La mission secrète des États-Unis pour renforcer les cyberdéfenses de l'Ukraine avant l'invasion de la Russie.L'année dernière, des soldats et des experts américains se sont déployés dans tout le pays pour contrecarrer une cyberattaque russe attendue.
Quelques mois avant l'invasion russe, une équipe d'Américains s'est déployée en Ukraine à la recherche d'un type de menace très spécifique.
Certains étaient des soldats du Cyber Command de l'armée américaine. D'autres étaient des contractants civils et certains employés de sociétés américaines qui contribuent à défendre les infrastructures critiques contre le type de cyberattaques que les agences russes infligent à l'Ukraine depuis des années.
Les États-Unis aidaient l'Ukraine à renforcer ses cyberdéfenses depuis des années, depuis qu'une tristement célèbre attaque de 2015 sur son réseau électrique a laissé une partie de Kiev sans électricité pendant des heures.
Mais cet afflux de personnel américain en octobre et novembre était différent : il s'agissait de préparer une guerre imminente. Des personnes familières de l'opération ont décrit une urgence dans la chasse aux logiciels malveillants cachés, le genre que la Russie aurait pu planter, puis laisser en sommeil en vue de lancer une cyberattaque dévastatrice parallèlement à une invasion terrestre plus conventionnelle.
Les experts préviennent que la Russie pourrait encore déclencher une attaque en ligne dévastatrice contre l'infrastructure ukrainienne, du type de celle que les responsables occidentaux attendent depuis longtemps. Mais des années de travail, associées à un renforcement ciblé au cours des deux derniers mois, peuvent expliquer pourquoi les réseaux ukrainiens ont résisté jusqu'à présent.
Les responsables ukrainiens et américains prennent soin de décrire le travail des "équipes de cybermission" comme étant défensif, comparé aux milliards de dollars d'armes mortelles qui ont afflué en Ukraine pour combattre et tuer les soldats russes.
Les attaques russes ont été étouffées parce que "le gouvernement ukrainien a pris des mesures appropriées pour contrer et protéger nos réseaux", a déclaré Victor Zhora, un haut responsable du gouvernement ukrainien.
Dans les chemins de fer ukrainiens, l'équipe de soldats et de civils américains a découvert et nettoyé un type de logiciel malveillant particulièrement pernicieux, que les experts en cybersécurité surnomment "wiperware" - désactivant des réseaux informatiques entiers simplement en supprimant des fichiers cruciaux sur commande.
Au cours des dix premiers jours de l'invasion russe, près d'un million de civils ukrainiens ont pu se mettre en sécurité grâce au réseau ferroviaire. Si le logiciel malveillant n'avait pas été découvert et avait été déclenché, "cela aurait pu être catastrophique", a déclaré un responsable ukrainien connaissant bien la question.
Un logiciel malveillant similaire n'a pas été détecté au sein de la police des frontières et, la semaine dernière, alors que des centaines de milliers de femmes et d'enfants ukrainiens tentaient de quitter le pays, les ordinateurs du point de passage vers la Roumanie ont été désactivés, ajoutant au chaos, selon des personnes au fait de la question.
Avec un budget beaucoup plus modeste - environ 60 millions de dollars - ces équipes ont également dû préparer le terrain avec des groupes privés qui fournissent l'épine dorsale de la plupart des infrastructures que les pirates russes, affiliés ou non à des gouvernements, étaient censés attaquer.
Le dernier week-end de février, la police nationale ukrainienne, ainsi que d'autres services gouvernementaux ukrainiens, ont été confrontés à une attaque massive de "dénis de service distribués" (DDoS), des attaques relativement simples qui mettent hors service des réseaux en les inondant de demandes de petites quantités de données provenant d'un grand nombre d'ordinateurs.
En quelques heures, les Américains ont contacté Fortinet, un groupe californien de cybersécurité qui vend une "machine virtuelle" conçue pour contrer ce type d'attaque.
Le financement a été approuvé en quelques heures et le ministère américain du commerce a donné son accord en 15 minutes. Dans les huit heures qui ont suivi la demande, une équipe d'ingénieurs a installé le logiciel de Fortinet sur les serveurs de la police ukrainienne pour repousser l'assaut, a déclaré une personne au courant de cette opération rapide.
Le fait que ces attaques ciblent souvent des logiciels disponibles dans le commerce - essentiellement des fabricants occidentaux - a obligé les grandes entreprises américaines et européennes à consacrer des ressources à la défense des réseaux ukrainiens.
Microsoft, par exemple, gère depuis des mois un centre de renseignement sur les menaces qui a placé ses ressources entre les logiciels malveillants russes et les systèmes ukrainiens.
Le 24 février, quelques heures avant que les chars russes ne commencent à déferler sur l'Ukraine, les ingénieurs de Microsoft ont détecté et procédé à la rétro-ingénierie d'un logiciel malveillant nouvellement activé, a déclaré Brad Smith, président de Microsoft, dans un billet de blog.
Dans les trois heures qui ont suivi, l'entreprise a publié une mise à jour logicielle pour se protéger contre le logiciel malveillant, a averti le gouvernement ukrainien de la menace et a prévenu l'Ukraine d'"attaques contre toute une série de cibles", y compris l'armée. Sur les conseils du gouvernement américain, Microsoft a immédiatement étendu l'avertissement aux pays voisins de l'OTAN, a déclaré une personne familière avec la décision prise en fin de soirée.
"Nous sommes une entreprise et non un gouvernement ou un pays", a écrit M. Smith, mais il a ajouté que Microsoft et d'autres fabricants de logiciels devaient rester vigilants face à ce qui s'est passé en 2017, lorsqu'un logiciel malveillant attribué à la Russie s'est propagé au-delà des frontières de la cyberarène ukrainienne pour atteindre le monde entier, mettant hors service des ordinateurs chez Merck, Maersk et ailleurs et causant 10 milliards de dollars de dommages.
Jusqu'à présent, les experts qui ont observé les cyberattaques russes ont été déconcertés par leur manque de succès, ainsi que par le rythme, l'intensité et la sophistication moindres de ce dont les pirates du gouvernement russe sont connus pour être capables.
Les défenses ukrainiennes se sont avérées résistantes, a déclaré un responsable européen qui a été informé cette semaine par les Américains lors d'une réunion de l'OTAN, et les offensives russes se sont avérées médiocres. Selon lui, la raison en est que, jusqu'à présent, la Russie a retenu son corps d'élite dans l'arène cybernétique, tout comme elle l'a fait sur le champ de bataille, peut-être en sous-estimant les Ukrainiens.
Par exemple, au lieu de communiquer uniquement par le biais de téléphones militaires cryptés, les commandants russes se servent parfois des réseaux de téléphonie mobile ukrainiens pour communiquer, parfois simplement en utilisant leurs téléphones mobiles russes.
"Les Ukrainiens adorent cela - il y a tellement de données à obtenir simplement en surveillant ces téléphones, qu'ils utilisent ou non des applications cryptées", a-t-il déclaré.
Les Ukrainiens bloquent ensuite les téléphones russes de leurs réseaux locaux à des moments clés, brouillant davantage leurs communications. "Puis vous voyez soudain des soldats russes s'emparer des téléphones portables des Ukrainiens dans la rue, faire des raids dans les ateliers de réparation pour obtenir des sims", a-t-il dit. "Ce n'est pas quelque chose de sophistiqué. C'est assez déroutant." Auteurs : Mehul Srivastava and Madhumita Murgia in London, Hannah Murphy in San Francisco
Source :
https://www.ft.com/content/1fb2f592-4806-42fd-a6d5-735578651471