Gerôme Billois, expert en cybersécurité au cabinet de conseil Wavestone, analyse les risques liés aux attaques numériques après l’invasion militaire russe de l’Ukraine.
Publié le 25/02/2022
Avant l’invasion, des réseaux informatiques paralysés. Alors que la communauté internationale redoutait une attaque russe chez son voisin, les sites de plusieurs banques et ministères ukrainiens, dont celui des Affaires étrangères, ont été visés par une cyberattaque, mercredi 23 février après-midi, les rendant inaccessibles.
Au-delà des cibles ukrainiennes, les alliés occidentaux de Kiev redoutent désormais que des attaques informatiques russes ne visent d’autres pays, notamment les Etats ayant voté des sanctions contre la Russie. Que faut-il craindre ? Est-il possible de se protéger ? Pour y voir plus clair, franceinfo a interrogé Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone.
Quelles structures ont été dernièrement ciblées par les cyberattaques russes ? Comment sont-elles visées ?
Gérôme Billois : On compte deux grands types de cyberattaques différentes. Les premières, d’intensité moyenne, sont des attaques par déni de service distribué (DDoS, pour Distributed Denial of Service). Elles consistent à saturer de requêtes des sites web pour qu’ils ne soient plus accessibles, avec pour objectif d’inquiéter les utilisateurs. Les cibles sont souvent des sites gouvernementaux ou de médias. On s’en remet heureusement très facilement : dès que les requêtes cessent de solliciter le site, celui-ci redevient en général accessible en quelques minutes.
Le second type d’attaques est bien plus problématique. Il s’agit d’offensives destructives, appelées wiper (du verbe wipe, « effacer » en anglais), qui vont supprimer le contenu des ordinateurs ciblés avant de les bloquer. Il faut ensuite tout réinstaller avant de pouvoir réutiliser ces machines, ce qui devient très embêtant quand des centaines, voire des milliers d’ordinateurs sont touchés. En général, les organisations touchées mettent deux à trois semaines à reprendre pied. C’est ce qui avait été constaté quand l’Ukraine avait été visée une première fois en 2017.
Quels sont les moyens utilisés pour lancer ces deux types d’attaque ?
Pour réaliser une attaque par déni de service, il faut soit prendre le contrôle de machines dotées d’une importante bande passante, soit contrôler à distance des milliers, ou même des millions d’ordinateurs (on parle alors de zombies), pour leur faire lancer des requêtes à destination de la cible de manière répétée, jusqu’à complètement saturer le site visé.
Le wiper utilise plutôt une forme de virus. L’attaquant doit d’abord percer les défenses de l’organisation ciblée (par exemple en envoyant des e-mails piégés, ou en exploitant une faille d’un site qui n’aurait pas été mise à jour), avant de prendre le contrôle des ordinateurs pour y installer son logiciel malveillant. L’attaquant n’a ensuite qu’à attendre le moment de son choix pour activer son logiciel et tout verrouiller simultanément.
Les pays occidentaux qui sanctionnent actuellement Moscou après l’invasion en Ukraine peuvent-ils s’attendre à être visés par de telles cyberattaques ?
C’est effectivement une crainte. A l’heure actuelle, on observe quelques débordements de ces cyberattaques dans des pays comme la Lettonie et la Slovaquie, mais il semble que les victimes soient directement liées aux structures ukrainiennes visées. On peut émettre l’hypothèse qu’il s’agisse de victimes collatérales, liées à l’interconnexion de certains systèmes.
La Russie est en tout cas totalement capable de mener des représailles aux sanctions occidentales sur le terrain numérique. En la matière, les attaquants attaquent rarement à visage découvert, mais les cas précédents impliquaient souvent les services de renseignement russe, directement ou indirectement.
Comment est-il possible de se protéger de ce type d’offensives ?
La clé réside dans l’anticipation, car devoir réagir sans y être prêt demande des moyens et du temps. En France, nous avons la chance de posséder une réglementation qui impose depuis 2014 aux structures les plus stratégiques et sensibles de se protéger.
En cas d’urgence, il faut rapidement vérifier les systèmes de protection : les filtrages (type firewall) sont-ils en place ? Les systèmes de détection de virus sont-ils correctement positionnés ? Des sauvegardes de sécurité ont-elles été récemment effectuées et testées ? Il est aussi nécessaire de disposer de personnel capable, 24 heures sur 24 et sept jours par semaine, de repérer si des attaques sont en cours et d’y réagir le cas échéant, par exemple en débranchant une partie du réseau ou en fermant certains systèmes.