Ukraine : 700 000 personnes dans le noir après une cyber-attaque

La coupure n’aura duré que quelques heures et serait sans doute restée dans l’ombre de l’actualité internationale si, le lendemain, la nouvelle n’était pas tombée : un sabotage serait responsable de la panne qui a plongé dans le noir 700 000 personnes de la région d’Ivano-Frankivsk, dans l’ouest de l’Ukraine, en fin d’année 2015.

Dans ce cas précis, des explosifs ne sont pas à l'origine de la panne, comme cela avait été le cas lorsque des activistes ukrainiens avaient fait sauter des pylônes électriques en novembre dernier pour entamer leur « blocus énergétique » de la Crimée. Cette fois, les habitants d’Ivano-Frankivsk ont été victimes d’une cyber-attaque.

L’événement serait absolument inédit d’après le site spécialisé Ars Technica (en anglais) : jamais auparavant une cyber-attaque n’avait entraîné de panne de cette ampleur sur un système électrique national. Un vrai « scénario catastrophe » qui ravive le spectre d’une attaque informatique touchant l’ensemble des infrastructures d’un pays, maintes fois évoqué dans la culture populaire.

Comme souvent, l’attaque n’aurait pas nécessité de complexe intrusion dans les systèmes informatiques de Prykarpattyaoblenergo et Kyivoblenergo, deux des sociétés responsables de la distribution de l’électricité dans la région. La société aurait été compromise par un simple e-mail envoyé depuis une adresse rappelant celle du parlement ukrainien, contenant un fichier Excel lui-même porteur du virus.

Plusieurs questions concernant le déroulement de l’attaque restent encore sans réponse, notamment lorsqu’il s’agit de savoir si le virus a directement causé la coupure de courant, ou si les autorités ukrainiennes ont décidé cette coupure de manière préventive, après avoir eu vent de l’attaque. Les services de sécurité ukrainiens ont ainsi affirmé à l’agence Reuters (en anglais) qu’une « une tentative d’interférer dans le système » a été « découverte et empêchée ». La société américaine SANS affirme que « le malware a permis la coupure de courant, mais ne l’a pas causé ». Les responsables ne se sont pas contentés de chercher à neutraliser la distribution de l’électricité, ils ont lancé une attaque coordonnée de déni de service sur le numéro de téléphone des sociétés concernées afin d’empêcher les clients de prévenir la compagnie d’électricité de la panne.

L’attaque frappe d’autant plus que « Black Energy », le malware utilisé, n’est pas inconnu des spécialistes en sécurité informatique.

À peine quelques semaines plus tôt, en octobre 2015, une série de médias ukrainiens a été attaquée par une variante du même malware, conduisant à « la destruction d’un volume conséquent de fichiers vidéos et d’autres types de données », d’après l’organisation gouvernementale ukrainienne Computer Emergency Response Team of Ukraine. Les attaquants se sont même permis de laisser dans les serveurs infectés des fichiers du nom de « ololo.exe » et « trololo.exe », référence au célèbre meme.

Créé il y a plus de sept ans afin de lancer des attaques de déni de service, « Black Energy » a notamment été employé dans une configuration contre la Géorgie, lors de son conflit avec la Russie en 2008. Depuis, il a fait preuve d’une grande flexibilité. Il s’est ainsi transformé en outil de cyber-espionnage, visant des agences de l’OTAN ainsi que les gouvernements ukrainiens et polonais, sans compter plusieurs dizaines d’entreprises de ces pays.

Il a ensuite pris une dimension supplémentaire, plus destructive : il y a deux ans, des chercheurs lui ont découvert de nouvelles capacités (lien en anglais) lui permettant d’être encore plus agressif, notamment en empêchant des ordinateurs ou serveurs de démarrer. Dans un article pour Al-Jazeera, le spécialiste en sécurité informatique Kyle Wilhoit s’inquiétait en février 2015 (en anglais) que « Black Energy », conçu initialement pour le vol d’information, puisse à terme être employé pour des actes de sabotage. Une crainte qui semble aujourd’hui se confirmer.

Si les circonstances de l’attaque restent encore relativement floues, les suspicions se portent déjà vers la Russie. iSIGHT Partners, une société de sécurité informatique américaine, a relié l’attaque à un groupe prénommé « Sandworm » (la créature du roman de science-fiction « Dune », dont les références parsèment le code utilisé par l’organisation). Ce groupe, dont la création remonterait à 2009, aurait été derrière les opérations visant les agences de l’OTAN ainsi que les gouvernements polonais et ukrainiens, un an plus tôt.

Pour la plupart des spécialistes de sécurité informatique, il ne fait que peu de doute que Sandworm est lié d’une manière ou d’une autre à la Russie. « Mais nous n’avons pas encore de preuves définitives », note Kyle Wilhoit. En l’absence d’éléments solides, ces suspicions sont basées notamment sur le choix des cibles, invariablement des « ennemis » du Kremlin, ou sur des fichiers liés à Sandworm et rédigés en russe. Suffisant pour y voir un lien, mais encore trop léger pour en définir la teneur : s’agit-il d’« hacktivistes » patriotiques ? D’un groupe sponsorisé par le Kremlin mais détaché de celui-ci ? Ou carrément d’une branche de l’État russe obéissant directement à ses ordres ? Mystère.

Si la responsabilité de la Russie dans cette cyber-attaque venait à être confirmée, il s’agirait d’une nouvelle étape non seulement dans le conflit entre l’Ukraine et la Russie, mais surtout dans le développement d’une « cyberguerre » à laquelle se livrent depuis déjà plusieurs années les grands pays du globe – États-Unis, Chine et Russie en tête.