Défendre l’Ukraine : Les premières leçons à tirer de la cyberguerre

La Russie a, sans surprise, pris pour cible le centre de données du gouvernement ukrainien lors d’une première attaque au missile de croisière, et d’autres serveurs sur place étaient également vulnérables aux attaques par des armes conventionnelles. La Russie a également ciblé ses attaques destructrices de type « wiper » sur les réseaux informatiques locaux. Toutefois, le gouvernement ukrainien a réussi à maintenir ses opérations civiles et militaires en agissant rapidement pour transférer son infrastructure numérique dans le cloud public, où elle fut hébergée dans des centres de données à travers l’Europe.

L’ensemble du secteur technologique, dont Microsoft, a alors dû prendre des mesures urgentes et extraordinaires. Malgré l’importance du travail du secteur technologique, il est également essentiel de réfléchir aux leçons plus durables qui découlent de ces efforts.

Les cyberactivités étant invisibles à l’œil nu, elles sont plus complexes à suivre pour les journalistes et même pour de nombreux analystes militaires. Microsoft a constaté que l’armée russe avait lancé plusieurs vagues de cyberattaques destructrices contre 48 agences et entreprises ukrainiennes distinctes. Ces derniers ont tenté d’infiltrer les domaines des réseaux en compromettant d’abord des centaines d’ordinateurs, puis en diffusant des logiciels malveillants destinés à détruire les logiciels et les données de milliers d’autres.

Les cybertactiques russes utilisées au cours de cette guerre ont été différentes de celles déployées lors de l’attaque NotPetya contre l’Ukraine en 2017. Cette attaque a été perpétrée à l’aide de logiciels malveillants destructeurs « vermiformes » qui pouvaient se déplacer d’un domaine informatique à un autre, franchissant ainsi les frontières pour atteindre d’autres pays. En 2022, la Russie a pris soin de limiter les logiciels destructeurs de type « wiper » à des domaines réseau bien précis au sein des frontières de l’Ukraine. Pourtant, les attaques destructrices récentes et continuelles se sont avérées sophistiquées et plus étendues que ne le reconnaissent de nombreux rapports. L’armée russe continue d’adapter ces attaques destructrices à l’évolution des besoins de la guerre, notamment en associant les cyberattaques à l’utilisation d’armes conventionnelles.

L’un des aspects déterminants de ces attaques destructrices a été jusqu’à présent la robustesse et le succès relatif des cyberdéfenses. Bien que loin d’être parfaites et malgré quelques attaques destructrices aient été couronnées de succès, ces cyberdéfenses se sont avérées plus solides que les cybercapacités offensives. Cela reflète deux tendances importantes et récentes. Tout d’abord, les avancées en matière de veille des menaces, notamment l’utilisation de l’intelligence artificielle, ont permis de détecter ces attaques avec une plus grande efficacité. Ensuite, la protection des points de terminaison connectés à Internet a permis de distribuer rapidement un code logiciel de protection aux services cloud et à d’autres appareils informatiques connectés afin de détecter et de désactiver ces logiciels malveillants. Les innovations et les mesures prises en temps de guerre avec le gouvernement ukrainien ont encore renforcé cette protection. Malgré tout, il est probable qu’une vigilance continue et une innovation soient nécessaires pour maintenir cet avantage défensif.

Chez Microsoft, nous avons détecté des tentatives d’intrusion russes des réseaux de 128 organisations réparties dans 42 pays en dehors de l’Ukraine. Si les États-Unis ont été la cible privilégiée de la Russie, cette activité a également mis l’accent sur la Pologne, où est coordonnée une grande partie de l’acheminement logistique de l’aide militaire et humanitaire. Les activités russes ont également visé les pays baltes et, au cours des deux derniers mois, on a constaté une augmentation des activités similaires visant les réseaux informatiques du Danemark, de la Norvège, de la Finlande, de la Suède et de la Turquie. Nous avons également constaté une augmentation des activités similaires visant les ministères des affaires étrangères d’autres pays de l’OTAN.

