L'Ukraine a subi d'importantes cyberattaques pendant des années. Jusqu'à présent, celles-ci se sont limitées à la perturbation des réseaux (attaques DDoS) ou à la prise en otage des systèmes informatiques (ransomware). Ces attaques, si elles causent de grands dommages et inconvénients, ne provoquent pas de dommages permanents. Au début de l'offensive russe en Ukraine, cette ligne rouge a été franchie. Le spécialiste slovaque de la cybersécurité ESET Labs rapporte que de nombreuses entreprises et institutions gouvernementales ukrainiennes sont attaquées par le malware HermeticWiper, un virus informatique avancé qui tente de supprimer toutes les données.
...

L'Ukraine a subi d'importantes cyberattaques pendant des années. Jusqu'à présent, celles-ci se sont limitées à la perturbation des réseaux (attaques DDoS) ou à la prise en otage des systèmes informatiques (ransomware). Ces attaques, si elles causent de grands dommages et inconvénients, ne provoquent pas de dommages permanents. Au début de l'offensive russe en Ukraine, cette ligne rouge a été franchie. Le spécialiste slovaque de la cybersécurité ESET Labs rapporte que de nombreuses entreprises et institutions gouvernementales ukrainiennes sont attaquées par le malware HermeticWiper, un virus informatique avancé qui tente de supprimer toutes les données."Nous avons pu mettre la main sur une copie de ce logiciel malveillant (terme collectif désignant les virus et autres logiciels malveillants, ndr) par l'intermédiaire d'un réseau", explique Geert Baudewijns, du Secutec flamand. "Avec notre outil de surveillance des cyberattaques, nous avons immédiatement vu que les systèmes informatiques en Ukraine étaient fortement attaqués. Le wiper virus (ou virus essuie-glace) est très destructeur. Il rend les systèmes informatiques complètement inutilisables. Il est étonnant qu'un virus efface des données. En général, les cybercriminels ne sont pas intéressés par cela, ils préfèrent demander une rançon (ransomware). Mais la façon dont le virus infecte les systèmes informatiques est encore plus intrigante. Il utilise une faille de sécurité inconnue. Seules les cyberpuissances disposent des ressources et de l'expertise nécessaires pour trouver de telles failles. De plus, ils n'ont généralement qu'une durée très limitée, un an environ car les entreprises de cybersécurité et de logiciels sont constamment à la recherche de ces vulnérabilités et s'empressent de les divulguer ou de lancer des mises à jour correctives. Ces attaques ne ressemblent donc pas du tout aux logiciels malveillants classiques (malware) utilisés par les cybercriminels. Le virus wiper attaque des systèmes très ciblés en Ukraine et ne se propage pas automatiquement à d'autres systèmes. Mais il est très inquiétant de voir à quel point il est sophistiqué. C'est vraiment une démonstration de pouvoir. Celui qui l'a envoyé veut se démarquer et nous ne pouvons donc regarder que dans une seule direction."Pipeline bloqué à cause d'un virusLes spécialistes de la cybersécurité se gardent bien de désigner des coupables à moins d'en être sûrs à 200%, mais tout indique qu'il s'agit d'une cyberguerre russe à grande échelle. Le spécialiste américain de la cybersécurité Talos, qui fait partie du géant technologique Cisco, a décrit l'ampleur de l'offensive dans un briefing. En plus d'anéantir les systèmes informatiques, les attaques DDoS mettent hors service d'autres systèmes. Les rumeurs et les sites web détournés sont également utilisés pour semer la panique ou la confusion en ligne. Talos prévient que l'Occident doit également craindre une cyber-offensive agressive, maintenant qu'il impose des sanctions économiques, de plus en plus lourdes, à la Russie. Talos fait référence au rançongiciel (ransomware) qui a frappé un opérateur d'oléoducs américain l'année dernière et provoqué des pénuries de carburant dans plusieurs États américains. L'attaque s'est concentrée sur quelques systèmes administratifs ; l'exploitation du pipeline est restée opérationnelle. L'exploitant lui-même a fermé le pipeline parce qu'il ne pouvait plus facturer. La ligne rouge des dommages permanents n'a pas été franchie, mais de telles attaques peuvent causer beaucoup de tensions et de dommages économiques.La vigilance est élevée. Quelques heures seulement après le début de l'offensive russe en Ukraine, le principal organisme de cybersécurité belge, le CCB (Centre pour la cybersécurité