Le 26 février, soit 48 heures après le début de l’invasion de l’Ukraine, le Vice-Premier ministre ukrainien Mykhailo Fedorov a fait appel aux pirates informatiques du monde entier pour former une armée informatique et mener une cyberguerre contre la Russie. L’appel a semble-t-il été entendu : la plupart des sites gouvernementaux, des banques et des entreprises russes étaient inaccessibles le matin du 11 mars. C’est la première fois qu’un pays se lance ainsi ouvertement dans une cyberguerre.
Comme nous l’évoquions il y a quelques jours, c’est effectivement une nouvelle forme de guerre que se livrent la Russie et l’Ukraine depuis quelques jours, en parallèle des combats. La cyberarmée levée par Fedorov a pour tâche de faire tomber la plupart des sites russes jugés critiques, en particulier les sites gouvernementaux, ceux de grandes sociétés commerciales des secteurs de l’énergie et minier, ou encore ceux des banques et des médias. Le groupe de discussion Telegram dédié à cette action, baptisé « IT ARMY of Ukraine », rassemble à ce jour plus de 310 000 abonnés.
Des milliers de pirates informatiques œuvrent ainsi gratuitement à mettre à mal le réseau russe. La plupart des attaques lancées à l’encontre de la Russie sont de type DDoS — des attaques par déni de service distribuées, qui consistent à submerger un serveur avec des millions de requêtes simultanées pour que celui-ci ne puisse plus suivre la cadence et devienne de ce fait inaccessible. Un pirate informatique a récemment confié au New Scientist que la plupart des cibles étaient désormais hors service, ce qui montre à quel point cette armée improvisée s’avère efficace.
De multiples interruptions de services dans les deux camps
Le 11 mars, le site web de Rostec — une société d’État dédiée au développement de produits industriels de technologie avancée — était hors ligne (il semble néanmoins à nouveau accessible à ce jour), tout comme les sites de la bourse russe (Moscow Exchange) et du Service fédéral de sécurité de la Fédération de Russie. Une compagnie pétrolière aurait également été ciblée. L’armée informatique ukrainienne a clairement revendiqué ces attaques. Les pirates parviennent à coordonner leurs efforts pour maintenir la plupart des serveurs cibles hors ligne.
La Russie n’est bien entendu pas sans défense : c’est d’ailleurs elle qui a entamé les « cyber-hostilités », dès le 24 février. Les données réseau de NetBlocks — une organisation chargée de suivre les interruptions de service sur Internet — confirment en effet que le réseau ukrainien a subi une série de perturbations importantes ce jour-là, qui se sont amplifiées à mesure que les forces russes progressaient dans le pays. « Dans la matinée du 24 février, quelques heures avant le début de l’invasion de la Russie, le réseau Internet par satellite Viasat qui dessert l’Ukraine et une grande partie de l’Europe a été mis hors ligne lors d’une cyberattaque ciblée », rapporte le site de surveillance.
Le 26 février, la défense ukrainienne fait déjà ses preuves : NetBlocks rapporte sur son compte Twitter que plusieurs sites gouvernementaux russes, dont le Kremlin, la Douma d’État (l’une des chambres du Parlement russe) et le ministère de la Défense, sont hors service. En parallèle, le Centre national russe de coordination des incidents informatiques a publié dès le 2 mars une liste de recommandations pour se protéger des attaques DDoS.
Une cybermenace accrue, des entreprises sur le qui-vive
Comme le souligne Alastair Irons, spécialiste en cybercriminalité de l’Université de Sunderland, c’est la première fois qu’un pays constitue ainsi une armée d’amateurs pour livrer une cyberguerre.
Depuis l’invasion de la Russie en Ukraine, les infrastructures de cybersécurité du monde entier, y compris le National Cyber Security Center du Royaume-Uni, ont appelé les entreprises de leur pays à faire preuve de vigilance, à renforcer leurs systèmes de protection informatique et à améliorer leur résilience face à la menace accrue.
À noter que plusieurs sociétés spécialisées en sécurité informatique proposent leurs services pour prévenir et réduire les effets des attaques DDoS. La société américaine CloudFlare a récemment déclaré dans un communiqué qu’elle avait étendu « sans frais » ses services au gouvernement ukrainien et aux sociétés de télécommunications, afin d’assurer leur fonctionnement. De même, dans le cadre de son projet Galileo — qui vise à fournir une sécurité robuste et gratuite aux sites web d’intérêt public jugés à risque — elle offre aux organisations ukrainiennes un service de protection contre les cyberattaques.
L’entreprise suit de près les sanctions imposées à la Russie et prend les mesures nécessaires pour les appliquer. « Nous avons résilié tous les clients que nous avons identifiés comme étant liés à des sanctions, y compris ceux liés aux institutions financières russes, aux campagnes d’influence russes et aux gouvernements de Donetsk et de Luhansk affiliés à la Russie », précise le PDG de CloudFlare, Matthieu Prince. Mais selon lui, il est essentiel que CloudFlare poursuive ses activités en Russie, malgré plusieurs appels lui demandant d’y mettre un terme. « Nous avons constaté une augmentation spectaculaire des demandes des réseaux russes aux médias du monde entier, reflétant le désir des citoyens russes ordinaires de voir les nouvelles du monde au-delà de celles fournies en Russie », souligne-t-il.
« La résiliation aveugle du service ne ferait pas grand-chose pour nuire au gouvernement russe, mais limiterait l’accès aux informations à l’extérieur du pays et rendrait beaucoup plus vulnérables ceux qui nous ont utilisés pour se protéger alors qu’ils critiquaient le gouvernement. […] Fermer complètement les services de Cloudflare en Russie serait une erreur », conclut Matthieu Prince.