Alors que l’armée russe inflige des destructions dévastatrices à l’Ukraine trois semaines après l’invasion de son voisin, la Russie et les pays occidentaux sont engagés dans une cyber « guerre froide » qui ne s’est pas encore aggravée, selon un grand cyberspécialiste israélien.
La Russie possède de puissantes capacités cyber offensives qui ont déjà fait des ravages dans les systèmes mondiaux, « mais nous n’avons pas encore vu de cyberarmes significatives dans ce conflit », a déclaré Moshe Karako, un vétéran de 20 ans de l’espace de cybersécurité qui sert de chef. responsable de la technologie chez NTT Innovation Laboratory Israel.
Karako a déclaré au La Lettre Sépharade lors d’un entretien téléphonique qu’il y a eu jusqu’à présent trois principaux types de cyberattaques des deux côtés, mais principalement de Russie.
Tout d’abord, Moscou a déployé des attaques « wiper » – un type d’attaque de malware qui cherche à détruire les données, en les effaçant des systèmes – contre des cibles ukrainiennes avant l’invasion et le premier jour de l’assaut militaire du 24 février, qui a également infecté des ordinateurs dans les pays voisins. Lettonie et Lituanie.
« Ceci est fait pour créer le chaos. Il n’y a pas de demande de rançon. C’est une arme psychologique qui cause également des problèmes dans les chaînes d’approvisionnement et affecte les finances », a décrit Karako, ajoutant que ces types d’armes ont été assez utilisés.
Une cyberattaque contre l’Ukraine en 2017 attribuée au gouvernement russe et à des acteurs étatiques La Russie a été qualifiée de «pire cyberattaque» aux dimensions mondiales. NotPetya s’est répandu dans le monde entier, des hôpitaux aux magasins, en passant par les multinationales bancaires, les grandes entreprises et les fabricants, et a coûté des milliards de dollars de pertes. L’« essuie-glace » a causé plus de 10 milliards de dollars de dommages dans le monde en infectant des entreprises qui font des affaires en Ukraine avec des logiciels malveillants semés grâce à une mise à jour du logiciel de préparation des déclarations de revenus.
Trois semaines après le début de la guerre de la Russie contre l’Ukraine, les chercheurs sont toujours en train de cartographier le malware d’essuie-glace sur les systèmes ukrainiens.
Le deuxième type d’attaque, a déclaré Karako, provenait du côté ukrainien. L’Ukraine a recruté un corps mondial de volontaires «hacktivistes» engagés dans un combat numérique qui comprend des attaques par déni de service sur des sites officiels russes, la collecte de renseignements, la lutte contre la désinformation et la messagerie générale.
« Ils bombardent l’autre côté avec des demandes d’accès pour provoquer des attaques DDoS [distributed denial-of-service]. Cela affecte les banques, les transactions, les services gouvernementaux aux citoyens, etc. », a-t-il déclaré, ajoutant plus tard que ces attaques n’avaient pas encore causé de dommages très graves.
Le troisième cyberfront se situe dans le domaine de l’information, « où de fausses informations sont délibérément créées » pour semer la confusion et la désinformation.
« Ils piratent des sites pour modifier les messages, les informations et créer le chaos », a-t-il déclaré.
Un exemple récent est une cyberattaque mercredi sur une chaîne d’information ukrainienne où un chyron est apparu faussement disant que l’Ukraine s’est rendue à la Russie. Une vidéo deepfake diffusée cette semaine du président ukrainien Volodymyr Zelensky semblant dire aux Ukrainiens de se rendre a également ajouté au chaos et à la confusion.
Cyber-fronts
De plus, « comme dans une véritable guerre, les gens ici prennent une part active, et les entreprises aussi », a déclaré Karako en référence à un boycott d’entreprise de plus de 400 entreprises mondiales, y compris des entreprises technologiques, de grands fabricants et des marques de consommation qui ont soit suspendu ou ont complètement interrompu leurs opérations en Russie ou ont restreint leurs services pour faire pression sur le Kremlin pendant la guerre, selon un décompte courant tenu par une équipe de chercheurs de l’Université de Yale. La liste comprend Visa, Apple, Facebook, Mastercard, Amazon, Google, Ford, Dell, DHL et McDonald’s.
