Les cyber-frontières du conflit ukrainien

Dans les premiers jours qui ont suivi le lancement de la campagne russe en Ukraine, Illia Vitiuk et ses collègues craignaient le pire : l’effondrement de Kiev.

Vitiuk, chef de la division cyber du Service de sécurité ukrainien (SBU), la principale force de contre-espionnage du pays, a déclaré lutter contre les pirates informatiques et les espions russes depuis des années. Mais le 24 février 2022, le SBU s'est vu confier une mission différente : déplacer des serveurs et des infrastructures techniques critiques hors de Kiev pour les protéger des attaques russes.

« Des missiles ont touché Kiev et les habitants se sont précipités pour évacuer la ville. Nous avons essayé de contacter des agences et des gestionnaires d'infrastructures critiques, mais nous avons parfois obtenu des réponses du genre : "L'administrateur système est absent car sa famille est à Boucha et il doit la faire sortir de Boucha" », se souvient Vitiuk.

« Kiev risquait d'être encerclée », a-t-il poursuivi. « Nous devions donc déplacer les bases de données et le matériel les plus importants hors de Kiev. »

En fin de compte, grâce à Vitiuk et à ses experts en « cyberguerre », les pirates informatiques russes n’ont pas réussi à détruire l’infrastructure numérique de l’Ukraine au début du conflit.

L'Ukraine a toutefois subi une série de cyberattaques, jusqu'à près de 3 000 cette année, selon Vitiuk.

Outre les attaques de missiles et de drones, les cyberopérations menées par des pirates informatiques russes ont considérablement affaibli les infrastructures ukrainiennes, notamment son réseau électrique. Les pirates informatiques russes ont également obtenu des informations sensibles pour soutenir la campagne de Moscou.

Depuis décembre 2021 environ, les cyberattaques en provenance de Russie ont augmenté de manière si spectaculaire que de nombreux acteurs du secteur privé craignent que le pire scénario ne se produise.

À la même époque, des représentants du Cyber ​​​​Command américain se sont rendus à Kiev pour aider à inspecter les composants clés de l'infrastructure cybernétique de l'Ukraine qui, selon eux, seraient « au centre d'attaques », a déclaré Vitiuk.

« Et c’est exactement ce qui s’est passé », a-t-il déclaré, ajoutant que les États-Unis ont également fourni du matériel et des logiciels que le gouvernement ukrainien utilise encore aujourd’hui pour protéger sa cyberinfrastructure.

La Russie a ensuite déployé plusieurs outils de cyberattaque contre quelque 70 agences gouvernementales ukrainiennes et fermé des dizaines de sites web gouvernementaux. Ils ont prétendu avoir infiltré Diia, une application numérique utilisée par les Ukrainiens pour stocker des documents, ainsi que divers autres services en ligne. En février 2022, des pirates informatiques russes ont attaqué des services financiers pour faire croire aux Ukrainiens qu'ils ne pourraient pas accéder à leur argent en cas d'urgence.

Vitiuk a déclaré qu'il semblait que les pirates informatiques russes « testaient et préparaient quelque chose de grand » à l'époque.

La situation est devenue plus tendue que jamais dans la nuit du 23 février 2022, juste avant le déclenchement du conflit. « Nous avons commencé à subir une série de cyberattaques », a déclaré Vitiuk. « Nous avons dû résister à leur campagne psychologique. »

Certaines attaques ont paralysé ViaSat, le système de communication par satellite utilisé par l'armée ukrainienne à l'époque. Incapable d'empêcher les forces armées ukrainiennes de communiquer entre elles, Vitiuk a déclaré que la Russie semblait avoir mobilisé toutes les cyberforces à sa disposition, ciblant les médias, les fournisseurs de services de télécommunications et les sites web des administrations locales et des ministères.

« Dès le début, il était clair pour nous qu’ils essayaient d’utiliser tous les atouts dont ils disposaient », a-t-il déclaré.

Pour l'Ukraine, le principal défi durant cette période a été la coordination avec les experts en cybersécurité des agences gouvernementales et d'autres organisations clés, dont beaucoup étaient menacées par des tirs d'artillerie. C'est à ce moment-là que le SBU a commencé à déplacer ses serveurs hors de Kiev.

Interrogé sur l'impact durable des attaques initiales, Vitiuk a déclaré que seuls quelques systèmes avaient été endommagés et qu'une petite quantité de données avait été volée.

« Aucun système majeur n'a été endommagé », a-t-il déclaré. « Nous travaillons 24h/24 et 7j/7. Nous avons résolu le problème assez rapidement. »

Après l'échec de l'opération éclair, Vitiuk a déclaré que le SBU avait observé que les pirates informatiques russes changeaient de tactique, visant principalement à recueillir des renseignements et à perturber les réseaux électriques.

