S'il y a une leçon à tirer de la guerre que la Russie mène contre l'Ukraine, c'est qu'il ne faut pas se laisser berner par une fausse impression de sécurité. Illia Vitiuk, chef du département cyber du Service de sécurité d'Ukraine (SBU) depuis novembre 2021, en sait quelque chose. L'homme dispose d'informations privilégiées concernant le piratage le plus massif jamais perpétré contre une infrastructure civile. Dans une interview exclusive pour Reuters, l'expert tire une conclusion alarmante.
Kyivstar, une importante entreprise de télécommunications ukrainienne, a été piratée par les Russes. Si l'attaque a déversé tout son potentiel de destruction le 12 décembre 2023, l'infiltration des serveurs était effective depuis le mois de mai. Plus de six mois durant lesquels les hackers de Poutine ont corrompu le réseau dans l'ombre avant de frapper fort, d'un coup.
L'attaque informatique a «presque tout effacé» au sein de Kyivstar, regrette Illia Vitiuk. Des milliers de serveurs et d'ordinateurs ont été simplement rendus hors service. Une catastrophe pour ce grand opérateur ukrainien et la population.
Illia Vitiuk souligne que Kyivstar est une entreprise privée prospère, «qui a déjà beaucoup investi dans la cybersécurité». Néanmoins, l'attaque informatique russe a causé des «destructions catastrophiques». Selon l'officier de renseignement ukrainien, un des buts annexes des hackers de Poutine a été atteint: causer un coup psychologique important aux Ukrainiens.
Les destructions du réseau Kyivstar ont commencé vers 5 heures du matin, le 12 décembre, alors que le président ukrainien Volodymyr Zelensky se trouvait à Washington et demandait à l'Occident de poursuivre l'acheminement de l'aide internationale.
Dans les faits, l'attaque a provoqué une panne du réseau qui a duré plusieurs jours et touché près de 24 millions d'Ukrainiens. Beaucoup ont essayé de changer de fournisseur téléphonique. Cela a pu être possible assez rapidement pour les personnes qui ont pu utiliser un concurrent. Même si, par la suite, des problèmes de réseau sont également apparus chez ceux-ci.
Mais pour environ 1,1 million de personnes, changer de fournisseur n'était simplement pas une option. En effet, Kyivstar est une des plus grandes entreprises de télécom du pays et une des seules à fournir du réseau dans certaines petites villes ou certains villages. Pour ces habitants, aucune solution de secours n'est possible.
Les grands centres ont également connu des problèmes. A Kiev, par exemple, les systèmes d'alarme sont temporairement tombés en panne. A Zaporijia, dans le sud du pays, les terminaux de paiement ne fonctionnaient plus. Et dans la région de Tchernihiv, au nord, l'éclairage public est partiellement tombé en panne.
L'attaque n'a toutefois «pas eu de grandes conséquences sur l'armée ukrainienne et sur le déroulement de la guerre», assure Illia Vitiuk. Il explique ensuite que le SBU a aidé Kyivstar à restaurer ses systèmes en quelques jours et à contrer de nouvelles cyberattaques. Il y a ensuite eu toute une série de nouvelles tentatives d'attaque. Cette fois sans succès.
Selon Illia Vitiuk, la seule raison qui explique que les dommages ont pu être limités est l'absence d'une attaque militaire classique en parallèle. Comprendre: une frappe de missiles ou de drones. Car si la Russie ne parvient pas à couper l'alimentation électrique ukrainienne via des cyberattaques, elle pourrait se résoudre à ces méthodes comme plan B. Les Ukrainiens seraient alors obligés de recourir à des générateurs et à des appareils comme Starlink pour disposer d'Internet. Cela offrirait à la Russie davantage de possibilités d'attaquer les points faibles.
Le CEO de Kyivstar, Oleksandr Komarov, a déclaré le 20 décembre que les services de la compagnie avaient été «entièrement rétablis dans tout le pays». A peu près au même moment, des pirates ukrainiens ont réagi en lançant une cyberattaque contre la société de distribution d'eau Rosvodokanal à Moscou, menée avec le soutien du SBU.