Les gouvernements sont la principale cible des actions russes, en particulier au sein des membres de l’OTAN. Mais la liste des cibles comprend également des groupes de réflexion, des organisations humanitaires, des sociétés informatiques, des fournisseurs d’énergie et d’autres infrastructures stratégiques. Depuis le début de la guerre, les attaques russes que nous avons identifiées ont réussi dans 29 % des cas. Un quart de ces intrusions réussies a abouti à l’exfiltration confirmée des données d’une organisation, bien que, comme l’explique le rapport, ce chiffre sous-estime probablement le degré de réussite de la Russie.

Notre principale préoccupation demeure les ordinateurs gouvernementaux qui fonctionnent en local plutôt que dans le cloud. Cette situation est représentative de l’état actuel et mondial du cyberespionnage offensif et de la cyberprotection défensive. Comme l’incident SolarWinds l’a démontré il y a 18 mois, les services de renseignement russes disposent de moyens extrêmement sophistiqués pour implanter du code et opérer en tant que menace persistante avancée (APT) capable d’obtenir et d’exfiltrer des informations sensibles d’un réseau de manière continue. Depuis lors, des progrès considérables ont été réalisés en matière de protection défensive, mais la mise en œuvre de ces avancées reste plus inégale au sein des gouvernements européens qu’aux États-Unis. En conséquence, d’importantes failles défensives collectives subsistent.

En combinant les stratégies élaborées par le KGB sur plusieurs décennies avec les nouvelles technologies numériques et Internet, ces opérations d’influence étrangère gagnent en portée géographique, en volume, en précision, en rapidité et en agilité. Malheureusement, grâce à une planification et une sophistication suffisantes, ces opérations de cyberinfluence sont bien placées pour tirer parti de l’ouverture de longue date des sociétés démocratiques et de la polarisation de l’opinion publique qui caractérise l’époque actuelle.

Au fur et à mesure que la guerre en Ukraine progresse, les agences russes concentrent leurs opérations de cyberinfluence sur quatre publics distincts. Elles ciblent la population russe dans le but de soutenir l’effort de guerre. Elles ciblent la population ukrainienne dans le but de saper la confiance dans la volonté et la capacité du pays à résister aux attaques russes. Elles ciblent les populations américaines et européennes dans le but de déstabiliser l’unité de l’Occident et de détourner les critiques des crimes de guerre commis par l’armée russe. Elles commencent à cibler les populations des pays non alignés, peut-être en partie pour conserver leur soutien aux Nations unies et dans d’autres instances.

Les opérations russes de cyberinfluence s’appuient sur des tactiques mises au point pour d’autres cyberactivités et y sont liées. Tout comme les équipes chargées des APT qui travaillent au sein des services de renseignement russes, les équipes travaillant sur les APM (manipulateurs persistants avancés) associées aux organismes gouvernementaux russes agissent sur les réseaux sociaux et les plateformes numériques. Elles prépositionnent de faux récits d’une manière similaire au prépositionnement de logiciels malveillants et d’autres codes logiciels. Elles lancent ensuite des « reportages » simultanés et à grande échelle de ces récits sur des sites web gérés et influencés par le gouvernement et amplifient leurs récits à l’aide d’outils technologiques conçus pour exploiter les services de réseaux sociaux. Parmi les exemples récents, on peut citer les récits concernant les laboratoires biologiques en Ukraine et les multiples efforts visant à dissimuler les attaques militaires contre des cibles civiles ukrainiennes.

Dans le cadre d’une nouvelle initiative de Microsoft, nous utilisons l’IA, de nouveaux outils d’analyse, des ensembles de données plus vastes et une équipe croissante d’experts pour suivre et prévoir cette cybermenace. Grâce à ces nouvelles capacités, nous estimons que les opérations de cyberinfluence russes ont réussi à élargir la diffusion de la propagande russe après le début de la guerre de 216 % en Ukraine et de 82 % aux États-Unis.

