« Il faut se battre chaque jour pour sa survie » : dans les tranchées numériques de la « cyberguerre » de la Russie contre l'Ukraine

« Dès le début de l’invasion, ma maison a été détruite par un missile russe. » Comme de nombreux Ukrainiens, Roman Yaroshenko est parti au front dès le début de l’offensive russe en février 2022. Mais son champ de bataille est invisible et ses armes sont virtuelles. Il est un des combattants de la guerre numérique en cours entre Kiev et Moscou depuis trois ans. Le conflit entre la Russie et l’Ukraine est aussi « la première cyberguerre mondiale », selon le ministre ukrainien de la Transformation numérique Mykhaïlo Fedorov.

Dans cet affrontement, qui ne fait pas directement de mort, mais qui peut renverser l’issue d’une bataille, Kiev résiste, mais doit faire face à une menace permanente, qui se renouvelle constamment. Pour Mykhaïlo Fedorov, le premier coup de feu a justement été virtuel. Le 14 janvier 2022, un mois et dix jours avant le début de l’invasion militaire russe, près de 70 sites web gouvernementaux ont en effet été « vandalisés » par des hackers pour afficher des messages menaçants, rapidement retirés. Des attaques qui se sont répétées dans les jours suivants, notamment le 15 février avec l’interruption de services bancaires.

Puis l’invasion russe a commencé. Et avec elle la première attaque destructrice d’ampleur : dès le 24 février, une cyberattaque a été lancée pour mettre hors service les satellites de l’opérateur ukrainien Viasat et ainsi perturber les communications militaires ukrainiennes, selon les Etats-Unis. Le rouleau compresseur russe s’est accompagné d’un raz-de-marée d’attaques, notamment « DDoS » (par déni de service distribué), qui consistent à faire planter un site internet en le saturant de requêtes.

Ces menaces appartiennent à deux catégories assez différentes. D’un côté, il y a les groupes « hacktivistes », des pirates plus ou moins professionnels qui affirment agir dans un but politique et mènent souvent des attaques relativement peu complexes comme les DDoS. De l’autre, il y a les hackers « soutenus par l’Etat », dont certains sont directement liés aux services de renseignement russes, le GRU et le FSB.

« Ceux-là veulent détruire votre infrastructure et voler le maximum de données sensibles, ni plus ni moins », résume Yuriy Prokopenko, ancien responsable de la sécurité des systèmes informatiques de KyivStar, le plus grand opérateur ukrainien. Ces équipes, désignées par des noms obscurs et qui changent selon les observateurs (« UAC-0010 », « Ghost Blizzard », « APT29 », « Sandworm« …), utilisent souvent des techniques plus complexes pour arriver à leurs fins.

L’Ukraine a eu des années pour se préparer. Car depuis l’invasion de la Crimée et de l’est du Donbass en 2014, la Russie teste ses offensives virtuelles sur son voisin : par exemple avec une attaque sur le réseau électrique ukrainien en 2015, et surtout la diffusion du virus NotPetya en 2017, qui a frappé de nombreuses entreprises en Ukraine et dans d’autres pays, deux actions attribuées par Washington à des hackers soutenus par l’Etat russe. « Cette attaque a été un moment crucial, celui qui a fait que le gouvernement s’est intéressé sérieusement à la cybersécurité », raconte Serhii Khariuk, fondateur d’AmonSul, une entreprise ukrainienne de cybersécurité.

Pour bâtir ses défenses, le pays a notamment pu compter sur un écosystème d’entreprises technologiques très dynamique. Mais les alertes n’ont pas toujours été prises au sérieux. « Au début de l’invasion, les grosses entreprises privées avaient de bonnes cyberdéfenses, mais l’Etat et les collectivités beaucoup moins », souligne Roman Yaroshenko, responsable de la sécurité des systèmes d’information chez lifecell Ukraine, le troisième opérateur mobile du pays. Quand la guerre a éclaté, les professionnels ont répondu présent.

« Dès le début de l’invasion, tous les ingénieurs et les entreprises du secteur sont intervenus pour demander comment ils pouvaient aider le pays. On a offert notre expertise à l’administration. »

Serhii Khariuk, expert ukrainien en cybersécurité

à franceinfo

« C’est en partie grâce à cette mobilisation des professionnels qu’il y a eu aussi peu d’incidents graves », estime-t-il.