L'attaque contre Kyivstar a certainement été facilitée par des similitudes avec l'opérateur de téléphonie mobile russe Beeline, qui dispose d'une infrastructure similaire. Difficile toutefois de savoir précisément comment l'attaque a eu lieu, puisqu'il ne reste rien d'exploitable de l'infrastructure de Kyivstar. C'est au cours de l'enquête qui a suivi que le SBU a constaté que des pirates russes s'étaient déjà introduits dans le réseau auparavant.
Le SBU estime que les pirates ont également été en mesure de voler des données personnelles, de déterminer la localisation des appareils mobiles, d'intercepter des messages texte et éventuellement de pirater des comptes Telegram.
L'enquête du SBU est toujours en cours et vise à déterminer quels outils les Russes ont utilisés. Il pourrait notamment s'agir de phishing, c'est-à-dire d'un message électronique manipulé.
Un groupe d'hacktivistes russes appelé Solntsepyok a revendiqué l'attaque sur Telegram et a publié des captures d'écran à l'appui. De nombreux éléments indiquent toutefois que c'est le groupe Sandworm qui se cache derrière l'attaque. Il s'agit de l'unité de piratage d'élite 74455, également connue sous le nom de Voodoo Bear, qui fait partie du GRU, le service de renseignement militaire russe.
Illia Vitiuk a déclaré à Reuters qu'il était convaincu qu'il s'agissait d'une opération de Sandworm. Les spécialistes de la société américaine de sécurité informatique Crowdstrike sont arrivés à la même conclusion. Le gouvernement russe a, lui, nié toute implication dans les cyberattaques.
Selon Illia Vitiuk, les pirates de Sandworm s'étaient déjà introduits il y a un an dans le réseau d'un fournisseur de télécommunications ukrainien. Ils ont toutefois été démasqués parce que le SBU avait pénétré les systèmes russes. Ce piratage antérieur n'a été rendu public que maintenant.
Jusqu'à présent, Illia Vitiuk n'a pas voulu confirmer les craintes que la Russie puisse lancer des cyberattaques massives contre des entreprises occidentales en raison de son soutien à l'Ukraine. Dans une interview exclusive en septembre 2023, il a souligné les ressources humaines limitées de la Russie.
En octobre 2023, soit plusieurs mois avant l'attaque de Kyivstar, l'expert en sécurité a accordé une interview exclusive au média américain The Record. L'officier de renseignement ukrainien y soulignait la menace croissante de la cyberguerre.
Selon lui, la Russie est en train de mettre en place un programme national de cyber-offensive. «Nous connaissions les activités des pirates informatiques russes d'élite qui travaillaient pour des services spéciaux tels que le GRU (service de renseignement militaire), le FSB (service de sécurité) et le SVR (service de renseignement extérieur) et ceux-ci sont en train de monter en force», y avait prévenu Illia Vitiuk. Dans les établissements d'enseignement militaire russes, les étudiants sont formés à la manière de mener des cyberattaques.
Le programme de cyberoffensive russe a été lancé il y a cinq ans. Entre-temps, les effets se sont fait sentir. En 2020, l'Ukraine aurait enregistré 800 attaques contre son infrastructure. En 2022, soit la première année de l'invasion à grande échelle, le nombre d'attaques s'élevait déjà à 4500.
Le programme national de cyberoffensive devient de plus en plus problématique pour l'Occident également, car la Russie attire de plus en plus de spécialistes en informatique, déplore Illia Vitiuk. Ils disposent de plus de ressources et peuvent également attaquer d'autres pays, «via des attaques DDoS de bas niveau sur l'Estonie, la Lituanie ou des sites de l'Otan».
Le groupe de réflexion allemand DGAP a mis en garde les pays occidentaux contre une attaque directe de la Russie contre l'Otan, et ce dans une fenêtre de six à dix ans. L'autorité nationale de sécurité polonaise s'est en exprimée de manière encore plus pressante, estimant que la Russie pourrait attaquer l'Otan dans moins de 36 mois.