International
ukraine

Cyberguerre: la Russie est piratée à une échelle sans précédent

Cyberguerre contre Poutine: la Russie est piratée à une échelle sans précédent

La Russie est connue pour ses redoutables groupes de pirates informatiques. Mais depuis son invasion de l'Ukraine, ce sont, les entreprises et les autorités russes qui se font pirater à tour de bras.
Cet article est également disponible en allemand. Vers l'article
08.05.2022, 17:01
Oliver Wietlisbach
Oliver Wietlisbach
Oliver Wietlisbach
Suivez-moi
Plus de «International»

Quelques heures seulement après le début de la grande offensive russe en Ukraine, les hacktivistes ont déclaré une cyberguerre au Kremlin. Le collectif mondial de hackeurs Anonymous, notamment, a immédiatement annoncé des cyberattaques «à grande échelle». Deux jours plus tard, le gouvernement ukrainien a appelé tous ceux qui le pouvaient et le voulaient à participer à la guerre en ligne contre la Russie. Sur Twitter, le ministre du numérique Mykhailo Fedorov annonçait, fin février, la création d'une «IT Army of Ukraine» volontaire.

Deux mois plus tard: qu'en est-il?

Aujourd'hui, les hacktivistes s'attaquent à plusieurs autorités, banques, médias ou groupes énergétiques russes par semaine. Une campagne cybernétique aussi concentrée, continue et implacable contre un Etat est une première dans l'Histoire.

Depuis plus de deux mois, le canal Telegram de l'«IT Army» désigne quotidiennement les cibles que les volontaires du monde entier doivent paralyser. Ce sont, par exemple, des systèmes de paiement russes, des sites administratifs ou des entreprises du secteur aéronautique. Ces attaques n'influencent, toutefois, pas directement le déroulement de la guerre. Elles perturbent tout au plus ponctuellement la vie quotidienne russe.

Sur le site web de l'IT Army, on peut voir presque en temps réel quelles cibles sont attaquées, et si elles sont en ligne ou déconnectées.

Le canal Telegram de l'armée informatique bénévole de l’Ukraine:

Le groupe ukrainien indique chaque jour sur Telegram les cibles que les pirates volontaires doivent attaquer.
Le groupe ukrainien indique chaque jour sur Telegram les cibles que les pirates volontaires doivent attaquer.screenshot: IT ARMY of Ukraine

Les hackeurs pro-ukrainiens changent de tactique

Alors qu'au début de la guerre, c'était surtout les sites web russes qui étaient paralysés ou détournés, les attaques vont désormais parfois bien au-delà. Les pirates pro-ukrainiens utilisent, désormais, aussi des chevaux de Troie de cryptage pour paralyser complètement les entreprises. Pour la Russie, il s'agit d'une situation inhabituelle: jusqu'à présent, de telles attaques dites de ransomware étaient le fait de bandes de chantage criminelles russes qui, avec la bénédiction du Kremlin, ciblaient les sociétés occidentales et épargnaient les firmes nationales. On peut donc supposer que les entreprises russes sont mal préparées à ce type d'attaque.

Depuis quelques semaines, le rythme s'est accéléré: les quantités de données récupérées auprès des autorités et d'entreprises parfois proches du Kremlin sont énormes. Les pirates mettent ce matériel à la disposition des journalistes, des scientifiques et souvent aussi du grand public. L'intensité de la campagne de piratage est énorme. En effet, la plate-forme de divulgation indépendante Distributed Denial of Secrets (DDoSecrets) est submergée de nouvelles données et peine à mettre en ligne tous les documents capturés par les hacktivistes. Quant à savoir si ces données valent quelque chose, c'est une tout autre question (nous y reviendrons plus tard).

L'organisation à but non lucratif DDoSecrets, fondée en 2019 par des activistes de la transparence, propose actuellement plus de 40 bases de données, en partie consultables en ligne, sur les autorités et les entreprises russes. On y trouverait entre autres des données de la banque centrale russe, de l'autorité de censure Roskomnadzor et de la société nationale de télévision et de radio, qui a récemment «perdu» plus de 900 000 e-mails.

