Le 14 janvier dernier, les autorités ukrainiennes ont indiqué que plusieurs ministères avec été la cible de cyberattaque. Laurent Célérier, cadre dirigeant chez Orange Cyberdefense et enseignant à Sciences Po, répond aux questions d’EurAsia Prospective sur le sujet.
Eurasia Prospective : que sait-on de ces cyberattaques aujourd’hui? Quelles ont été les cibles? Quel a été le modus operandi par comparaison aux attaques célèbres (Stuxnet, Solarwinds? Quelle est l’évaluation des dégâts causés par ces attaques?
Laurent CELERIER : les informations dont on dispose font état d’une quinzaine de sites internet d’administrations centrales (ministère des affaires étrangères, de l’éducation, des anciens combattants,…) qui ont subi des attaques le 14 janvier 2022. Ces attaques ont principalement consisté en une défiguration de la page d’accueil de ses sites, remplacée par un message de propagande en ukrainien, russe et polonais. En substance, il indiquait : « Ukrainiens, prenez peur et préparez-vous au pire. Toutes vos données personnelles ont été téléchargées sur le Web ».
Il semblerait que ces attaques aient été conduites de manière manuelle par le biais de l’exploitation d’une vulnérabilité connue ( https://www.cvedetails.com/cve/CVE-2021-32648/ )qui concerne une plateforme de management des contenus (CMS).
A date, il ne semble pas qu’il y ait eu de véritable fuite de données personnelles massives.
Sur une échelle de complexité et d’ampleur de 0 à 10, les attaques Stuxnet contre les centrifugeuses iraniennes ou Solarwinds contre la majorité des administrations et grandes entreprises américaines sont à 10, alors que l’attaque d’hier est plutôt à 1 ou 2.
Au-delà d’une indisponibilité temporaire des sites internet attaqués, les conséquences de cette attaque ne se situent pas dans le champ technique mais dans celui des perceptions tant auprès de la population ukrainienne que sur la scène internationale. C’est en premier lieu la confiance dans le gouvernement ukrainien qui était ciblée.
Eurasia Prospective : est-il possible d’attribuer ces attaques à un auteur? La façon de procéder, l’ampleur des attaques ou encore les techniques utilisées pointent-elles vers un Etat, une organisation criminelle ou un groupe déjà identifié de hacker?
Laurent CELERIER : l’attribution des cyberattaques est toujours une question délicate car la technique ne permet pas d’identifier de manière certaine un auteur. Elle permet de collecter des indices (outils et techniques utilisées) qui couplés à une étude contextuelle peuvent conduire à un pouvoir politique ou judiciaire de décider d’attribuer une attaque, de manière confidentielle ou publique.Dans le cas présent, le faible niveau de technicité et d’ampleur des attaques ouvre un vaste éventail de suspects possibles. Cela peut aller d’un simple hacker à un groupe de cybercriminels mandatés par un Etat jusqu’à un service de renseignement. Le contexte actuel en Ukraine ainsi que l’absence d’intérêt financier direct lié à ces attaques indique une motivation politique. En se posant la question de l’intérêt de saper la confiance dans le gouvernement ukrainien le spectre des suspects se rétrécit drastiquement.
Il faut toutefois se méfier d’une analyse trop simpliste. En premier lieu ces attaques peuvent avoir comme origine une initiative personnelle favorisée par le contexte de tension. En second lieu, et sans tomber dans la théorie du complot, des stratégies à plusieurs bandes sont toujours possibles : ces attaques ont conduit à une réaffirmation de l’engagement des Etats-Unis et de l’Union européenne aux côtés du gouvernement ukrainien, ce qui était peut-être l’objectif final recherché par cette manœuvre.
Eurasia Prospective : l’Ukraine est-elle dotée des moyens de cyberdéfense à la hauteur de ces attaques? Quel est son niveau de préparation et de résilience, comparé à d’autres anciennes Républiques Socialistes Soviétiques ciblées par les hackers comme l’Estonie?
Laurent CELERIER : les attaques que l’Ukraine vient de subir sont de bas niveau technique et peuvent être remédiées rapidement et sans trop de difficultés par les capacités étatiques du pays ou en faisant appel à des sociétés privées de cybersécurité. L’envoi de spécialistes américains et européens sur place ne se justifie pas d’un point de vue technique mais répond à une volonté d’engagement politique. Elles révèlent néanmoins un état de cybersécurité général des services gouvernementaux et du pays préoccupant. L’Ukraine avait déjà subi des attaques cyber en 2015 et 2017 sur ses infrastructures critiques, en particulier celui de la production d’électricité. Dans ces cas, au regard de la technicité requise, l’origine étatique était hautement probable. Ces précédentes attaques auraient pu, comme ce fut le cas en Estonie en 2007 après qu’elle eut subi une paralysie complète suite à une attaque cyber, conduire à un renforcement du niveau de sécurité. Au regard de la situation générale du pays et faute d’investissements suffisant, cela ne semble pas avoir été le cas, plaçant aujuourd’hui l’Ukraine dans une situation de vulnérabilité inquiétante.
