Introduction

Dans le cadre de ses activités, le CERT-EU (Computer Emergency Response Team) a continuellement surveillé l’activité cyber ayant lieu dans le cadre de la guerre en Ukraine, afin de prévenir et anticiper de potentielles opérations cyber pouvant affecter les citoyens, institutions, organes et agences de l’Union Européenne, ainsi que les organisations en Ukraine et dans les pays de l’Union. Le 24 février, un rapport revenant sur leurs différentes observations, provenant pour la plupart de sources publiques et privées « de confiance », a été publié. Il permet d’avoir du recul sur les différentes parties prenant part aux opérations cyber pouvant affecter l’Ukraine, la Russie, et leurs partenaires respectifs.

Présentation de la publication du CERT-EU

Le CERT-EU a recensé 806 cyberattaques depuis le début de la guerre, dont 63% ont affecté des organisations en Ukraine, en Russie et en Biélorussie. Au moins 28% de ces attaques ont ciblé des pays européens en excluant ceux cités précédemment. Parmi ceux-ci, les plus ciblés ont été la Pologne (22%), la Lettonie (16%), puis l’Estonie et la Lituanie (8%), ce qui s’explique car ces derniers partagent une frontière avec la Russie et ont été de fervents partisans de l’apport d’un soutien militaire à l’Ukraine. De plus, au moins 50 pays auraient subi des conséquences liées aux opérations cyber russes depuis le début de la guerre.

Pour les pays européens hors Union Européenne, le Royaume-Uni est le pays le plus impacté (63%), suivi de la Moldavie (14%) puis de la Suisse (10%). Par exemple, le 10 janvier 2023, le site internet d’une vente aux enchères d’art en soutien à l’Ukraine avait été visé par une attaque DDoS (Distributed Denial of Service, attaque ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu), qui a eu pour impact de retarder l’achat des œuvres d’art. Enfin, les Etats-Unis sont le pays hors Europe le plus ciblé (67%), principalement par des attaques DDoS ayant lieu à la suite de décisions politiques tels que la livraison d’armements à l’Ukraine ou la prise de sanctions contre la Russie.

10% des cyberattaques ont affecté des organisations dans plus d’un pays en même temps. Cela pourrait s’expliquer par le fait que les attaques DDoS ont été souvent réalisées par vagues contre plusieurs cibles similaires en même temps, comme observé récemment contre des aéroports allemands ; des campagnes de phishing peuvent cibler les membres d’une organisation unique pouvant être présente dans plusieurs pays ; enfin les attaques par supply-chain ont permis de compromettre des organisations dans plusieurs pays, comme lors de l’incident ayant affecté le réseau KA-SAT de Viasat en février 2022. De nombreux clients ukrainiens et des « dizaines de milliers d’autres clients » de services fixes à large bande en Europe avaient été impactés par cet incident.

Les secteurs les plus ciblés par ces cyberattaques ont été le secteur gouvernemental, avec de nombreux ministères et institutions ciblés en même temps ; la Défense, contre des organisations impliquées directement dans la guerre, telles que les forces armées des belligérants, les groupes paramilitaires, les producteurs d’armements ; l’Information et les Télécommunications, notamment afin de perturber l’accès à Internet et aux réseaux cellulaires ; les transports ; l’énergie ; les médias, dans le but de modifier la diffusion des programmes en direct, comme observé lors du discours de Vladimir Poutine le 21 février 2023.

Un autre point important à retenir du rapport du CERT-EU, est que les APT (Advanced Persistent Threat, terme désignant un mode opératoire associé à un Etat, responsable de différentes cyberattaques souvent regroupées en « campagnes » et utilisant des méthodes et outils spécifiques, suivant des objectifs à motivation politique, économique, militaire) russes et biélorusses ont été très actives, réalisant des attaques de sabotage grâce à des wiper (des malware utilisé pour effacer des données), des campagnes d’espionnage, et de la récolte d’information. D’après le CERT-EU, les APT les plus actives auraient été Gamaredon (24% des attaques par APT), APT28 (17%), UNC1151 (16%) et Sandworm (11%). À noter que certaines attaques DDoS auraient pu être utilisées afin de soutenir des opérations informationnelles, ou pour détourner l’attention d’attaques plus sophistiquées, tels que par wiper.

Dans l’ensemble, le CERT-EU considère que les opérations cyber dans le cadre de la guerre peuvent se décliner en trois phases : une phase de préparation jusqu’à la troisième semaine de février 2022, composé de différentes opérations de reconnaissance dans le but de récolter un maximum d’informations sur les cibles potentielles afin de soutenir les phases suivantes ; une phase aigüe entre la fin de février et mars 2022, avec de nombreuses attaques lancées sur un laps de temps court et ayant pour objectif d’avoir un impact fort ; et une phase soutenue de pics et de creux depuis avril 2022.

Le dernier point évoqué au sein du rapport est que la guerre en Ukraine a été le théâtre d’affrontements entre différents groupes cyber, plus ou moins proche des Etats belligérants et ayant des objectifs hacktivistes ou cybercriminelles. Le 26 février 2022, le premier ministre ukrainien avait annoncé la formation de l’« IT Army of Ukraine », armée informelle de volontaires cybers prêts à réaliser des actions contre la Russie en soutien à l’Ukraine. Depuis, de nombreux groupes ont pris part à la guerre, en soutien à l’un des deux camps, réalisant des actions allant d’attaques DDoS au partage de bases de données volées en passant par le defacement (défiguration d’un site web afin d’afficher un contenu ou une apparence différente, souvent accompagné d’un message ou de revendications). Ainsi, 33 groupes soutiendraient l’Ukraine, dont « Anonymous », « DDoSecrets », « AgainstTheWest », « GhostSec », et 18 auraient pris le parti russe, dont « Killnet », « XakNet » ou encore « Cyber Army of Russia ».

Une perspective biaisée

Le CERT-EU reconnait néanmoins que sa visibilité des cyberattaques est biaisé. En effet, seuls les attaques les plus visibles (hameçonnage, sabotage, DDoS) ont été recensées par le CERT-EU. Il est tout à fait possible que des actions plus discrètes et sophistiquées aient pu avoir lieu sans qu’elles aient été signalées. De plus, les attaques par ransomware (dont certains opérateurs pourraient être en Russie) ont été exclus de leurs statistiques car il est plus difficile d’associer ces activités à la guerre, étant donné que leur motivation principale est tout d’abord financière et que ce type d’activité était déjà largement répandue avant le début du conflit, la frontière entre le cybercrime et les actions étatiques pouvant parfois être difficile à distinguer.