Les premiers mois ont été confus pour ces « cyber-soldats ». « C’était un peu dur de communiquer, les procédures étaient chaotiques », se souvient Serhii Khariuk. Mais les canaux de communication se sont progressivement développés et « les défenses ont été améliorées grâce à la collaboration public-privé et la mise en place de solutions automatisées », rapporte Maria Shevchuk, présidente de l’IT Ukraine Association, un groupe d’entreprises de la tech ukrainienne.

Comme dans le domaine militaire, le soutien est aussi venu de partenaires étrangers. L’aide la plus connue est celle apportée par SpaceX, qui a permis à l’Ukraine de maintenir ses communications sur le front grâce à son réseau de satellites Starlink. Un service fourni gratuitement par son propriétaire Elon Musk, qui a un temps menacé de le suspendre avant de se raviser.

Mais il y a eu beaucoup d’autres contributions. Depuis 2020, l’Agence américaine pour le développement (USAID) a financé quantité de serveurs sécurisés, d’outils de détection et de formations pour l’Ukraine à travers un programme dédié. Une « contribution notable » à l’effort de guerre, selon Maria Shevchuk, « qui a aidé l’Ukraine à être plus tranquille sans pour autant être fondamentale », d’après Roman Yaroshenko. De nombreux pays de l’UE ont également apporté leur aide à travers le « mécanisme de Tallinn« , des accords bilatéraux ou des forums et exercices internationaux.

Des géants de la tech comme Microsoft, Cloudflare ou Cisco ont également retroussé leurs manches et offert certains services. Un échange de bons procédés, car les informations recueillies sur les techniques des pirates russes sont utiles pour protéger le reste de leurs clients – et pour le renseignement américain.

Ces efforts de protection semblent avoir porté leurs fruits. Le nombre de cyberattaques russes de gravité « critique » s’est effondré depuis le début de la guerre : il est passé de 431 sur le 1er semestre 2022 à seulement 3 au 1er semestre 2024, selon les dernières données fournies par l’agence ukrainienne de cybersécurité, le SSSCIP.

L’Ukraine n’a pas uniquement renforcé ses défenses : elle est aussi passée à l’attaque. Kiev bénéficiait déjà depuis plusieurs années du soutien de ses propres groupes « hacktivistes », comme la Ukrainian Cyber Alliance. Et dès le début de l’invasion, en miroir des groupes prorusses, se sont formés de nouveaux collectifs proukrainiens, qui continuent d’agir de manière sporadique en faisant fuiter des données d’entreprises russes ou en détruisant leurs infrastructures.

Le plus connu d’entre eux a même été formé à l’appel du ministère de la Transformation numérique. En février 2022, des bonnes volontés du monde entier se sont rassemblées pour former l’IT Army of Ukraine (« l’armée numérique d’Ukraine »). « On savait que tous les volontaires ne seraient pas des pros de l’informatique », raconte Ted, un porte-parole de l’IT Army. « On a donc choisi une stratégie qui tire partie du nombre : la force brute. »

Depuis février 2022, l’IT Army lance des attaques par déni de service contre des cibles en Russie, en utilisant la puissance de feu numérique des ordinateurs mis à disposition par les volontaires. Fournisseurs internet, banques, services de paiement… L’objectif est de ralentir l’économie russe au maximum pour l’empêcher de financer son armée.

« Moins la Russie gagne d’argent et plus elle doit investir dans sa cybersécurité, moins elle pourra acheter de tanks et d’avions de chasse. »

Ted, porte-parole de l’IT Army of Ukraine

à franceinfo

Eux aussi ont progressé, en améliorant leurs logiciels et en concentrant leurs assauts sur un nombre réduit de cibles – que les services de renseignement ukrainiens participent à désigner, sans qu’ils ne s’impliquent dans le reste des opérations, selon Ted. De quoi compenser la baisse de l’intérêt médiatique pour cet aspect du conflit. « On estime qu’on a fait perdre plus d’un milliard de dollars à la Russie en 2024, soit deux fois plus que les deux années précédentes cumulées. »

Mais au cours des trois ans de guerre, la Russie a fait évoluer ses armes numériques. Alors que les principales attaques russes de 2022 visaient à détruire les réseaux des infrastructures critiques, elles ont basculé en 2023 vers l’infiltration et l’extraction d’informations, concernant notamment les affrontements sur le champ de bataille physique. En 2024, ces pirates se sont encore recentrés sur les fournisseurs de services et les entreprises liées aux opérations militaires sur le front, en maintenant une présence discrète dans les systèmes, raconte le dernier rapport en date de l’agence ukrainienne de cybersécurité.