DDoSecrets – qui est presque le successeur de Wikileaks – a analysé et publié, rien que depuis le début de la guerre, plus de 30 bases de données d'origine russe qui lui ont été transmises par des hacktivistes anonymes. Les hackeurs déclarent généralement faire partie du mouvement international Anonymous. Depuis le début de l'invasion, DDoSecrets a révélé plus de 5,8 téraoctets (To) de données et environ dix millions de fichiers et d'e-mails d'entreprises et d'administrations russes piratées. On peut dire sans trop s’avancer que la plateforme est devenue l'archive principale des fuites de données en provenance de Russie.

Depuis le début de la guerre, les hacktivistes publient d'énormes quantités de documents russes sur la plateforme de divulgation DDoSecrets.
Depuis le début de la guerre, les hacktivistes publient d'énormes quantités de documents russes sur la plateforme de divulgation DDoSecrets.

Les cibles russes attaquées jusqu'à présent

Le 26 février, deux jours après le début de l'invasion russe, DDoSecrets a publié 200 gigaoctets (Go) d'e-mails du fabricant d'armes biélorusse Tetraedr, gracieusement livrés par le groupe «Anonymous Liberland and the Pwn-Bär Hack Team».

Début mars, DDoSecrets a publié 820 Go de données piratées provenant de Roskomnadzor, l'agence fédérale russe chargée de la surveillance, du contrôle et de la censure des médias russes. La fuite de données, revendiquée par les hacktivistes du mouvement Anonymous, comprend 360 000 fichiers.

Deux semaines plus tard, DDoSecrets a publié 79 Go d'e-mails d'Omega, le département de recherche de Transneft, le plus grand groupe d'oléoducs au monde, contrôlé par l'Etat russe.

Dès la mi-mars, le rythme s’accélère:

  • 110 Go (140 000 e-mails) de MashOil, un groupe russe qui développe des équipements pour l'industrie du forage, de l'exploitation minière et de la fracturation.
  • 51,9 Go (62 000 e-mails) du Marathon Group, une société d'investissement appartenant à l'oligarque russe Alexandre Vinokourov, sanctionné par l'Union européenne (UE) et gendre du ministre russe des Affaires étrangères Sergueï Lavrov.
  • 22,5 Go de données qui proviendraient de la banque centrale russe.
  • 15 Go (documents et photos) de Rosatom, la société nationale de l'énergie nucléaire.
  • 5,9 Go (5500 e-mails) de Thozis, une société d'investissement russe appartenant à l'oligarque milliardaire Zakhar Smushkin.
  • 2,4 Go d'e-mails de RostProekt, une entreprise de construction russe.

Début avril, les pirates informatiques sont toujours en pleine forme:

  • 15 Go (57 500) d'e-mails de l'organisation caritative de l'Eglise orthodoxe russe, qui ne condamne pas l'invasion de Poutine. La fuite révèle que des Ukrainiens enlevés par la Russie sont placés, ou plutôt retenus prisonniers, dans des monastères et des logements de l'Eglise orthodoxe russe. L'Eglise écrit sur son site web qu'elle s'occupe de 32 000 réfugiés.
  • 483 Go (150 000 e-mails et 8200 documents) de Mosekspertiza, une entreprise publique de la Chambre de commerce de Moscou.
  • 786 Go (900 000 e-mails) de la société nationale de télévision et de radio (VGTRK), qui gère des dizaines de chaînes de télévision et de stations de radio dans toute la Russie. Les e-mails volés montrent que les médias d'Etat russes tentent de faire passer les reportages occidentaux sur la guerre en Ukraine pour des mensonges, De fausses informations sont reprises de chaînes Telegram douteuses qui produisent elles-mêmes des fake news à la chaîne.

Extrait d'un e-mail de la télévision d'Etat:

Des e-mails de la télévision d'Etat russe montrent comment les médias russes copient et diffusent des fake news sur la guerre en Ukraine répandues sur Telegram.
Des e-mails de la télévision d'Etat russe montrent comment les médias russes copient et diffusent des fake news sur la guerre en Ukraine répandues sur Telegram.

Dans les jours qui suivent, la plateforme de divulgation DDoSecrets publie les données suivantes:

  • 65 Go (200 000 e-mails) du cabinet d'avocats Capital Legal Services.
  • 244 Go d'e-mails de Petrofort, l'un des plus grands centres d'affaires de Saint-Pétersbourg.
  • 154 Go d'e-mails d'Aerogas, un bureau d'ingénieurs actif dans l'industrie du pétrole et du gaz.
  • 35,7 Go d'e-mails de Forest, une entreprise russe de transformation du bois.

