géré par Enercon. Les éoliennes ne bénéficient plus d’un pilotage centralisé mais continuent de produire de l’énergie en demeurant en mode automatique qui assure la fiabilité de leur fonctionnement.
Cet incident démontre toutefois la portée des cyberattaques sur les infrastructures critiques.
Lors du FIC 2021, Florence Parly, ministre des Armées, rappelait que tout en restant sous le seuil de l’acte de guerre, les États menaient désormais en permanence et de façon croissante « des actes d’intimidation, de renseignement, de sabotage ou de désinformation. Des actes qui se situent dans la zone grise de la conflictualité, mais qui se multiplient au gré des tensions géopolitiques. »
Et Guillaume Poupard, le directeur de l’Agence Nationale pour la Sécurité des Systèmes d’Information, confirmait de son côté que « l’Anssi trouve des traces d’attaques de ce type partout. Elles sont de plus en plus complexes et massives. »
D’où l’inquiétude des instances compétentes. Pour l’instant, la Russie ne semble pas avoir activé certains des cyberpièges discrètement mis en place ces dernières années (en supposant que tous n’ont pas pu être détectés et éradiqués). Il est trop tôt. Mais l’inquiétude grandit dans la sphère des organisations publiques, des OIV (Opérateurs d’infrastructures vitales) et OSE (Opérateurs de services essentiels). Elle grandit aussi dans celle des DSI et RSSI des entreprises. En 2020, une étude Bitdefender montrait que 37% des RSSI français estimaient avoir besoin d’élaborer une vraie stratégie anti-cyberguerre dans les 12 à 18 prochains mois. Et 59% des RSSI estimaient que la cyberguerre constituait une menace pour leur organisation.
(D’après informatiquenews)