Et pour mener ces infiltrations, la stratégie est simple (en théorie) : trouver des identifiants pour mettre un pied dans la porte, puis rechercher la moindre faille dans le système pour gagner de nouveaux « privilèges » et avoir accès à de plus en plus d’informations. Pour cela, une des principales techniques de la Russie est connue : le hameçonnage (ou « phishing »), celui-là même qui est utilisé dans les faux SMS se faisant passer pour votre banque ou la Sécurité sociale. « C’est un des plus gros vecteurs d’attaque russe aujourd’hui », rapporte Roman Yaroshenko.

Les hackers russes utilisent également des logiciels malveillants (« malwares »), qu’ils distribuent par e-mail, dans des fichiers PDF ou encore dans des messages piégés sur les messageries Telegram ou Signal, très utilisées chez les militaires. Le tout agrémenté de « social engineering », c’est-à-dire de la manipulation, en se faisant passer pour quelqu’un de légitime à obtenir des renseignements supplémentaires. Cette stratégie explique en partie la hausse des attaques d’importance « faible » recensées par l’agence ukrainienne de cybersécurité.

Ces techniques peuvent permettre des attaques brutales, comme avec le crash des systèmes de l’opérateur ukrainien KyivStar pendant plusieurs jours en décembre 2023 ou l’attaque sur les registres administratifs contenant des montagnes de données sur les citoyens ukrainiens, en décembre 2024. Deux piratages attribués à des hackers liés au renseignement russe.

Ces percées rappellent que, tout comme sur la ligne de front, aucune défense n’est impénétrable. Les spécialistes interrogés pointent toujours des protections insuffisantes du côté du gouvernement. Les Ukrainiens sont de plus en plus sensibilisés au risque de « phishing », mais les attaquants changent régulièrement de méthode.

Et comme sur le front, l’aide internationale se fait plus rare. « Certaines entreprises privées ont réduit ou coupé leur aide », rapporte Roman Yaroshenko. Le soutien apporté par l’USAID est également sur la sellette après les décisions de Donald Trump visant à démanteler l’agence américaine. L’ancien directeur technique du programme cybersécurité de l’USAID a déploré sur LinkedIn « un manque flagrant de vision et de prévoyance ».

Face à la menace russe omniprésente, les « cyber-soldats » ukrainiens doivent donc maintenir une vigilance constante. « Il faut pouvoir garder un œil sur le réseau en permanence », explique Roman Yaroshenko. « Aujourd’hui l’équilibre vie professionnelle/personnelle est totalement bouleversé, il faut pouvoir se réveiller au milieu de la nuit s’il y a une attaque… »

« Si quelque chose se passe et je ne le vois pas, c’est un cauchemar. »

Roman Yaroshenko, responsable de la sécurité des systèmes d’information chez lifecell Ukraine

à franceinfo

« L’ennemi combine les attaques aériennes et les cyberattaques. On doit donc continuer même pendant les bombardements, ou quand une partie de nos infrastructures ont été détruites par les bombes », raconte Maksim Zhurbenko, qui dirige la cybersécurité des réseaux informatiques de la ville de Kiev (transports publics, éclairage, état civil…). « On ne peut pas arrêter notre travail, les vies et la sécurité des habitants de Kiev en dépendent. C’est très stressant au début, à chaque attaque votre niveau d’adrénaline monte en flèche ! Mais après trois ans, on s’y habitue. »

« On est tous sur la ligne de front, 24h24/, 7 jours sur 7 », souligne Serhii Khariuk. Au risque de s’épuiser ? « Il peut y avoir une forme de routine, mais si vous êtes en Ukraine, vous comprenez qu’il faut se battre chaque jour pour sa survie », rappelle le porte-parole de l’IT Army of Ukraine. « On ne fait pas ça pour ‘gagner’. On le fait pour survivre. »