Cette campagne mondiale pour punir la Russie s’ajoute aux sanctions paralysantes que les gouvernements occidentaux ont imposées aux industries, aux dirigeants et aux personnalités russes pour pousser le président russe Vladimir Poutine à arrêter la guerre. Des sanctions ont été imposées par les États-Unis, le Royaume-Uni, l’UE, le Canada, le Japon, Singapour, la Corée du Sud, Taïwan, l’Australie et la Nouvelle-Zélande.
Et les réponses à certaines de ces sanctions ont lieu dans les coulisses. Karako a évoqué un incident survenu le 28 février – quatre jours après l’invasion de la Russie – lorsque le Japon a annoncé qu’il se joignait aux sanctions américaines contre la Russie en empêchant les banques d’accéder au système de paiement international SWIFT, après quoi Toyota, un important constructeur automobile japonais, a été contraint de suspendre temporairement les opérations de l’usine nationale à la suite d’une cyberattaque majeure contre un fournisseur critique.
« Vous avez la punition d’une organisation civile [with the aim of] faire pression sur la direction. C’est préoccupant pour tout le monde. Une cyberguerre attire très facilement des personnes et des organisations », a déclaré Karako.
Certaines cyber-vulnérabilités ou exploits « sont connus depuis des jours, des semaines, des mois à l’avance, et ils les mettent en action quand c’est nécessaire », a-t-il déclaré. « Les pirates construisent des banques de cibles à utiliser. »
Karako a qualifié cet environnement de « cyber » guerre froide « » dans lequel les nations ont rassemblé des capacités qui « leur permettent de faire pression sur d’autres pays et de créer un impact sans mettre en péril les forces ni franchir de frontières physiques ».
Ces capacités incluent le ciblage des infrastructures critiques pour frapper «les compagnies d’électricité, les systèmes nucléaires, les systèmes d’eau – tout ce qui soutient la vie physique. Cela existe déjà », a déclaré le cyberspécialiste.
Il pense que la Russie n’a pas utilisé certaines de ces armes « apocalyptiques » pour deux raisons : « Premièrement, la Russie croyait qu’elle avait déjà gagné la guerre, avec des chars au sol, avec la destruction, et deuxièmement, une arme apocalyptique ne peut être utilisée qu’une seule fois. — car la communauté des cyber-défenseurs trouvera des solutions et cette attaque est très coûteuse et déclenche des réactions.
Outils offensifs et dissuasion
Shiran Grinberg, directeur de la recherche et des cyber-opérations de la société israélienne de cybersécurité Cynet, a déclaré au La Lettre Sépharade que « les Russes ont appris de leurs propres erreurs avec des attaques comme NotPetya et d’autres comme WannaCry [a destructive malware attack in 2017 attributed to North Korea].”
« Dans de nombreux cas, la Russie a également souffert car ces attaques sont très destructrices. L’Ukraine était la cible [in NotPetya]mais cela a également fini par affecter les réseaux russes », a déclaré Grinberg.
« La Russie envahit activement l’Ukraine et elle a besoin de certaines de ses infrastructures pour aider ses forces », a-t-il expliqué.
Le danger dans cette crise actuelle, a-t-il dit, était « l’énorme quantité d’outils offensifs que les acteurs malveillants peuvent exploiter » puisque les pirates non étatiques et les groupes hacktivistes participent également à la guerre.
Grinberg a fait référence à la découverte de 2020 selon laquelle de puissants outils de piratage de la CIA avaient été piratés et divulgués en ligne où ils pouvaient être consultés.
Il a déclaré qu’en tant que fournisseur de sécurité, Cynet travaille avec des entreprises et des organisations pour identifier les failles de sécurité et effectuer des renseignements sur les menaces afin de couvrir autant de vecteurs d’attaque au niveau des terminaux (appareils des utilisateurs finaux tels que les ordinateurs portables, les ordinateurs de bureau et les appareils mobiles) que possible.
