Quelques heures seulement après le début de la grande offensive russe en Ukraine, les hacktivistes ont déclaré une cyberguerre au Kremlin. Le collectif mondial de hackeurs Anonymous, notamment, a immédiatement annoncé des cyberattaques «à grande échelle». Deux jours plus tard, le gouvernement ukrainien a appelé tous ceux qui le pouvaient et le voulaient à participer à la guerre en ligne contre la Russie. Sur Twitter, le ministre du numérique Mykhailo Fedorov annonçait, fin février, la création d'une «IT Army of Ukraine» volontaire.
Aujourd'hui, les hacktivistes s'attaquent à plusieurs autorités, banques, médias ou groupes énergétiques russes par semaine. Une campagne cybernétique aussi concentrée, continue et implacable contre un Etat est une première dans l'Histoire.
Depuis plus de deux mois, le canal Telegram de l'«IT Army» désigne quotidiennement les cibles que les volontaires du monde entier doivent paralyser. Ce sont, par exemple, des systèmes de paiement russes, des sites administratifs ou des entreprises du secteur aéronautique. Ces attaques n'influencent, toutefois, pas directement le déroulement de la guerre. Elles perturbent tout au plus ponctuellement la vie quotidienne russe.
Sur le site web de l'IT Army, on peut voir presque en temps réel quelles cibles sont attaquées, et si elles sont en ligne ou déconnectées.
Alors qu'au début de la guerre, c'était surtout les sites web russes qui étaient paralysés ou détournés, les attaques vont désormais parfois bien au-delà. Les pirates pro-ukrainiens utilisent, désormais, aussi des chevaux de Troie de cryptage pour paralyser complètement les entreprises. Pour la Russie, il s'agit d'une situation inhabituelle: jusqu'à présent, de telles attaques dites de ransomware étaient le fait de bandes de chantage criminelles russes qui, avec la bénédiction du Kremlin, ciblaient les sociétés occidentales et épargnaient les firmes nationales. On peut donc supposer que les entreprises russes sont mal préparées à ce type d'attaque.
Depuis quelques semaines, le rythme s'est accéléré: les quantités de données récupérées auprès des autorités et d'entreprises parfois proches du Kremlin sont énormes. Les pirates mettent ce matériel à la disposition des journalistes, des scientifiques et souvent aussi du grand public. L'intensité de la campagne de piratage est énorme. En effet, la plate-forme de divulgation indépendante Distributed Denial of Secrets (DDoSecrets) est submergée de nouvelles données et peine à mettre en ligne tous les documents capturés par les hacktivistes. Quant à savoir si ces données valent quelque chose, c'est une tout autre question (nous y reviendrons plus tard).
L'organisation à but non lucratif DDoSecrets, fondée en 2019 par des activistes de la transparence, propose actuellement plus de 40 bases de données, en partie consultables en ligne, sur les autorités et les entreprises russes. On y trouverait entre autres des données de la banque centrale russe, de l'autorité de censure Roskomnadzor et de la société nationale de télévision et de radio, qui a récemment «perdu» plus de 900 000 e-mails.
DDoSecrets – qui est presque le successeur de Wikileaks – a analysé et publié, rien que depuis le début de la guerre, plus de 30 bases de données d'origine russe qui lui ont été transmises par des hacktivistes anonymes. Les hackeurs déclarent généralement faire partie du mouvement international Anonymous. Depuis le début de l'invasion, DDoSecrets a révélé plus de 5,8 téraoctets (To) de données et environ dix millions de fichiers et d'e-mails d'entreprises et d'administrations russes piratées. On peut dire sans trop s’avancer que la plateforme est devenue l'archive principale des fuites de données en provenance de Russie.
Le 26 février, deux jours après le début de l'invasion russe, DDoSecrets a publié 200 gigaoctets (Go) d'e-mails du fabricant d'armes biélorusse Tetraedr, gracieusement livrés par le groupe «Anonymous Liberland and the Pwn-Bär Hack Team».
The contents of this leak do appear to be legitimate.
— Mikael Thalen (@MikaelThalen) February 26, 2022
Emails from the inboxes of employees at the Belarusian weapons manufacturer Tetraedr.
Have seen missile testing footage, PDF schematics for weapons systems, and detailed brochures for armored vehicles. https://t.co/wGTa9ilFyE
Début mars, DDoSecrets a publié 820 Go de données piratées provenant de Roskomnadzor, l'agence fédérale russe chargée de la surveillance, du contrôle et de la censure des médias russes. La fuite de données, revendiquée par les hacktivistes du mouvement Anonymous, comprend 360 000 fichiers.
Deux semaines plus tard, DDoSecrets a publié 79 Go d'e-mails d'Omega, le département de recherche de Transneft, le plus grand groupe d'oléoducs au monde, contrôlé par l'Etat russe.
Hackers have leaked 79 GB of emails from Russia's state-controlled pipeline company Transneft to the journalist non-profit DDoSecrets.