Il ne se passe presque pas un jour sans une nouvelle fuite de données:

  • 446 Go (230 000 e-mails) provenant du ministère de la Culture de Russie. Cette agence gouvernementale est responsable de la politique d'Etat dans les domaines de l'art, du cinéma, des droits d'auteur et, dans certains cas, de la censure.
  • 150 Go d'e-mails de la municipalité de Blagovechtchensk, une ville située à la frontière avec la Chine.
  • 116 Go d'e-mails du bureau du gouverneur de l'oblast de Tver, une région située au nord-ouest de Moscou.

Mi-avril, l'industrie du pétrole et du gaz est touchée:

  • 440 Go (495 000 e-mails) de Technotec, un groupe d'entreprises qui fournit des produits chimiques aux compagnies pétrolières et gazières.
Les dirigeants de Technotec lors d'une réunion à Bahreïn en 2019.
Les dirigeants de Technotec lors d'une réunion à Bahreïn en 2019.image: instagram
  • 728 Go (768 000 e-mails) de Gazprom Linde Engineering, une entreprise qui conçoit des installations de traitement du gaz et de la pétrochimie ainsi que des raffineries de pétrole.
  • 222 Go d'e-mails et de données de Gazregion, une entreprise de construction spécialisée dans la construction de gazoducs. Le groupe énergétique russe Gazprom fait partie de ses clients. Fun fact: Gazregion a été compromise presque simultanément par trois groupes de pirates informatiques, qui ont chacun transmis les données à DDoSecrets.
Gazregion construit des pipelines, notamment pour Gazprom.
Gazregion construit des pipelines, notamment pour Gazprom.image: Gazregion

Dans la deuxième moitié du mois d'avril, les pirates passent encore à la vitesse supérieure:

  • 221 Go (250 000 e-mails) provenant du Département de l'éducation de Strezhevoy, ville russe.
  • 399 Go (documents et bases de données) de Continent Express, une agence de voyages russe.
  • 107 Go (87 500 e-mails) de Neocom Geoservice, une société d'ingénierie spécialisée dans le pétrole, le gaz et les forages.
  • 1,2 Go (vidéos et fichiers) de la société biélorusse Synesis Surveillance System, qui développe des systèmes de surveillance et est sanctionnée par l'UE et les Etats-Unis.
  • 9,5 Go (15 600) d'e-mails d'une entreprise de construction du ministère russe de la Défense.
  • 160 Go (426 000 e-mails) de Tendertech, une entreprise proposant des services financiers.
  • 130 Go (250 000 e-mails) de Worldwide Invest, une société d'investissement russe.
  • 432 Go (575 000 e-mails) de la société russe de gestion immobilière Sawatzky. Parmi ses clients figurent Swatch, Google, Microsoft, Samsung et Johnson & Johnson.
  • 221 Go (365 000 e-mails) d'Accent Capital, une société russe d'investissement dans l'immobilier commercial.
  • 342 Go (645 000 e-mails) d'Enerpred, le plus grand fabricant d'outils hydrauliques en Russie, actif dans les secteurs de l'énergie, de la pétrochimie, du charbon, du gaz et de la construction.

Fin avril, les fuites prennent de l'ampleur:

  • 25 avril: 1,1 To (plus d'un million d'e-mails) d'ALET, un intermédiaire en douane qui gère les exportations et les déclarations douanières de charbon, de pétrole brut, de gaz liquéfié et de produits pétroliers pour Gazprom et consorts.
  • 27 avril: 542 Go (229 000 e-mails et 630 00 fichiers) de la Petersburg Social Commercial Bank, plus connue sous le nom de PSCB Bank.
  • 30 avril: 1,7 To (1,23 million d'e-mails) d'Elektrocentromontazh, un groupe énergétique d'Etat.

Le 1er mai, le groupe de hackeurs Network Battalion 65' a annoncé avoir piraté le fournisseur russe de paiements en ligne Qiwi. C'est plus ou moins le Paypal de la Russie. Selon les pirates, les systèmes de Qiwi ont été cryptés par un ransomware et 12,5 millions de données de cartes de crédit ont été volées. Le message publié dimanche, sur Twitter, se termine par la phrase suivante:

«Si vous cherchez quelqu'un à blâmer pour votre situation actuelle, adressez-vous à votre président Vladimir Poutine.»
Le groupe de hackeurs pro-ukrainien N65’ a, selon ses propres dires, piraté le fournisseur russe de paiement en ligne Qiwi.
Le groupe de hackeurs pro-ukrainien N65’ a, selon ses propres dires, piraté le fournisseur russe de paiement en ligne Qiwi.