Le groupe de recherche de Cynet, qu’il dirige, est chargé de « développer des mécanismes de détection et d’attraper les méchants », a déclaré Grinberg. La société israélienne avait deux équipes de développement en Ukraine avant la guerre, a-t-il dit, ajoutant que certains ont réussi à partir tandis que d’autres sont restés pour se battre.
Nate Fick, vice-président de la stratégie de sécurité chez Elastic NV, un géant du logiciel à code ouvert cofondé par l’entrepreneur israélien Shay Banon, a déclaré qu’« il y a dix ans, nous ne pouvions pas imaginer à quel point les organisations privées seraient tenues responsables de leur propre défense. contre une attaque de l’État-nation.
« Mais comme nous l’avons vu avec les récentes cyberattaques, c’est exactement ce qu’on leur demande », a déclaré Fick dans un échange écrit avec le La Lettre Sépharade cette semaine.
Fick a déclaré que l’une des raisons pour lesquelles nous n’avons peut-être pas encore vu de cyberattaque massive de la Russie était la dissuasion. Les États-Unis et d’autres ont mis en garde Moscou contre l’utilisation de telles attaques et ont menacé de riposter.
Le président américain Joe Biden a déclaré lors d’un briefing le premier jour de l’invasion russe de l’Ukraine : « Si la Russie poursuit des cyberattaques contre nos entreprises, nos infrastructures critiques, nous sommes prêts à réagir ».
« J’espère que cela signifie que la dissuasion – du moins jusqu’à présent – fonctionne », a déclaré Fick. « La dissuasion dans le cyberdomaine peut prendre plusieurs formes différentes. Le premier est le type de dissuasion « par réponse », comme celle fournie par la déclaration du président Biden. Mais la dissuasion « par déni » est également importante, comme persuader les Russes que les défenses occidentales sont suffisamment bonnes pour qu’il soit peu probable qu’elles aient un succès généralisé avec des attaques contre des infrastructures critiques.
Bien que la Russie ait certainement « utilisé des cyberattaques et des attaques de désinformation/mésinformation contre l’Ukraine dans le cadre de son action militaire là-bas », il n’y a aucune preuve de cyberattaques russes contre les États-Unis, l’OTAN ou d’autres cibles car « toutes les parties semblent jusqu’à présent d’accord ». que les attaques contre des infrastructures critiques en dehors de l’Ukraine seraient considérablement aggravantes », a déclaré Fick.
Le Congrès américain a approuvé la semaine dernière de nouvelles règles qui obligent les entreprises essentielles aux intérêts nationaux américains à signaler lorsqu’elles ont été piratées ou ont payé une rançon à la suite d’une attaque de ransomware.
Les règles font partie d’un effort plus large de l’administration Biden et du Congrès pour renforcer les cyberdéfense américaines. Le signalement donnera au gouvernement fédéral une visibilité beaucoup plus grande sur les efforts de piratage ciblant les entreprises privées, qui ont souvent omis de demander de l’aide au FBI ou à d’autres agences.
Il oblige toute entité considérée comme faisant partie de l’infrastructure critique du pays, qui comprend les secteurs de la finance, des transports et de l’énergie, à signaler tout « incident cybernétique substantiel » au gouvernement dans les trois jours et tout paiement de ransomware effectué dans les 24 heures.
Fick a déclaré que les gouvernements devraient travailler plus en collaboration pour repousser les attaques. « Le signalement de renseignements fondamentaux pour les principaux adversaires tout en collaborant avec des sociétés de renseignement et de sécurité Internet du secteur privé pourrait considérablement améliorer la capacité d’attribuer rapidement de futures attaques à nos systèmes. Cela créerait une connaissance de la situation partagée en temps réel entre plusieurs juridictions, ce qui, en fin de compte, mieux défendrait les intérêts d’une nation.
AP a contribué à ce rapport.