« Depuis l’été, ils ont compris que ce conflit allait durer plus longtemps et qu’il fallait passer à quelque chose de plus sérieux », a-t-il déclaré.

Selon Vitiuk, la Russie a également tenté d'infiltrer les systèmes de planification des opérations militaires ukrainiennes, notamment la plateforme Delta. Le SBU a récemment publié un rapport détaillé sur la manière dont des agents du renseignement militaire russe en première ligne ont tenté de s'emparer des tablettes Android utilisées par des officiers ukrainiens pour pirater Delta afin de recueillir des renseignements, ainsi que sur l'utilisation par l'armée ukrainienne des équipements de communication mobile Starlink de SpaceX, la société du milliardaire Elon Musk.

De cette façon, la Russie pourrait localiser avec précision certains des appareils connectés à Starlink et mieux les cibler pour les frappes de missiles.

Le SBU affirme avoir réussi à bloquer l'accès de la Russie au programme Delta et à des programmes similaires, mais Vitiuk admet avoir encore perdu certaines informations.

Lorsque le conflit a éclaté, presque tous les Ukrainiens se sont portés volontaires, ont fait des dons ou ont collaboré directement avec le gouvernement pour soutenir les combats. Parmi eux figurait le secteur des technologies de l'information (TI).

Nombre d'entre eux travaillent comme consultants à temps partiel pour des agences gouvernementales, tandis que d'autres jouent un rôle plus concret. Le plus important est l'Armée informatique, soutenue par le ministère ukrainien de la Transformation numérique depuis le début du conflit. Ce groupe s'est principalement concentré sur le développement de logiciels et d'outils permettant aux civils de lancer des attaques par déni de service (DoS) contre des cibles russes, ainsi que sur le développement de logiciels automatisés pour aider le gouvernement à recueillir des renseignements.

Participent à cet effort des groupes comme l'Ukrainian Cyber ​​​​Alliance, Hackyourmom, un projet lancé par l'entrepreneur ukrainien en cybersécurité Nykyta Kynsh, et Inform Napalm, un site Web dédié à l'enquête sur les données divulguées et à l'identification des pirates informatiques russes.

De nombreux groupes annoncent publiquement leurs activités, mais d’autres opèrent de manière plus secrète.

Cependant, les experts en cybersécurité avertissent que les attaques menées par des volontaires, qui apparaissent parfois de manière aléatoire et n’ont souvent aucun effet durable, peuvent faire plus de mal que de bien aux opérations secrètes.

Malgré ces inquiétudes, Vitiuk soutient que chaque compétence des bénévoles est précieuse dans une certaine mesure. « C'est comme protéger notre territoire en ligne », dit-il. « Notre mission est de surveiller et de connaître nos bénévoles, de les orienter ou de leur donner des conseils pour optimiser leur travail. »

Interrogé sur la future cybermenace de la Russie, Vitiuk a prédit que les attaques se poursuivraient avec la même intensité que l'année dernière, surtout à l'approche de l'hiver.

Les attaques pourraient devenir plus sophistiquées, mais en intensifier l'intensité représenterait un défi pour la Russie, car son vivier actuel de spécialistes qualifiés est limité. « Ils ont besoin de plus de personnel », a déclaré Vitiuk.

Vitiuk a déclaré que le SBU se concentre sur la préparation de l'hiver, en travaillant avec le ministère de l'Énergie et d'autres experts pour protéger le réseau sur la base des leçons apprises l'année dernière.

Malgré tous leurs succès, ils ont encore besoin d’aide pour continuer à renforcer les infrastructures essentielles, a-t-il reconnu, un besoin particulièrement urgent au niveau local où les ressources sont moins nombreuses.

Lors d'une récente conférence en Estonie, Vitiuk a appelé les entreprises de cybersécurité à venir en Ukraine pour aider à évaluer les besoins du pays, de l'infrastructure technique au matériel et aux logiciels, et à envoyer du matériel directement au lieu de transférer de l'argent.

Il a exprimé son inquiétude face à la corruption dans le pays. « Nous n'avons pas besoin d'argent. Nous avons besoin d'un système aussi transparent que possible », a-t-il souligné.

Vitiuk estime que même après la fin du conflit, la cybersécurité restera une priorité majeure. « De nouvelles doctrines seront élaborées et appliquées en s'appuyant sur ce qui s'est passé en Ukraine et sur notre expérience », a-t-il déclaré.

Vu Hoang (selon NPR )