Guerre en Ukraine : les bombardements russes s’accompagnent de cyberattaques

Les sites des ministères de la défense et de l’intérieur ukrainiens, ou encore les services de certaines banques ukrainiennes, étaient difficilement accessibles, jeudi 24 février, et ce depuis vingt-quatre heures, en raison d’une attaque informatique de type « déni de service ». Ces sites officiels sont bloqués par un afflux de trafic généré spécifiquement pour les rendre inaccessibles ; l’origine de ces attaques ne fait que peu de doute : ces derniers mois, des actions similaires avaient déjà touché des services publics ukrainiens et avaient été attribuées, par l’Ukraine comme par la quasi-totalité des experts, à la Russie.

Très visibles, ces attaques ne sont cependant que la partie émergée d’un iceberg de menaces. Durant la nuit, deux opérations plus subtiles et potentiellement plus destructrices ont été détectées par des entreprises de sécurité informatique. L’entreprise slovaque de sécurité numérique ESET a annoncé avoir découvert la présence d’un nouveau logiciel malveillant de type wiper (« essuyeur »), conçu pour effacer le contenu des disques durs, sur « plusieurs centaines de machines » en Ukraine.

« Nous partons du principe que ce logiciel malveillant est parvenu à effacer le contenu des machines infectées », a détaillé Jean-Ian Boutin, responsable de la recherche chez ESET, auprès de l’agence Associated Press. L’entreprise n’a pas souhaité détailler précisément quelles étaient les cibles du logiciel, mais explique qu’il s’agit de « grandes organisations ». Selon les constatations de l’éditeur d’antivirus Symantec, des « sous-traitants en Lettonie et en Lituanie », travaillant pour le gouvernement ukrainien, ainsi qu’une banque ukrainienne, figurent parmi les entreprises touchées. La semaine dernière, deux des principales banques d’Ukraine, PrivatBank et Oschadbank, figuraient parmi les cibles d’une attaque par déni de service.

De faux sites gouvernementaux

Des chercheurs en sécurité informatique, travaillant avec le site d’investigation Bellingcat, ont également révélé l’existence de sites piégés, visiblement conçus pour inciter des cibles en Ukraine à télécharger un logiciel malveillant, et dont l’infrastructure technique est liée à de précédentes opérations menées par les services de renseignement militaire russe, le GRU.

Les sites découverts étaient des copies conformes de sites officiels ukrainiens, sur lesquels un bouton « Je soutiens le président » avait été ajouté. Un clic sur ce bouton déclenchait le téléchargement d’un logiciel malveillant, dont les fonctions précises n’ont pas encore été déterminées. Ces sites ne semblent pas avoir été utilisés dans une campagne active, mais avoir été préparés, dès décembre 2021, en vue d’une future opération contre des cibles en Ukraine.

L’Ukraine et ses entreprises sont très régulièrement la cible d’attaques informatiques, dont une large part est attribuée à des acteurs, étatiques ou criminels, russes. En 2017, le pays avait été le premier touché par le wiper NotPetya, qui avait paralysé des milliers d’entreprises et de services publics, dont des banques, des supermarchés, des stations-service, et même les capteurs automatiques de radioactivité de Tchernobyl, à une centaine de kilomètres au nord de Kiev. Le logiciel malveillant s’était ensuite diffusé à de nombreux autres pays, dont la Russie, en provoquant des dégâts majeurs, mais l’Ukraine et la majorité des experts attribuent sa création et son déploiement aux services russes.