Selon la lettre de revendication, Qiwi ne s'est jusqu’à présent pas montré impressionné par les sanctions internationales. Le cryptage de ses systèmes informatiques devrait «définitivement affecter» les activités du prestataire de services de paiement, estiment les pirates.

Tant que l'invasion russe se poursuivra, les attaques des hacktivistes continueront également. La question est de savoir si leurs activités servent à quelque chose.

Beaucoup de fuites, peu d'effet?

Bien que la quantité de fuites de données semble énorme, les piratages ne sont pour le moment qu’un problème mineur pour les dirigeants russes. En effet, la majeure partie des dix millions d'e-mails et de fichiers piratés n'aurait aucune valeur.

Tout comme les attaques DDoS contre les sites web, les fuites de données des autorités et des entreprises russes ne sont que des coups d'épingle. Dans le meilleur des cas, elles occupent la cyberdéfense russe et agacent peut-être le Kremlin, mais elles n'ont guère d'influence sur le déroulement de la guerre.

Il est notamment faux de croire que les fonctionnaires ou les cadres russes sont embarrassés ou effrayés d'une manière ou d'une autre par la publication de leurs données. Il n'y a pas non plus de pression sur Poutine, car les chefs d'administration et de grandes entreprises – qui profitent depuis des années de son système – ne se fâcheront pas avec lui.

De plus, la population russe n'est pas au courant de tout cela. Les médias russes proches de l'Etat ne mentionnent pas les cyberattaques, qui concernent également les données personnelles des citoyens russes, car l'appareil du pouvoir prend des mesures sévères contre les médias qui ne suivent pas la ligne de Poutine. Seuls quelques médias russes indépendants en exil parlent des cyberattaques, et encore.

Les médias occidentaux, eux aussi, rapportent les fuites de données de manière anecdotique. La barrière de la langue joue ici un rôle décisif: les données piratées sont presque toujours rédigées en russe et il faudrait des années pour analyser l'ensemble du matériel. Actuellement, il semble que l'on pirate beaucoup, mais que l'on analyse peu. Les fuites n'ont aucun effet.

Le groupe de pirates informatiques Network Battalion 65', qui agit dans l'entourage d'Anonymous, a donc récemment commencé à crypter les données d'entreprises russes. Les attaques par ransomware et wiper (programmes malveillants qui chiffrent les systèmes informatiques ou effacent les ordinateurs) seraient bien plus efficaces que les fuites d'e-mails, pour la plupart sans valeur. Le fait que ce genre d'attaques ait très peu lieu laisse supposer que la plupart des hacktivistes n'en sont tout simplement pas capables.

Les données sont-elles authentiques?

Les activistes de DDoSecrets affirment qu'ils vérifient le matériel soumis avant de le publier. Ils mettent en ligne ce qui est d'intérêt public. Si c'est le cas, il est décidé si les données sont publiées dans leur intégralité ou si certaines informations sensibles ne sont mises à disposition que de certains médias et scientifiques.

Des évaluations aléatoires effectuées par quelques journalistes permettent de conclure que les données sont en grande partie authentiques. Avec des millions d'e-mails et de fichiers divulgués entre-temps, il n'est, toutefois, pas possible de contrôler tous les enregistrements de manière exhaustive. On peut donc difficilement vérifier si les données récupérées sont authentiques ou si elles proviennent de fuites de données antérieures, voire si elles ont été manipulées. Mais grâce à DDoSecrets, au moins, chacun peut se faire sa propre idée.

Image

Traduit et adapté de l'allemand par Tanja Maeder

La TV russe simule des attaques nucléaires
Video: watson
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
Un accident de Flixbus mortel reliant Berlin à la Suisse
Un accident impliquant un autocar Flixbus s'est produit ce matin sur l'autoroute A9 près de Leipzig, en Allemagne. Quatre morts sont à dénombrer et de nombreux blessés. Le bus reliait Berlin à Zurich.

Quatre passagers d'un car Flixbus longue distance sont morts mercredi et trente-cinq personnes ont été blessées dans un accident survenu dans l'est de l'Allemagne, a indiqué la police. Le véhicule est sorti de l'autoroute pour une raison inconnue.

L’article