Longtemps, la Russie et ses pirates informatiques de haut niveau ont fait figure d’épouvantail dans le cyberespace. Mais, après trois mois de guerre en Ukraine et face à des cyberattaques et des fuites de données d’une ampleur inédite, la Russie est passée du statut d’attaquant à celui d’attaqué.

Les autorités russes le reconnaissent elles-mêmes. Dans un étonnant effet miroir pour un pays souvent accusé des mêmes agissements, le ministère des affaires étrangères a dénoncé ces attaques à la mi-avril dans un communiqué passé relativement inaperçu. Dans cette déclaration, la Russie dénonce « le nombre croissant d’attaques de pirates contre la Russie » et les « tentatives de perturbation des infrastructures critiques dans [le] pays ». « Des centaines de milliers de sabotages sont menés chaque semaine depuis l’étranger, principalement l’Amérique du Nord, l’Union européenne et l’Ukraine. Les fuites de données personnelles sont devenues courantes », déplore le ministère.

« Le nombre d’attaques russes contre l’Ukraine avant l’invasion ne représente pas grand-chose comparé aux cyberattaques lancées en réponse par la communauté internationale des hacktivistes », confirme l’entreprise DarkOwl, spécialisée en cybersécurité, qui étudie de près les effets de la guerre dans le cyberespace.

De nombreuses fuites de données

Les fuites de données concernant la Russie se sont multipliées, de l’administration de Blagovechtchensk, ville de Sibérie frontalière de la Chine, à certains fichiers internes de Roskomnadzor, le service fédéral de supervision des communications et des médias, qui organise la censure d’Internet en Russie, en passant par des ministères ou l’entreprise publique russe du nucléaire Rosatom.

L’organisation DDoSecrets est devenue l’un des principaux réceptacles de ce déluge de documents. Au total, ce sont plus de 8 téraoctets de données émanant d’organismes russes qui ont été recueillis par cette plate-forme américaine spécialisée dans la publication de grandes quantités de données provenant de fuites.

Lire aussi DDoSecrets, l’« anti-WikiLeaks » qui compile des documents confidentiels russes

« La Russie n’a jamais été autant une cible auparavant. Dans beaucoup d’endroits, elle était considérée comme une zone interdite. Dans d’autres, s’en prendre à des cibles russes vous aurait exposé à des représailles », décrypte Emma Best, la responsable de DDoSecrets, sur son compte Twitter. Désormais, selon elle, de plus en plus d’hacktivistes sont « prêts à prendre ces risques », estimant que « Poutine a mis une cible sur le dos des intérêts russes, et ils sont tous attaqués en même temps ». « Franchement, ajoute-t-elle, nous n’avons jamais vu autant de données sortir de Russie. »

Toutes les fuites visant le pays ne tombent pas dans l’escarcelle de ce groupe. Certaines sont mises en avant par des groupes issus de la mouvance Anonymousou par des médias ukrainiens. Et, parfois, par les autorités ukrainiennes elles-mêmes, dans le cadre de l’offensive informationnelle qu’elles mènent contre la Russie : fin mars, le service de renseignement militaire publiait ainsi une liste de 620 noms présentés comme étant ceux d’espions du FSB, le service de renseignement russe.

Certaines attaques vont plus loin que la simple fuite de données. A l’aube du 9 mai, jour de commémoration de la fin de la seconde guerre mondiale en Russie et date symbolique pour le régime de Vladimir Poutine, le site russe RuTube a soudainement été déconnecté à la suite d’une cyberattaque. Il a fallu plusieurs jours pour que ce poids lourd de la vidéo en ligne soit de nouveau accessible. Le piratage a été revendiqué par l’IT Army, un groupe de pirates constitué à l’initiative du gouvernement ukrainien au début de la guerre.

Foisonnement de groupes d’hacktivistes

Ces fuites massives et ces attaques sont en partie liées à l’émergence dans le conflit de plusieurs groupes d’hacktivistes aux contours flous et aux identités inconnues. C’est le cas par exemple de Network Battalion 65, qui a revendiqué des offensives contre l’agence spatiale russe ou la télévision d’Etat VGTRK. En Biélorussie, les Cyberpartisans ont affirmé dès la fin janvier avoir attaqué le réseau de chemin de fer du pays, avec pour objectif de perturber les mouvements des troupes russes.

Le groupe mal nommé AgainstTheWest a, lui aussi, revendiqué plusieurs piratages et fuites de données visant la Russie, à l’encontre notamment d’un des groupes de pirates informatiques les plus connus, APT28, issu des services de renseignement militaires russes. AgainstTheWest, apparu à l’automne 2021 et initialement actif contre des cibles chinoises, s’est déclaré ouvertement hostile à la Russie au début de l’invasion de l’Ukraine.

Lire aussi : Guerre en Ukraine : les cyberattaques contre la Russie, le « cri de colère » d’une armée de volontaires

Les affiliations réelles de ces groupes de soutien aux Ukrainiens sont floues : s’agit-il vraiment de simples volontaires ou sont-ils soutenus par des Etats, ce qui est régulièrement le cas des collectifs se présentant comme des hacktivistes ? AgainstTheWest, par exemple, serait composé d’Occidentaux employés dans le privé, mais dotés d’un passé dans les services de renseignement. Ils ont d’ailleurs revendiqué être soutenus par un Etat, sans préciser lequel ni comment. A l’inverse, Network Battalion 65 a affirmé auprès du Washington Post ne prendre d’ordre d’aucun gouvernement et agir de son propre chef.

L’Ukraine répond à la Russie

L’Ukraine répond à la Russie dans le cyberespace, comme elle le fait sur le terrain, même si Kiev reste très discret sur cet aspect de sa contre-offensive. L’IT Army soumet avec un certain succès de nombreux sites russes, depuis trois mois, à des vagues répétées d’attaques destinées à les paralyser. Certaines start-up du pays reconnaissent par ailleurs à mots couverts mener des attaques informatiques au nom de leur gouvernement. Selon les informations de l’édition russe du magazine Forbes, les autorités russes s’apprêteraient à mettre en place un système de défense national contre ce type d’attaques par déni de service (Distributed Denial of Service, DDoS). Un projet technique sans doute hasardeux, mais qui répond, selon la publication, à l’incapacité des entreprises russes à faire face aux attaques.

Même si ces cyberattaques peuvent perturber la vie économique russe et avoir un impact psychologique sur la population, leur portée réelle contre la Russie reste extrêmement limitée. Leur principal effet est à chercher ailleurs : comme sur le terrain militaire, les troupes cyber russes ont été précipitées au bas du piédestal sur lequel nombre d’observateurs les avaient placées. « [Poutine] a cultivé une image d’homme fort pendant des décennies, il se montre pourtant incapable de stopper ces cyberattaques », se réjouit Emma Best dans les colonnes du Washington Post.

Une situation inédite qui n’empêche pas les rodomontades de la Russie. Dans son communiqué publié en avril, le gouvernement russe met en garde les pays occidentaux qui se rendraient coupables d’une trop grande tolérance vis-à-vis des pirates informatiques qui lui sont hostiles, concluant son communiqué d’un avertissement : « Qui sème le cybervent récolte la cybertempête. »


Correctif du 24 mai à 12 heures : le piratage de RuTube a été revendiqué par l’IT Army.


Article original: https://www.lemonde.fr/pixels/article/2022/05/24/guerre-en-ukraine-la-russie-sous-le-feu-des-cyberattaques_6127396_4408996.html