Crise en Ukraine : quels sont les signaux faibles qui auraient pu permettre de mieux s’armer face à la guerre cyber ?

0
210
Avec l’escalade du conflit entre la Russie et l’Ukraine, nous avons vu la Russie opérer plusieurs attaques cyber, paralysant notamment des sites d’information ainsi que des infrastructures au lancement de l’invasion ces 24 dernières heures. Peut-on dire qu’une nouvelle forme de guerre, la cyberguerre vient de commencer, ou s’agit-il au contraire d’une pratique déjà généralisée ? Existe-t-il une stratégie type de défense que chaque pays devrait mettre en place ?
 
Tribune – Dans ce contexte Louis Vieille-Cessay, PreSales Manager de CyberRes France et BeLux (Groupe Micro Focus), apporte son avis d’expert :
 
« Depuis plusieurs années, toutes les nations investissent militairement le cyberespace. Fondamentalement, ce qui n’est pas surprenant puisque le monde est de plus en plus interconnecté. Le cyberespace est désormais un nouvel espace de projection où les états nations s’attaquent et mènent des opérations spécifiques afin d’atteindre leurs objectifs géostratégiques.
 
L’Iran ou la Corée du Nord par exemple, sont parfois citées comme initiatrices de certaines campagnes d’attaque par rançongiciel. Celles-ci leur permettraient de récupérer des cryptomonnaies venant financer l’achat d’armes en contournant les différents embargos en vigueur. On a également pu les voir saboter la sortie d’un film au cinéma ne leur plaisait pas (1).
Si ces types d’attaques sont relativement appréhendables par la majorité de la population par leurs similitudes aux cyberattaques crapuleuses auxquelles celle-ci est exposée, elles ne sont cependant pas comparables à ce à quoi nous pourrions nous attendre dans le cadre d’un conflit majeur entre deux puissances technologiquement très avancées.
 
Si l’on regarde l’historique de la Russie et de l’Ukraine, ce n’est pas la première fois que des unités, plus ou moins liées aux renseignements ou à l’armée russe, s’attaquent à des infrastructures critiques en Ukraine. Fin 2015 déjà, on a constaté trois attaques russes majeures sur le réseau électrique ukrainien coupant le courant à 250 000 personnes – en plein hiver quelques jours avant Noël (2).  Le seul but de ces attaques était déjà de rendre inopérant des infrastructures critiques par le biais de logiciels embarqués dans les transformateurs électriques. Même si le courant a été coupé plusieurs heures, des analyses approfondies ont révélé par la suite que certains volets de ces attaques avaient échoués, notamment ceux visant la destruction physique des installations de distribution électrique ciblées (3).
 
En regardant le détail des trois attaques russes en 2015 et 2016, on peut constater une amélioration et un perfectionnement des techniques.  On retrouve de nouveau des Russes derrière des techniques d’attaque évoluées ciblant des infrastructures pétrolières notamment (4) en 2018 puis 2019.
Il faut rappeler que les attaques cyber sur de l’infrastructure industrielle ne sont pas l’apanage des seuls russes : dès 2010, le virus Stuxnet mettait hors d’usage des centrifugeuses d’uranium iraniennes…
 
Forts de ces constats, l’escalade du conflit avec l’OTAN peut nous faire redouter ce type d’attaques à grande échelle qui pourrait ainsi s’étendre au-delà du territoire ukrainien. Aussi lointaine que la ligne de front puisse nous paraître, nous pourrions subir des impacts majeurs sur des services publics, des infrastructures industrielles majeures ou toute entreprise, jusqu’aux TPEs et PMEs, faisant partie d’une chaîne d’approvisionnement critique dans un effort de guerre. On pourrait assez vite retrouver des villes, des régions, ou même des pays entiers dans le chaos.
Déclencher ce type d’attaques à grande échelle devrait rester dans une logique d’escalade proportionnelle et graduelle, les Russes n’étant pas les seuls acteurs dans le cyberespace et toute attaque appellerait donc une réponse de la part d’un adversaire. La France a elle-même sa propre unité de cyber dissuasion, officiellement entérinée par la Loi de Programmation Militaire (LPM) de 2019.
 
D’autre part, nous assistons depuis quelque-temps a une prise de conscience sérieuse de ces nouvelles menaces de la part des pouvoirs publics. A l’instar de l’ENISA, créé dès 2004 par l’Union Européenne, l’ANSSI en France en 2009, ou CISA aux Etats-Unis depuis 2018, la plupart des pays se sont dotés d’une agence gouvernementale dédiée à la cybersécurité et à la diffusion des bonnes pratiques cyber-défensives au sein de la société civile et les administrations gouvernementales.
 