Eurasia Prospective : Cette attaque se déroule alors que la Fédération de Russie vient d’exercer pendant un mois des pressions militaires, diplomatiques et médiatiques sur l’Ukraine en particulier et sur son ancien espace d’influence. Ces attaques contribuent-elles à une »guerre hybride » ou à la « doctrine Guerassimov? »
Laurent CELERIER : la doctrine de guerre nouvelle génération de Valery Guerassimov, fondée en réaction à la guerre hybride américaine et à la guerre « hors-limite » chinoise, repose sur l’emploi coordonné de moyens de toute nature, qu’ils soient militaires, diplomatiques, civils ou privés pour atteindre ses objectifs politiques. Il s’agit en fait d’une énième mutation de la guerre « intégrale » prenant en compte le nouveau champ cyber dans ses aspects techniques mais aussi d’influence.
Ce qui se passe actuellement en Ukraine est effectivement une illustration de la nouvelle conflictualité où les différents acteurs manœuvrent, notamment dans l’espace numérique pour défendre leurs intérêts.
Le risque avec l’emploi de l’arme cyber, en particulier dans le domaine de l’influence, est celui de la perte de contrôle. Des actions peuvent être entreprises de manière spontanées par des « sympathisants », des initiatives de manipulation de l’information peuvent générer des réactions opposées à celles voulues et des « outils d’attaques » peuvent se retourner contre vous.
Eurasia Prospective : A la veille d’élections présidentielles et législatives, la France est-elle mieux préparée que l’Ukraine en cas de cyberattaques contre ses institutions, ses entreprises ou ses parties politiques? Quels sont les grands résultats de sa stratégie de cyberdéfense aujourd’hui?
Laurent CELERIER : la France a pleinement pris conscience de la menace cybernétique pour sa sécurité nationale depuis une quinzaine d’année maintenant. Les opérateurs d’importance vitale ont depuis 2008 des obligations de cybersécurité et l’Etat a considérablement renforcé ses capacités en développant en particulier l’ANSSI ainsi que ses capacités militaires en la matière.
Je dirais donc que les organes vitaux de la France sont à un niveau de sécurité substantiels.
Par contre, et malgré les efforts initiés comme à l’occasion du récent plan de relance, les « membres périphériques », comme les collectivités territoriales ou les PME disposent encore de marges de progrès significatives. A titre d’exemple, des attaques par défiguration similaires à celles que les ministères ukrainiens ont subies, sont réalisées de manière quotidienne contre des sites internet de mairies ou de PME.
C’est bien le contexte qui conduit à considérer les attaques cyber, pourtant identiques, comme des simples incidents techniques ou des crises majeures.
A ce titre, les prochaines élections présidentielle et législative constituent effectivement un moment critique. Parmi les modes d’actions à anticiper durant cette période trois me semblent critiques : le piratage de données des équipes de campagne pour déstabiliser un candidat, comme cela a été le cas aux Etats-Unis avec les mails d’Hilary Clinton ; la prolifération de fake-news rendant difficile pour les électeurs d’avoir une information fiable et ainsi déstabiliser le processus démocratique ; la perturbation du vote en lui-même, susceptible de s’appuyer davantage que dans le passé sur le vote électronique du fait de la pandémie.
Si les services de l’Etat sont d’ores et déjà mobilisés pour tenter de réduire ces risques, il est essentiel de continuer à faire œuvre de pédagogie à l’attention des citoyens. Une communauté nationale mature et vigilante sur le sujet est assurément un complément indispensable aux mesures technologiques indispensables.
Eurasia Prospective : Ces attaques nous donnent-elles une bonne indication sur l’état actuel des cybermenaces?
Laurent CELERIER : les attaques en Ukraine et leur retentissement international confirment plusieurs tendances. Tout d’abord, il est désormais acquis que la compétition entre les Etats s’étend à l’espace numérique. Que cela soit de manière confidentielle ou ouverte, les Etats complètent leurs capacités militaires traditionnelles par des capacités et des doctrines d’action dans l’espace numérique. De plus, une attaque cyber, aussi faible soit-elle et sans que son origine soit certaine, est désormais considérée comme une véritable agression et entraîne avec elle sa cohorte de réaction politique. Enfin, en proclamant que les données personnelles des Ukrainiens avaient été dérobées, c’est la capacité des Etats à respecter et protéger les données et la vie privée de ses citoyens qui est mis en lumière. C’est devenu un élément clé du pacte social entre l’individu et la puissance publique, notamment en cette période de pandémie où les dispositifs sanitaires incorporent un volet numérique.
EurAsia Prospective 