Attaques informatiques coordonnées et piratages solitaires : l’invasion russe de l’Ukraine a déclenché une mobilisation sans précédent des pirates et cyberactivistes désireux d’aider l’une ou l’autre partie du conflit en menant des actions contre de nombreuses cibles, avec toutefois des effets encore peu concrets et difficiles à vérifier.

Comme sur le terrain, les premières opérations de ce conflit numérique ont été dirigées contre l’Ukraine, ainsi que l’ont repéré les experts slovaques d’Eset Research dès le soir du 23 février, juste avant l’entrée des premières troupes russes sur le territoire ukrainien.

«Eset a découvert un nouveau virus destructeur de données (“data wiper”) utilisé en Ukraine aujourd’hui», installé sur des «centaines de machines du pays», ont-ils tweeté, signalant également des attaques informatiques visant à rendre indisponibles des sites ukrainiens.

Simultanément, le réseau civil d’internet par satellite opéré par l’américain Viasat, couvrant le nord de l’Europe, a été coupé, victime «d’une attaque cyber avec des dizaines de milliers de terminaux rendus inopérants», a indiqué cette semaine le général Michel Friedling, commandant de l’Espace en France.

En réaction dès le 26 février, le vice-premier ministre ukrainien Mykhailo Fedorov annonce lever une cyberarmée de pirates volontaires («IT Army»).

«Il y aura des missions pour tout le monde !» lance-t-il sur Twitter en donnant l’adresse d’un groupe sur la messagerie Telegram, rapidement rejoint par plus de 250 000 personnes, dont le célèbre collectif Anonymous.

Sur ce groupe sont partagées régulièrement de nouvelles cibles en Russie et Biélorussie : sites officiels, réseaux électriques télécoms, bancaires ou plateformes de cryptomonnaies, jusqu’au système de positionnement par satellites Glonass, l’équivalent russe du GPS.

Conséquence, certains de ces sites ont été modifiés pour afficher des messages de soutien à l’Ukraine, ou rendus inaccessibles. Près de la moitié des 175 sites ciblés sur le groupe Telegram de «l’armée informatique» ukrainienne ne répondaient plus jeudi, y compris depuis la Russie, selon le projet «RU-OK».

En Biélorussie, des cyberpartisans revendiquent également avoir perturbé le trafic ferroviaire, dans le but de gêner les mouvements des troupes russes vers l’Ukraine. Enfin, de nombreuses campagnes visent à polluposter des forums et espaces de commentaires avec des messages de soutien à l’un ou l’autre camp.

Mais ces faits d’armes numériques, encore très loin de la guerre «cyber» totale redoutée par certains spécialistes, restent majoritairement invérifiables et la bataille des pirates se déroule finalement souvent sur le terrain de l’intox.

«Faire rire»

Olivier Laurelli, un blogueur français et l’un des cofondateurs du site d’informations Reflets.info, dit lui s’être attaqué à l’infrastructure web de Gazprom et avoir réussi à diffuser sur une radio du géant pétrolier russe l’«hymne ukrainien version heavy métal», puis un discours du président Zelensky.

L’entreprise a dû débrancher le serveur, «car ils n’avaient plus la main dessus», raconte-t-il à l’AFP.

«Les gens là-bas ne savent pas ce qu’il se passe en Ukraine», justifie-t-il, reconnaissant également agir pour «faire rire et distraire».

«Le propre d’un piratage utile, c’est de faire une extraction d’informations et qu’on n’en entende pas parler», souligne M. Laurelli.

«Mais quand des millions de personnes dans les centres-villes sont sous le feu des bombardements, que valent les fuites de données et les sites internet paralysés ?», s’interrogeait il y a quelques jours le journaliste Patrick Howell O’Neill dans la revue technologique du MIT.

«Opérateurs d’importance vitale»

Désormais, nombreux sont ceux qui se pensent autorisés à ouvrir certaines portes numériques, même ultra-sensibles, en estimant que puisqu’«il y a un conflit, alors tout est permis», expliquait un observateur à l’AFP.

Et malgré l’interdiction des États-Unis de rejoindre les rangs des «hacktivistes» depuis des routeurs américains, «la Russie va probablement ne pas le croire» et percevoir les attaques «de n’importe quel groupe occidental comme une attaque encouragée par les gouvernements occidentaux», expliquait l’ex-analyste russe à la CIA Michael E. van Landingham, cité dans l’article.

Un climat ultra-tendu qui fait régner l’inquiétude dans le camp occidental.

En France, l’Anssi a publié un avis rappelant aux entreprises et institutions les précautions à prendre.

Selon l’expert en cybersécurité Gérome Billois, les entreprises qui ont des établissements en Ukraine et en Russie s’affairent en ce moment à les isoler informatiquement de leur réseau central, pour éviter qu’une attaque locale ne contamine toute l’entreprise.

Du côté des opérateurs d’importance vitale (OIV), définis comme exploitant ou utilisant «des installations jugées indispensables pour la survie» d’un pays, ceux-ci «ont tendance à accélérer» le durcissement de leur cyberdéfense.

Certains ont notamment renforcé la surveillance de leur réseau, en passant d’une astreinte à une surveillance 24/24, 7/7.