Ces agences s’appuient sur des textes (le Cybersecurity Act Europeen pour l’ENISA ou la LPM pour l’ANSSI) pour accompagner et contraindre des sociétés et institutions clés désignées comme « Organisation à Intérêt Vital » pour le bon fonctionnement de la nation dans l’adoption de bonnes pratiques en matière de cybersécurité afin d’élever leur niveau de maturité dans le domaine.
Compte tenu de la nature privée de l’organisation économique et sociale de la plupart des pays du monde, le succès des stratégies de défense en matière de cybersécurité s’appuie largement sur l’investissement fait par le secteur privé en la matière.
Il est important de noter que la cybersécurité n’est pas qu’une question de solutions technologiques, mais aussi une prise de conscience à tous les niveaux de la population du risque cyber ainsi qu’à la montée en maturité des utilisateurs dans ce domaine. La cyberdéfense doit être l’affaire de tous pour être efficace.
 
Afin de protéger au mieux l’espace cyber national, toutes les entreprises et infrastructures publiques doivent impérativement mettre en place des surveillances régulières de leurs systèmes afin de détecter tout comportement suspect. Ceci répond à une des difficultés à se défendre contre des cyberattaques gouvernementales : leur nature latente et persistante. En effet, des hackers gouvernementaux vont chercher à pénétrer et à connaître par cœur un système cible, sans pour autant se manifester par des actes malveillants. Ces opérations de reconnaissance peuvent durer des mois, voire des années, avant de mener une opération quelconque. Il est donc primordial de ne pas détecter uniquement des actes malveillants en cours afin de les bloquer, mais également des signaux faibles avant-coureurs d’une compromission de système afin de les prévenir.
Pour compléter cette visibilité interne sur la sécurité des systèmes, il est également important d’être bien renseignés sur les attaques en cours dans le monde, et de prioriser la mise en adéquation de ses mécanismes de défense selon le risque perçu par l’organisation. Il existe bien évidemment des services, des communautés où on peut retrouver ces informations. L’ANSSI, ainsi que les ainsi que celle autres agences nationales de cybersécurité, mettent également à disposition des bulletins de sécurité.
Pour revenir à l’opérateur du réseau électrique ukrainien, Ukrenergo, depuis 2017, a largement amélioré ses capacités de détections de hackers russes dans ses systèmes. Ukrenergo, aussi bien par les attaques subies il y a 6 ans que par sa réaction et la reconstruction par la suite de sa stratégie cyber est un exemple de première que nous devrions tous méditer. »
 

Outre les attaques militaires sur son sol, l’Ukraine fait également face actuellement à des cyberattaques massives.

Lavi Lazarovitz, Head of Security Research chez CyberArk, analyse ci-dessous ces campagnes malveillantes imputées au malware HermeticWiper:

« Le CyberArk Labs a suivi l’émergence du logiciel malveillant de type “wiper”, surnommé HermeticWiper, qui cible l’infrastructure ukrainienne. Jusqu’à présent, notre équipe a identifié quelques caractéristiques spécifiques qui rendent ce malware unique, notamment le fait que les attaques ont été très ciblées et que les infections observées jusqu’à présent s’appuient sur des identités compromises pour se déplacer latéralement, ce qui conduit potentiellement à un fort ancrage initial en raison de leur nature.

Plus précisément, la distribution de ce malware ne semble pas tirer parti des vulnérabilités de la supply chain, ou tout autre technique de “super propagation”, ce qui signifie que l’infection ne s’étendra pas rapidement à d’autres zones géographiques. Dans un cas étudié, le ransomware s’est déployé en utilisant la stratégie de groupe d’Active-Directory, ce qui signifie que les cybercriminels avaient un accès à privilèges à AD. Ce scénario est plus couramment utilisé dans les incidents ciblés, opérés par des humains ; comme ce fut dans le cas dans l’attaque contre l’entreprise Kaseya.

Il est important de noter que le wiper utilise des privilèges élevés sur l’hôte compromis pour le rendre “non bootable”, en remplaçant les enregistrements et les configurations de démarrage, en effaçant les configurations des périphériques et en supprimant les sauvegardes automatiques. Il semble que le wiper soit configuré pour ne pas chiffrer les contrôleurs de domaine – c’est-à-dire pour maintenir le domaine en fonctionnement et permettre au ransomware d’utiliser des identifiants valides pour s’authentifier auprès des serveurs et chiffrer ceux-ci. Cela met encore plus en évidence que les cybercriminels utilisent des identités compromises pour accéder au réseau et/ou se déplacer latéralement. »

 
(1) https://www.vanityfair.com/news/2019/10/the-untold-story-of-the-sony-hack
(2) https://www.wired.com/story/russian-hackers-attack-ukraine/
(3)https://arstechnica.com/information-technology/2019/09/new-clues-show-how-russias-grid-hackers-aimed-for-physical-destruction/
(4) https://www.technologyreview.com/2019/03/05/103328/cybersecurity-critical-infrastructure-triton-malware/