en Belgique), a appelé les entreprises à dépoussiérer leurs plans d'urgence informatique. La Belgique abrite le siège de l'OTAN et de plusieurs institutions européennes clés, ce qui fait de notre pays une cible de choix. Mais l'appel à une plus grande vigilance a surtout été lancé à titre de précaution."En raison des tensions géopolitiques, il y a une augmentation de la cybermenace, mais nous ne voyons pas de menaces ou d'attaques concrètes", a déclaré le directeur du CCB, Miguel De Bruycker. "Les trois quarts des cyberattaques proviennent déjà de la Russie. Nous savons que de nombreux cybercriminels y sont actifs. Il n'y a pas non plus de changement significatif dans le schéma de ces attaques. Mais on ne peut jamais exclure que quelque chose se produise. Il est très important que toutes les entreprises et organisations en Belgique examinent leurs plans d'urgence internes, qu'elles sachent comment faire face aux cyberincidents, que leurs systèmes de sauvegarde fonctionnent correctement et qu'elles tiennent leurs systèmes informatiques à jour. De cette façon, il y a moins de chance qu'une faiblesse soit rapidement exploitée. Bien entendu, maintenir tous ces systèmes à jour ne va pas de soi. La Belgique a connu des problèmes ces dernières années ; si la plupart des "portes dérobées" ont été fermées, il peut arriver qu'un serveur VPN obsolète n'ait pas été désactivé. Cela nous amène à une grande inquiétude : les fondations de l'Internet ne sont pas suffisamment sécurisées. Nous essayons maintenant d'ajouter des couches supplémentaires, mais cela reste un environnement difficile à défendre. Nous devons évoluer vers un nouvel internet où la sécurité est au coeur des préoccupations."Organisations d'importance vitale"Les nouvelles ne sont pas toutes mauvaises, en tout cas pas en ce qui concerne la Belgique", poursuit M. De Bruycker. "La BCC a pu mettre en place des mesures importantes ces dernières années. En quelques années, le niveau en Belgique a fortement augmenté. Dans un indice international, qui recherche le plus petit nombre de systèmes infectés et de ports réseau non protégés, la Belgique occupe la deuxième place. Il y a quatre ans, nous étions encore dans la moitié inférieure. Dans un autre indice de cybersécurité reconnu au niveau international, nous sommes cinquième à l'échelle européenne. Nous obtenons donc de très bons résultats avec un budget limité. Je ne nie pas qu'il y ait des défis à relever, mais la Belgique n'est certainement pas en mauvaise posture."M. De Bruycker souligne également les mesures importantes prises pour protéger les piliers de l'économie belge, tels que les centrales électriques, les opérateurs de télécommunications et les banques. "Ces dernières années, des secteurs et des entreprises clés ont été soumis à des règles juridiques supplémentaires. Au CCB et au Centre fédéral de crise, nous les regroupons sous l'appellation "organisations d'importance vitale". Ils sont, par exemple, tenus de signaler les incidents et de se soumettre à des audits stricts. Le CCB a également mis en place un système d'alerte précoce pour ces organisations, qui vérifie, entre autres, si une menace pèse sur un nom de domaine d'une telle organisation. Ils reçoivent alors un avertissement automatique."Plus de collaboration européenneLa Belgique est donc devenue beaucoup plus résistante aux cyberattaques. Cependant, Geert Baudewijns affirme que notre pays doit collaborer avec les autres pays européens afin de dissuader ou de couper courts aux éventuelles attaques. "Les cyber-attaques les plus dangereuses proviennent de l'espionnage gouvernemental et des services de renseignement. Mais il n'existe pas d'approche européenne cohérente à cela. Nous n'avons pas d'équivalent européen aux services de renseignement russes ou américains. Pourtant, nous pourrions. Israël ne compte que 9 millions d'habitants, mais son expertise et sa force en matière de cybersécurité sont très appréciées. À tout le moins, le noyau de l'Union européenne, ainsi que la Grande-Bretagne si nécessaire, devraient travailler beaucoup plus étroitement ensemble. Nous devrions être en mesure de mener des attaques avancées similaires, car cela signifierait que nous aurions alors acquis une bien meilleure expertise dans la détection des failles/vulnérabilités. Si nous les trouvons en premier, nous pourrons au moins nous assurer qu'ils ne seront pas utilisés contre nous."