Cyberattaques : trois piratages qui montrent que l'Ukraine est un terrain d'entraînement des hackers prorusses

La piste du rançongiciel Petrwrap semble remonter jusqu'en Russie, et constitue le dernier épisode en date d'une véritable cyberguerre menée par Moscou. Objectif : ternir l'image de l'Ukraine.

Une habitante de Kiev (Ukraine) passe devant un terminal mis hors-service par la cyberattaque Petrwrap dans la poste principale de la ville, mercredi 28 juin 2017.
Une habitante de Kiev (Ukraine) passe devant un terminal mis hors-service par la cyberattaque Petrwrap dans la poste principale de la ville, mercredi 28 juin 2017. (MAXPPP)

Les dessous de la propagation du virus Petrwrap, le rançongiciel (ransomware, en anglais) qui a contaminé, mardi 27 juin, des entreprises du monde entier, commencent à être mis au jour. Selon le New York Times, la Russie est désormais pointée du doigt après que le logiciel malveillant a été largement déployé via le piratage d'un logiciel très utilisé dans les différents services de l'administration ukrainienne.

Si ces soupçons se confirmaient, Petrwrap constituerait la dernière attaque en date d'une déstabilisation numérique de grande ampleur menée contre Kiev depuis le début de la crise qui oppose le gouvernement aux séparatistes prorusses en 2014. En trois cas d'espèce, franceinfo revient sur la manière dont l'Ukraine est devenue le terrain d'entraînement des pirates pro-Moscou.

1La tentative de trucage de l'élection présidentielle de 2014

L'une des premières tentatives d'ingérence remonte au jour de l'élection présidentielle de mai 2014, qui a suivi le renversement du chef d'Etat ukrainien prorusse Viktor Ianoukovitch, en février. Alors que les sondages promettent une large victoire au candidat sans étiquette Petro Porochenko, un fichier présent sur les serveurs de la commission électorale annonce la victoire du chef de file de l'extrême droite, Dmytro Iaroch, rapporte le Wall Street Journal (article en anglais et payant). La nouvelle est relayée dans la foulée par la télévision d'Etat russe.

Les fonctionnaires ukrainiens réalisent la supercherie peu de temps avant la proclamation des résultats et suppriment le fichier douteux. Selon les résultats officiels, Dmytro Iaroch n'a obtenu que 0,70% des suffrages, et Petro Porochenko a été élu avec 54,70% des voix.

Le magazine Wired (article en anglais) rapporte que, derrière cette opération, se cachait le groupe de pirates prorusses CyberBerkut, une entité "liée aux hackers du Kremlin accusés d'être derrière la fuite de documents qui a touché le Parti démocrate lors de l'élection présidentielle américaine".

2Le sabotage du réseau électrique en 2015 et 2016

Le 23 décembre 2015, environ 225 000 clients de plusieurs distributeurs d'électricité ukrainiens ont été touchés par des coupures de courant qui ont duré environ six heures. Il ne s'agissait pas d'un simple problème technique, mais d'un sabotage en règle : à l'aide d'un logiciel malveillant, des pirates avaient réussi à s'introduire dans le réseau sécurisé des distributeurs et à prendre le contrôle d'ordinateurs chargés de la gestion du réseau via un logiciel de maintenance. Un des ingénieurs avait à l'époque communiqué au magazine Wired une vidéo montrant les agissements du pirate en direct.

Quelques semaines après l'attaque, des experts en cybersécurité cités par l'agence Reuters (en anglais) ont pointé du doigt le groupe russe appelé Sandworm, "un acteur qui agit en alignement avec les intérêts" de Moscou.

Un an plus tard, le 16 décembre 2016, une autre attaque a privé de courant plusieurs foyers de Kiev en plein milieu de la nuit. Le désagrément n'a duré qu'une heure, mais le piratage était en fait bien plus sophistiqué que l'année précédente. Car si en 2015 les pirates avaient pris manuellement le contrôle d'ordinateurs pour couper l'électricité, ils avaient cette fois mis au point un outil, CrashOverride, qui perturbait automatiquement leur fonctionnement et qui est susceptible de s'adapter à différents systèmes de distribution d'électricité.

Plus grave encore, CrashOverride est capable de désactiver un appareil de sécurité installé dans les centrales électriques, et qui sert à empêcher les surcharges sur les lignes électriques et les transformateurs. De quoi, potentiellement, entraîner d'importants dégâts matériels. Les responsables de cette deuxième attaque doivent encore être formellement identifiés, mais l'entreprise de cybersécurité Dragos, fondée par un ancien responsable de la sécurité informatique au sein du renseignement américain, assure détenir les preuves que les pirates russes de Sandworm sont à nouveau à l'origine de cette tentative de déstabilisation.

3Le ciblage délibéré des infrastructures ukrainiennes par Petrwrap

Le dernier exemple en date de ce que les autorités ukrainiennes appellent la "guerre hybride" est le déploiement du rançongiciel Petrwrap, qui a semé la panique en bloquant les ordinateurs de plusieurs centaines d'entreprises dans le monde. Cités par le New York Times (article en anglais), des spécialistes disent avoir établi que derrière des motivations apparemment crapuleuses se cachait, en fait, la volonté de porter un coup critique aux infrastructures ukrainiennes.

Pour cela, les pirates ont mis au point une stratégie aussi ingénieuse qu'effrayante, en décidant de cibler les comptables fiscalistes présents dans les grandes entreprises et les administrations du pays. Le quotidien américain indique en effet que ces professionnels sont légalement obligés d'utiliser un logiciel de comptabilité pour leur activité.

Afin d'obtenir l'effet le plus dévastateur possible, les auteurs de l'attaque ont donc choisi de pirater MEDoc, l'un des logiciels les plus utilisés dans ce domaine en Ukraine. Dans un communiqué, Microsoft a confirmé que les malfaiteurs avaient profité d'une veille de jour férié pour provoquer une mise à jour de ce programme à première vue anodine, mais qui installait en fait le virus Petrwrap. Celui-ci se propageait ensuite sur les réseaux internes pour un impact maximal.

Interrogé par la radio américaine NPR, le journaliste de Wired Andy Greenberg est longuement revenu sur les motivations de ces nombreux piratages. Selon lui, les partisans de la Russie l'utilisent pour ternir l'image de l'Ukraine aux yeux du monde. "Ils cherchent à humilier le gouvernement ukrainien, à déstabiliser une société, à donner l'impression que les choses tournent mal, dans le but de dissuader les investissements étrangers dans le pays", a expliqué ce spécialiste.

Le journaliste explique ces attaques répétées par le fait que Moscou a déjà été recadré par la communauté internationale sur le dossier ukrainien.

La Russie est déjà dans une situation de guerre physique contre l'Ukraine [dans la région du Donbass]. (...) Ils ont déjà reçu des sanctions internationales au moment de l'annexion de la Crimée, donc quelque part, ils peuvent essayer de nouvelles choses en toute impunité.Andy Greenberg, journaliste à "Wired"sur la radio NPR