Ces opérations russes continues s’appuient sur des efforts sophistiqués déployés récemment, visant à diffuser de faux récits sur la COVID-19 dans de nombreux pays occidentaux. Il s’agit notamment d’opérations de cyberinfluence soutenues par l’État en 2021, qui visaient à décourager l’adoption des vaccins par le biais de rapports en anglais disponibles sur Internet, tout en encourageant l’utilisation des vaccins sur des sites en langue russe. Au cours des six derniers mois, des opérations similaires de cyberinfluence russe ont cherché à attiser l’opposition du public aux politiques de lutte contre la COVID-19 en Nouvelle-Zélande et au Canada.

Nous allons poursuivre le développement des travaux de Microsoft dans ce domaine, dans les semaines et les mois à venir. Il s’agit à la fois de croissance interne et de l’accord que nous avons annoncés la semaine dernière pour acquérir Miburo Solutions, une société leader dans l’analyse et la recherche sur les cybermenaces, spécialisée dans la détection et la réponse aux opérations de cyberinfluence étrangère.

Il nous préoccupe que de nombreuses opérations de cyberinfluence russes actuelles ne soient pas détectées, analysées ou rapportées publiquement pendant des mois. Cette situation touche de plus en plus d’institutions importantes, tant dans le secteur public que privé. Plus la guerre en Ukraine se prolonge, plus ces opérations pourraient devenir essentielles pour l’Ukraine. La raison en est qu’une guerre prolongée exigera de maintenir le soutien du public face à l’inévitable défi d’une plus grande fatigue. Il est donc urgent de renforcer les défenses occidentales contre ce type de cyberattaques étrangères.

Comme l’illustre la guerre en Ukraine, s’il existe des différences entre ces menaces, le gouvernement russe ne les poursuit pas séparément et nous ne devrions pas les placer dans des silos analytiques distincts. En outre, les stratégies défensives doivent prendre en compte la coordination de ces cyberopérations avec les opérations militaires cinétiques, comme on a pu l’observer en Ukraine.

Il est essentiel de développer de nouvelles solutions pour contrer ces cybermenaces, qui reposent sur quatre principes communs et, du moins en partie, sur une stratégie commune. Le premier principe défensif doit reconnaître que les cybermenaces russes sont perpétrées par un ensemble commun d’acteurs à l’intérieur et à l’extérieur du gouvernement russe et qu’elles s’appuient sur des tactiques numériques similaires. Par conséquent, des avancées en matière de technologie numérique, d’IA et de données seront nécessaires pour les contrer. Dans cette optique, le deuxième principe doit reconnaître que, contrairement aux menaces traditionnelles du passé, les cyber-réponses doivent s’appuyer sur une plus grande collaboration entre les secteurs public et privé. Le troisième principe doit établir la nécessité d’une collaboration multilatérale étroite et commune entre les gouvernements pour protéger les sociétés ouvertes et démocratiques. Enfin, le quatrième et dernier principe défensif doit soutenir la liberté d’expression et éviter la censure dans les sociétés démocratiques, même si de nouvelles mesures sont nécessaires pour faire face à l’ensemble des cybermenaces qui comprennent les opérations de cyberinfluence.

Une réponse efficace doit s’appuyer sur ces principes et sur quatre piliers stratégiques. Ces mesures doivent permettre de renforcer les capacités collectives afin de mieux (1) détecter, (2) se défendre contre, (3) perturber et (4) dissuader les cybermenaces étrangères. Cette approche est déjà mise en œuvre dans de nombreux efforts collectifs visant à contrer les cyberattaques destructrices et le cyberespionnage. Ils sont également pertinents pour le travail critique et constant nécessaire pour contrer les attaques de rançongiciels. Nous devons désormais adopter une approche similaire et complète, en renforçant nos capacités et nos défenses pour contrer les opérations de cyberinfluence russes.

Comme évoqué dans ce rapport, la guerre en Ukraine nous donne des leçons et nous invite à agir en mettant en place des mesures efficaces qui seront déterminantes pour la protection de l’avenir de la démocratie. En tant qu’entreprise, nous nous engageons à appuyer ces efforts, notamment par des investissements continus et nouveaux dans les technologies, les données et les partenariats qui viendront soutenir les gouvernements, les entreprises, les ONG et les universités.

Pour en savoir plus, lisez le rapport complet.