Agrandir / Drapeau de l’Ukraine sur un ordinateur codes binaires tombant du haut et s’estompant.
gwengoat | Getty Images
Des mois avant l’invasion russe, une équipe d’Américains s’est déployée à travers l’Ukraine à la recherche d’un type de menace très spécifique.
Certains étaient des soldats, avec le Cyber Command de l’armée américaine. D’autres étaient des entrepreneurs civils et certains employés d’entreprises américaines qui aident à défendre les infrastructures critiques contre le type de cyberattaques que les agences russes ont infligées à l’Ukraine pendant des années.
Les États-Unis aidaient l’Ukraine à renforcer ses cyberdéfense depuis des années, depuis qu’une tristement célèbre attaque de 2015 sur son réseau électrique a laissé une partie de Kiev sans électricité pendant des heures.
Mais cette poussée de personnel américain en octobre et novembre était différente : c’était en préparation d’une guerre imminente. Les personnes familières avec l’opération ont décrit une urgence dans la chasse aux logiciels malveillants cachés, du genre que la Russie aurait pu planter, puis laisser en sommeil en vue de lancer une cyberattaque dévastatrice parallèlement à une invasion terrestre plus conventionnelle.
Les experts préviennent que la Russie pourrait encore déclencher une attaque en ligne dévastatrice contre les infrastructures ukrainiennes du type de celles attendues depuis longtemps par les responsables occidentaux. Mais des années de travail, associées aux deux derniers mois de renforcement ciblé, peuvent expliquer pourquoi les réseaux ukrainiens ont résisté jusqu’à présent.
Les responsables ukrainiens et américains prennent soin de décrire le travail des “équipes de cybermission” comme défensif, par rapport aux milliards de dollars d’armes létales qui ont été déversés en Ukraine pour combattre et tuer des soldats russes.
Les attaques russes ont été émoussées parce que “le gouvernement ukrainien a pris les mesures appropriées pour contrer et protéger nos réseaux”, a déclaré Victor Zhora, un haut responsable du gouvernement ukrainien.
Dans les chemins de fer ukrainiens, l’équipe de soldats et de civils américains a trouvé et nettoyé un type de malware particulièrement pernicieux, que les experts en cybersécurité appellent “wiperware” – désactivant des réseaux informatiques entiers simplement en supprimant des fichiers cruciaux sur commande.
Publicité
Au cours des 10 premiers jours de l’invasion russe, près d’un million de civils ukrainiens se sont enfuis en toute sécurité sur le réseau ferroviaire. Si le logiciel malveillant n’avait pas été découvert et s’était déclenché, “cela aurait pu être catastrophique”, a déclaré un responsable ukrainien familier avec le problème.
Un logiciel malveillant similaire n’a pas été détecté au sein de la police des frontières, et la semaine dernière, alors que des centaines de milliers de femmes et d’enfants ukrainiens tentaient de quitter le pays, les ordinateurs au point de passage vers la Roumanie ont été désactivés, ajoutant au chaos, selon des personnes proches du dossier. .
Avec un budget beaucoup plus restreint – environ 60 millions de dollars – ces équipes ont également dû préparer le terrain avec des groupes privés qui fournissent l’épine dorsale de la plupart des infrastructures que les pirates informatiques russes, affiliés au gouvernement ou non, devaient attaquer.
Le dernier week-end de février, la police nationale ukrainienne, aux côtés d’autres armes du gouvernement ukrainien, a été confrontée à une attaque massive d ‘«attaques par déni de service distribué» (DDoS), qui sont des attaques relativement peu sophistiquées qui détruisent les réseaux en les inondant de demandes de petites quantités de données à partir d’un grand nombre d’ordinateurs.
En quelques heures, les Américains avaient contacté Fortinet, un groupe californien de cybersécurité qui commercialise une « machine virtuelle » destinée à contrer justement une telle attaque.
Le financement a été approuvé en quelques heures et le département américain du Commerce a fourni une autorisation en 15 minutes. Dans les huit heures suivant la demande, une équipe d’ingénieurs avait installé le logiciel de Fortinet sur les serveurs de la police ukrainienne pour repousser l’assaut, a déclaré une personne familière avec l’opération de tir rapide.
Le fait que ces assauts ciblent souvent des logiciels disponibles dans le commerce, principalement de fabricants occidentaux, a forcé de grandes entreprises américaines et européennes à consacrer des ressources à la défense des réseaux ukrainiens.
Microsoft, par exemple, gère depuis des mois un Threat Intelligence Center qui a réparti ses ressources entre les logiciels malveillants russes et les systèmes ukrainiens.
Publicité
Le 24 février, quelques heures avant que les chars russes ne commencent à arriver en Ukraine, les ingénieurs de Microsoft ont détecté et rétro-conçu un logiciel malveillant nouvellement activé, a déclaré le président de Microsoft, Brad Smith, dans un article de blog.
En moins de trois heures, la société a publié une mise à jour logicielle pour se protéger contre le logiciel malveillant, averti le gouvernement ukrainien de la menace et alerté l’Ukraine des “attaques contre une série de cibles”, y compris l’armée. Sur les conseils du gouvernement américain, Microsoft a immédiatement étendu l’avertissement aux pays voisins de l’OTAN, a déclaré une personne proche de la décision de fin de soirée.
“Nous sommes une entreprise et non un gouvernement ou un pays”, a écrit Smith, mais a ajouté que Microsoft et d’autres fabricants de logiciels devaient rester vigilants face à ce qui s’est passé en 2017, lorsqu’un malware attribué à la Russie s’est propagé au-delà des frontières de la cyber-arène ukrainienne. au monde entier, désactivant les ordinateurs chez Merck, Maersk et ailleurs et causant 10 milliards de dollars de dommages.
Jusqu’à présent, les experts qui ont observé les cyberattaques russes ont été déconcertés par leur manque de succès, ainsi que par le rythme, l’intensité et la sophistication plus faibles de ce dont les pirates du gouvernement russe sont connus pour être capables.
Les défenses ukrainiennes se sont montrées résilientes, a déclaré un responsable européen qui a été informé cette semaine par les Américains lors d’une réunion de l’OTAN, et les infractions russes se sont révélées médiocres. Il a dit que la raison en était que, jusqu’à présent, la Russie a retenu son corps d’élite dans la cyber-arène, tout comme elle l’a fait sur le champ de bataille, peut-être en sous-estimant les Ukrainiens.
Un exemple, a-t-il dit, est le fait qu’au lieu de communiquer uniquement via des téléphones cryptés de qualité militaire, les commandants russes se greffent parfois sur les réseaux de téléphonie mobile ukrainiens pour communiquer, parfois simplement en utilisant leurs téléphones portables russes.
“Les Ukrainiens adorent ça – il y a tellement de données simplement en regardant ces téléphones, qu’ils utilisent ou non des applications cryptées”, a-t-il déclaré.
Les Ukrainiens bloquent ensuite les téléphones russes de leurs réseaux locaux à des moments clés, bloquant davantage leurs communications. “Puis vous voyez soudain des soldats russes saisir les téléphones portables des Ukrainiens dans la rue, faire des descentes dans les ateliers de réparation pour les sims”, a-t-il déclaré. “Ce n’est pas un truc sophistiqué. C’est assez déroutant.
© 2022 The Financial Times Ltd. Tous droits réservés Ne pas redistribuer, copier ou modifier de quelque manière que ce soit.