Les menaces cybernétiques russes sur l’Occident
Bien avant le début de l’invasion physique de l’Ukraine par la Russie, les experts en cybersécurité s’interrogeaient déjà : à quand le « gros coup » ? Par Sam Curry, Chief Security Officer de Cybereason.( la Tribune)
La Russie est en effet (tristement) célèbre pour ses capacités cybernétiques offensives, notamment suite aux attaques perpétrées telles que NotPetya et SolarWinds. Il semblait alors inévitable que toute offensive majeure menée par la Russie s’accompagne d’un recours à des attaques hybrides dévastatrices, notamment des cyber opérations contre les infrastructures critiques de l’Ukraine. Lorsque les nations occidentales, y compris les États-Unis et les membres de l’UE (parmi tant d’autres), ont apporté leur soutien à l’Ukraine, il semblait très probable qu’elles deviendraient elles aussi la cible d’une telle offensive.
Pourtant, selon toute vraisemblance, ces attaques n’ont pas eu lieu, du moins pas aux niveaux prévus. Les lumières ne se sont pas éteintes dans tout l’Occident après que la Russie a lancé des attaques contre les infrastructures critiques de ceux qui ont eu la témérité de s’allier à l’Ukraine. Il convient également de noter que l’Ukraine a bel et bien subi des attaques sur ses infrastructures critiques dans le cadre de la première salve d’attaques, notamment un assaut dévastateur sur son système de satellites Viasat.
Celui-ci n’était pas sans rappeler l’attaque NotPetya du GRU contre l’Ukraine en 2014, qui s’est propagée de manière incontrôlée au-delà de ses cibles prévues, causant des dommages collatéraux dans d’autres nations. Cette fois-ci, l’attaque n’a cependant eu que peu ou pas d’impact. Mais si diverses théories ont été avancées pour expliquer pourquoi l’Occident reste largement indemne, il convient de noter que « pas encore » ne signifie pas « jamais ».
Les pays alliés de l’Ukraine doivent continuer à se méfier d’une attaque potentielle pour de nombreuses raisons, notamment parce que le gouvernement des États-Unis, qui avait déjà été à juste titre averti de l’invasion de l’Ukraine par la Russie, partage des rumeurs d’attaques potentielles. La CISA a lancé un appel urgent au secteur privé pour qu’il soit en état d’alerte et qu’il partage toute activité inhabituelle, précisément parce que ces attaques peuvent commencer n’importe où et à tout moment, et qu’il est difficile de les repérer avant qu’il ne soit trop tard.
Le problème pourrait simplement survenir plus tard que prévu, peut-être parce que les renseignements sur l’attaque en Russie n’ont été transmis qu’à un groupe très restreint.
Il est possible que la Russie ait placé ces attaques plus haut dans la progression de l’escalade et qu’elle craigne de s’exposer à une contre-attaque alors qu’elle se bat déjà sur de nombreux fronts. Il convient également de noter que la Russie ne dispose que d’un nombre limité de zero-day et d’exploits inconnus dans son arsenal, et qu’une fois ceux-ci déclenchés, les indicateurs de compromission (IOC) seront disponibles et les tactiques, techniques et procédures (TTP) deviendront rapidement obsolètes. D’où l’importance pour elle de choisir soigneusement les cibles et le moment.
La guerre elle-même est loin d’être terminée, et son issue est encore inconnue. Il est donc possible que la Russie se tourne finalement vers la cyberguerre pour renflouer ses propres coffres à mesure que le conflit et les sanctions qui l’accompagnent s’éternisent, à l’instar des activités cybercriminelles de la Corée du Nord. Même si la Russie n’opte pas pour la cybercriminalité pour faire du profit, des pirates patriotiques comme le gang des ransomwares Conti (récemment dissout et qui réapparaîtra sans doute bientôt sous un nouveau nom) se sont publiquement alignés sur les intérêts russes et tireront parti du conflit pour leurs propres bénéfices.
Même ceux qui se désintéressent complètement de la politique pourraient prendre note des secteurs mis à mal par le conflit, tels que l’énergie et l’agriculture, pour en tirer profit, sachant, grâce à leur propre suivi de l’actualité, que ces secteurs font face à une crise mondiale et seront plus prompts à payer des rançons, des vies étant en jeu.
La mauvaise nouvelle pour les industries occidentales qui s’inquiètent des attaques liées à la Russie est que le conflit a montré peu de signes d’arrêt ou même de ralentissement des activités cybercriminelles liées à la Russie, et qu’il pourrait même conduire à une accélération de ce type d’attaques. La bonne nouvelle est que la Russie elle-même ne semble pas être à l’abri de ces préoccupations.
En attendant d’en savoir plus sur l’évolution du conflit, les personnes et les organisations concernées doivent faire preuve de vigilance en renforçant leurs défenses, en appliquant des correctifs aux systèmes vulnérables le plus rapidement possible et vérifier les mises à jour. C’est aujourd’hui le minimum vital.