A Kiev, la cyberguerre venue du froid

Lu pour vous sur Libération :

Par Amaelle Guiton, dessin Dorothée Richard — 29 juillet 2019 à 17:46

Dessin Dorothée Richard

Fake news, contrôle des données… Retour sur la face sombre de nos vies numériques. Aujourd’hui, un ver informatique dans les rouages ukrainiens.

  •  

     A Kiev, la cyberguerre venue du froid

Kiev (Ukraine), 27 juin 2017. Ce matin-là, Vlad Styran, directeur des opérations de Berezha Security, une petite entreprise de sécurité informatique, est chez un client. Il est 11 heures environ lorsqu’un de ses collègues l’avertit qu’un logiciel malveillant circule et a été repéré notamment dans une banque de la ville. En apparence, il s’agit d’un «rançongiciel» : un de ces logiciels qui «cryptent» les données sur les ordinateurs et exigent une rançon pour les déverrouiller. Styran commence à poster sur son compte Facebook les informations qu’il recueille, et à donner des conseils pour se prémunir du malware. «A ce moment-là, raconte-t-il, tout le monde pensait qu’on avait affaire à une campagne de « hameçonnage » », via des mails frauduleux. Mais l’affaire prend vite une ampleur inédite.

Alerte rouge

Dans la capitale ukrainienne, des magasins ferment ; dans le métro, le paiement par carte bancaire ne fonctionne plus ; à l’aéroport de Boryspil, les panneaux d’affichage des vols tombent en rade. Au fil des heures, les noms des entreprises et institutions touchées dans le pays s’accumulent – banques, hypermarchés, opérateurs télécoms… – et le malware se répand ailleurs : en France chez le géant des matériaux Saint-Gobain, au Danemark chez l’armateur Maersk, en Russie chez le pétrolier Rosneft. TNT Express, la filiale européenne du transporteur américain FedEx, est affectée.

Les entreprises de cybersécurité sont en alerte rouge. Car ce que leurs équipes de recherche découvrent n’a rien à voir avec une banale campagne cybercriminelle. Baptisé «NotPetya», «Nyetya» ou «ExPetr», le logiciel malveillant a d’évidence été conçu pour se propager dans les réseaux qu’il atteint. Il embarque notamment deux outils développés par la puissante Agence nationale de sécurité américaine (NSA) pour exploiter des failles (corrigées depuis) de Windows, le système d’exploitation de Microsoft, et divulgués deux mois plus tôt par un mystérieux groupe de pirates informatiques, les «Shadow Brokers». Surtout, NotPetya n’a pas frappé au hasard. Vlad Styran est très vite averti que le malware a transité via une mise à jour piégée de M.E.Doc, un logiciel de comptabilité massivement utilisé dans le pays. C’est l’Ukraine qui était visée – avec l’objectif manifeste d’y faire le maximum de dégâts.

Ce n’est pas la première fois que le pays fait l’objet d’attaques informatiques spectaculaires. En 2015, juste avant Noël, 230 000 personnes ont été privées de courant durant plusieurs heures dans la région d’Ivano-Frankivsk, dans l’ouest de l’Ukraine. Même scénario l’année suivante dans plusieurs quartiers de Kiev. Depuis 2014, année de l’annexion de la Crimée par la Russie, les cyberattaques visant des institutions publiques, des banques, des industries, se sont multipliées. Les autorités y voient la main de Moscou. Sans surprise, le Kremlin dément. En 2007, c’est un autre voisin de la Russie, l’Estonie, qui avait essuyé une vague d’attaques dites «par déni de service» (par saturation des serveurs sous un afflux de connexions), paralysant des sites web publics comme privés, en pleine crise politique déclenchée par le déplacement d’une statue à la gloire de l’armée soviétique.

Trois ans plus tard, le monde entier découvrait l’existence de Stuxnet, un ver informatique destiné à faire dérailler les centrifugeuses d’enrichissement d’uranium en Iran et conçu, d’après plusieurs médias, conjointement par la NSA et l’unité 8 200 de l’armée israélienne.

Le cinquième milieu

Le cyberespace est un champ de bataille : le «cinquième milieu», après la terre, la mer, l’air et l’espace, dit-on dans les doctrines militaires. A ceci près qu’on ne sait pas toujours avec certitude d’où viennent les coups, tant les attaquants s’ingénient à brouiller les pistes. En février 2018, les Etats-Unis et deux de leurs plus proches alliés, l’Australie et le Royaume-Uni, ont officiellement attribué NotPetya à la Russie. Imputations«dépourvues de preuve», a répondu le Kremlin. Un mois plus tard, Washington accusait Moscou de menées contre les réseaux électriques américains. Récemment, le 15 juin, le New York Times titrait cette fois : «Les Etats-Unis intensifient les attaques en ligne contre le réseau électrique russe.»

Cyber War Will Not Take Place, la cyberguerre n’aura pas lieu : tel est le titre, un brin provocateur, que le politologue américain Thomas Rid a donné à son quatrième ouvrage, sorti en 2013. Six ans plus tard, le monde n’a toujours pas vécu de «Pearl Harbour numérique». Mais c’est par des cyberattaques contre des systèmes de lancement de missiles que les Etats-Unis ont répondu à la destruction d’un drone de surveillance par l’Iran. Le 22 juillet, le chercheur en cybersécurité The Grugq, ancien courtier en failles informatiques, tweetait : «Je suis d’accord avec Thomas Rid – la cyberguerre n’aura pas lieu. Mais la guerre dans le cinquième milieu, elle, se produira.»