Le groupe de pirates informatiques prorusses «NoName057(16)» ont choisi de frapper un lundi, à 8h20. Le 12 juin 2023, une attaque coordonnée de «distributed denial of service» (attaque par déni de service, ou DoS) paralyse différents sites web de l'administration fédérale et d'entreprises proches de la Confédération. Le groupe tente ainsi de perturber le discours à venir du président ukrainien Volodymyr Zelensky devant le Parlement suisse, tout en punissant la Suisse pour avoir soutenu les sanctions contre la Russie.
Les premières cibles de la cyberattaque russe sont l'Office fédéral des douanes et l'Office fédéral de la justice. Leurs sites internet s'effondrent lorsque près de 20 000 ordinateurs y accèdent simultanément. Les utilisateurs derrière ces appareils, appelés «heroes», ont été recrutés et payés par le groupe de pirates.
Quelques minutes plus tard, les hackers s'attaquent aux transports publics et paralysent le guichet de billets en ligne sur sbb.ch pendant près de deux heures. L'accès numérique au login Swisspass et le site du Südostbahn ne sont plus accessibles non plus.
Le fait que les criminels s'en soient pris spécifiquement aux transports publics n'est pas un hasard, comme l'indique une analyse a posteriori réalisée par la Confédération. L'attaque devait impacter la vie quotidienne du plus grand nombre possible de personnes. Le groupe voulait ainsi diffuser sa propagande le plus largement possible au sein de la population suisse.
Le site internet des Chemins de fer fédéraux était donc une cible évidente, car il fait partie des pages web les plus visitées du pays. Et les CFF incarnent comme aucune autre entreprise les vertus suisses telles que la ponctualité et la fiabilité. Les pirates voulaient «en premier lieu attirer l'attention des médias, de la société et de la politique», indique le rapport de l'Office fédéral de la cybersécurité. Ils y sont parfaitement parvenus.
Ce cas montre pourquoi les entreprises de transports publics sont particulièrement visées par les cyberattaques. Pour des raisons évidentes, elles sont considérées comme des «infrastructures critiques». Si les trains, les bus et les trams ne circulent pas, la vie publique est paralysée.
L'attaque russe n'a pas eu de conséquences graves à cet égard – il était à nouveau possible d'acheter des billets quelques heures plus tard. La Confédération n'a finalement pas répértoiré l'attaque comme «acte de guerre», mais comme «cyberactivisme».
La cyberoffensive russe, qui a duré deux semaines, a néanmoins montré le potentiel destructeur d'une guerre numérique. Que se passerait-il si, la prochaine fois, un agresseur cherchait effectivement à paralyser le trafic ferroviaire? Les conséquences économiques seraient aussi désastreuses que celles d'un blackout, pour lequel les entreprises de transports publics ont récemment élaboré un plan d'urgence.
Les autorités et les entreprises de transports publics prennent le danger de plus en plus au sérieux. Par exemple, les CFF ont récemment créé un nouveau secteur «sécurité du groupe». L'ancien chef de la cybersécurité Marcus Griesser en a été nommé responsable. Et pas plus tard que la semaine dernière, les experts des CFF ont participé à un exercice international de cyberdéfense dans les Alpes suisses.
L'Office fédéral des transports a également placé la menace numérique en haut de la liste des priorités. L'Ofrou indique:
Les pirates disposeraient de moyens de plus en plus performants pour mener des attaques, comme les attaques DDoS ou des programmes de chantage. La Confédération a donc édicté une nouvelle directive qui définit des normes minimales pour le secteur. Dès juillet, les entreprises doivent notamment mettre en place des départements spécialisés dans la cybersécurité et soumettre régulièrement leurs mécanismes de défense à un audit.
Dans leur travail quotidien, les professionnels en cybersécurité des entreprises de transport sont généralement confrontés à des cas moins spectaculaires que celui de l'attaque russe. En règle générale, les pirates poursuivent des motifs financiers, comme dans le cas du «phishing». Les escrocs se font par exemple passer pour des collaborateurs des CFF et envoient des e-mails personnalisés qui promettent un remboursement de billet aux passagers. L'objectif des criminels est d'obtenir des données bancaires sensibles et de soutirer ainsi de l'argent aux victimes.
Même le personnel ferroviaire de première ligne n'est pas à l'abri des attaques numériques, par exemple d'un incident dit de «jamming». Il s'agit d'une tentative de perturbation effectuée à l'aide d'un petit émetteur Bluetooth. Dans un cas documenté, un passager a ainsi tenté de saboter le contrôle des billets. Une porte-parole de l'Office fédéral de la cybersécurité explique:
Les CFF ne commentent pas les attaques concrètes. Ils ne veulent pas fournir de «mode d'emploi» pour des cyberattaques potentielles, explique un porte-parole. Le nombre d'attaques ne cesserait toutefois d'augmenter, y compris aux CFF. Pour les contrer, les chemins de fer ne lésinent pas sur les moyens.
En tant qu'infrastructure critique, c'est une «tâche permanente» que de se protéger contre les attaques.
Traduit et adapté de l'allemand par Léa Krejci