Des mois avant l’invasion russe, une équipe d’Américains a envahi l’Ukraine à la recherche d’un type de menace très spécifique.
Certains membres de l’équipe étaient des soldats du Cyber Command de l’armée américaine. D’autres étaient des entrepreneurs civils et certains employés d’entreprises américaines qui aident à protéger les infrastructures critiques contre le type de cyberattaques que les autorités russes ont lancées contre l’Ukraine depuis des années.
Les États-Unis aident l’Ukraine à renforcer ses cyberdéfense depuis des années, depuis qu’une attaque notoire sur son réseau électrique en 2015 a laissé une partie de Kiev sans électricité pendant des heures.
Mais cette vague de personnel américain en octobre et novembre était différente : c’était en préparation d’une guerre imminente. Les personnes familières avec l’opération ont décrit l’urgence de traquer les logiciels malveillants cachés, du genre que la Russie aurait pu planter puis laisser en sommeil en vue de lancer une cyberattaque dévastatrice parallèlement à une invasion terrestre plus conventionnelle.
Les experts avertissent que la Russie pourrait encore déclencher une attaque en ligne dévastatrice contre l’infrastructure de l’Ukraine, attendue depuis longtemps par les responsables occidentaux. Mais des années de travail, couplées aux deux derniers mois de renforcement ciblé, peuvent expliquer pourquoi les réseaux ukrainiens ont résisté jusqu’à présent.
Les responsables ukrainiens et américains décrivent prudemment le travail des « équipes de cybermission » comme défensif par rapport aux milliards de dollars d’armes meurtrières qui ont afflué en Ukraine pour engager et tuer des soldats russes.
Les attaques russes ont été émoussées parce que « le gouvernement ukrainien a pris les mesures appropriées pour contrer et protéger nos réseaux », a déclaré Victor Zhora, un haut responsable du gouvernement ukrainien.
Aux chemins de fer ukrainiens, une équipe de soldats et de civils américains a trouvé et nettoyé une souche de malware particulièrement malveillante, surnommée « wiperware » par les experts en cybersécurité, qui paralyse des réseaux informatiques entiers en supprimant simplement des fichiers importants sur commande.
Rien qu’au cours des 10 premiers jours de l’invasion russe, près d’un million de civils ukrainiens ont fui vers la sécurité sur le réseau ferroviaire. Si le logiciel malveillant n’avait pas été détecté et s’était déclenché, « cela aurait pu être catastrophique », a déclaré un responsable ukrainien familier avec le problème.
Des logiciels malveillants similaires n’ont pas été détectés par la police des frontières, et la semaine dernière, alors que des centaines de milliers de femmes et d’enfants ukrainiens tentaient de quitter le pays, les ordinateurs au poste frontière avec la Roumanie ont été désactivés, ajoutant au chaos, selon des personnes proches du dossier.
Avec un budget beaucoup plus restreint – environ 60 millions de dollars – ces équipes ont également dû jeter les bases avec des groupes privés fournissant l’épine dorsale de la plupart des infrastructures qui seraient ciblées par les pirates informatiques russes, pro-gouvernementaux ou non.
Au cours du dernier week-end de février, la police nationale d’Ukraine, ainsi que d’autres forces gouvernementales ukrainiennes, ont été confrontées à une attaque massive d’attaques par déni de service distribué (DDoS), qui sont des attaques relativement simples qui paralysent les réseaux en les inondant. quantités de données provenant d’un grand nombre d’ordinateurs.
En quelques heures, les Américains avaient contacté Fortinet, un groupe de cybersécurité californien qui vend une « machine virtuelle » conçue pour contrer une telle attaque.
Le financement a été approuvé en quelques heures et le département américain du Commerce a accordé son approbation en 15 minutes. Dans les huit heures suivant la demande, une équipe d’ingénieurs a fait installer le logiciel de Fortinet sur les serveurs de la police ukrainienne pour repousser l’attaque, a déclaré une personne familière avec l’opération de tir rapide.
Le fait que ces attaques ciblent souvent des logiciels disponibles dans le commerce – principalement de fabricants occidentaux – a contraint de grandes entreprises américaines et européennes à consacrer des ressources à la défense des réseaux ukrainiens.
Microsoft, par exemple, gère depuis des mois un centre de renseignements sur les menaces, qui a déplacé ses ressources entre les logiciels malveillants russes et les systèmes ukrainiens.
Le 24 février, quelques heures seulement avant l’arrivée des chars russes en Ukraine, les ingénieurs de Microsoft ont découvert et développé un logiciel malveillant nouvellement activé, a déclaré le président de Microsoft, Brad Smith, dans un article de blog.
En moins de trois heures, la société a publié une mise à jour logicielle pour se protéger contre les logiciels malveillants, a averti le gouvernement ukrainien de la menace et a averti l’Ukraine des « attaques contre une série de cibles », y compris l’armée. Sur les conseils du gouvernement américain, Microsoft a immédiatement étendu l’avertissement aux pays voisins de l’OTAN, a déclaré une personne proche de la décision de la nuit.
« Nous sommes une entreprise et non un gouvernement ou un pays », a écrit Smith, mais a ajouté que Microsoft et d’autres fabricants de logiciels doivent rester vigilants sur ce qui s’est passé en 2017, lorsque des logiciels malveillants attribués à la Russie se sont propagés au-delà des frontières de la cyber-arène ukrainienne dans le monde. , désactivant les ordinateurs chez Merck, Maersk et ailleurs, et causant 10 milliards de dollars de dégâts.
Jusqu’à présent, les experts qui ont observé les cyberattaques russes ont été intrigués par leur manque de succès, ainsi que par la lenteur, l’intensité et la sophistication de ce dont les pirates du gouvernement russe sont connus pour être capables.
Les défenses ukrainiennes se sont avérées résistantes, a déclaré un responsable européen informé par les Américains lors d’une réunion de l’OTAN cette semaine, et les attaques russes se sont révélées médiocres. Selon lui, la raison en est que la Russie a jusqu’à présent retenu son corps d’élite dans la cyber-arène, tout comme elle le fait sur le champ de bataille, peut-être en sous-estimant les Ukrainiens.
Un exemple, a-t-il dit, est le fait qu’au lieu de communiquer uniquement via des téléphones militaires cryptés, les commandants russes se greffent parfois sur les réseaux de téléphonie mobile ukrainiens pour communiquer, parfois simplement en utilisant leurs téléphones portables russes.
« Les Ukrainiens adorent ça – il y a tellement de données rien qu’en regardant ces téléphones, qu’ils utilisent des applications cryptées ou non », a-t-il déclaré.
Les Ukrainiens bloquent alors les téléphones russes de leurs réseaux locaux à des moments cruciaux, perturbant davantage leurs communications. « Puis tout à coup, vous voyez des soldats russes prendre des téléphones portables à des Ukrainiens dans la rue et faire des descentes dans des ateliers de réparation à Sims », a-t-il déclaré. « Ce n’est pas un truc fantaisiste. C’est assez déroutant.
© 2022 Le Financial Times Ltd. Tous les droits sont réservés. Ne peut être transmis, copié ou modifié de quelque manière que ce soit.