— Mikael Thalen (@MikaelThalen) March 17, 2022
The hackers have sarcastically dedicated the leak to Hillary Clinton, who called on Anonymous to hack Russia during a recent MSNBC interview. pic.twitter.com/vPU8pIfJDY
Dès la mi-mars, le rythme s’accélère:
Début avril, les pirates informatiques sont toujours en pleine forme:
Dans les jours qui suivent, la plateforme de divulgation DDoSecrets publie les données suivantes:
Il ne se passe presque pas un jour sans une nouvelle fuite de données:
Mi-avril, l'industrie du pétrole et du gaz est touchée:
Dans la deuxième moitié du mois d'avril, les pirates passent encore à la vitesse supérieure:
Fin avril, les fuites prennent de l'ampleur:
JSC Bank PSCB, you are now controlled by Network Battalion 65. We're very thankful that you store so many credentials in Chrome. Well done.
— NB65 (@xxNB65) April 18, 2022
It's obvious that incident response has started. Good luck getting your data back without us.
Tell your government to GTFO of #Ukraine pic.twitter.com/1HYikMU99N
Le 1er mai, le groupe de hackeurs Network Battalion 65' a annoncé avoir piraté le fournisseur russe de paiements en ligne Qiwi. C'est plus ou moins le Paypal de la Russie. Selon les pirates, les systèmes de Qiwi ont été cryptés par un ransomware et 12,5 millions de données de cartes de crédit ont été volées. Le message publié dimanche, sur Twitter, se termine par la phrase suivante:
Selon la lettre de revendication, Qiwi ne s'est jusqu’à présent pas montré impressionné par les sanctions internationales. Le cryptage de ses systèmes informatiques devrait «définitivement affecter» les activités du prestataire de services de paiement, estiment les pirates.
Tant que l'invasion russe se poursuivra, les attaques des hacktivistes continueront également. La question est de savoir si leurs activités servent à quelque chose.
Bien que la quantité de fuites de données semble énorme, les piratages ne sont pour le moment qu’un problème mineur pour les dirigeants russes. En effet, la majeure partie des dix millions d'e-mails et de fichiers piratés n'aurait aucune valeur.
Tout comme les attaques DDoS contre les sites web, les fuites de données des autorités et des entreprises russes ne sont que des coups d'épingle. Dans le meilleur des cas, elles occupent la cyberdéfense russe et agacent peut-être le Kremlin, mais elles n'ont guère d'influence sur le déroulement de la guerre.
Il est notamment faux de croire que les fonctionnaires ou les cadres russes sont embarrassés ou effrayés d'une manière ou d'une autre par la publication de leurs données. Il n'y a pas non plus de pression sur Poutine, car les chefs d'administration et de grandes entreprises – qui profitent depuis des années de son système – ne se fâcheront pas avec lui.
De plus, la population russe n'est pas au courant de tout cela. Les médias russes proches de l'Etat ne mentionnent pas les cyberattaques, qui concernent également les données personnelles des citoyens russes, car l'appareil du pouvoir prend des mesures sévères contre les médias qui ne suivent pas la ligne de Poutine. Seuls quelques médias russes indépendants en exil parlent des cyberattaques, et encore.
Les médias occidentaux, eux aussi, rapportent les fuites de données de manière anecdotique. La barrière de la langue joue ici un rôle décisif: les données piratées sont presque toujours rédigées en russe et il faudrait des années pour analyser l'ensemble du matériel. Actuellement, il semble que l'on pirate beaucoup, mais que l'on analyse peu. Les fuites n'ont aucun effet.
It's going to take YEARS for journalists, researchers and the general public to go through all the Russian data that's being leaked in response to the invasion of Ukraine
— Emma Best 🏳️🌈🏴 (@NatSecGeek) March 25, 2022
Le groupe de pirates informatiques Network Battalion 65', qui agit dans l'entourage d'Anonymous, a donc récemment commencé à crypter les données d'entreprises russes. Les attaques par ransomware et wiper (programmes malveillants qui chiffrent les systèmes informatiques ou effacent les ordinateurs) seraient bien plus efficaces que les fuites d'e-mails, pour la plupart sans valeur. Le fait que ce genre d'attaques ait très peu lieu laisse supposer que la plupart des hacktivistes n'en sont tout simplement pas capables.
Les activistes de DDoSecrets affirment qu'ils vérifient le matériel soumis avant de le publier. Ils mettent en ligne ce qui est d'intérêt public. Si c'est le cas, il est décidé si les données sont publiées dans leur intégralité ou si certaines informations sensibles ne sont mises à disposition que de certains médias et scientifiques.
Des évaluations aléatoires effectuées par quelques journalistes permettent de conclure que les données sont en grande partie authentiques. Avec des millions d'e-mails et de fichiers divulgués entre-temps, il n'est, toutefois, pas possible de contrôler tous les enregistrements de manière exhaustive. On peut donc difficilement vérifier si les données récupérées sont authentiques ou si elles proviennent de fuites de données antérieures, voire si elles ont été manipulées. Mais grâce à DDoSecrets, au moins, chacun peut se faire sa propre idée.
Traduit et adapté de l'allemand par Tanja Maeder