Huit autorités chargées de la cybersécurité dans les pays dits « Five Eye » (États-Unis, Royaume-Uni, Australie, Canada et Nouvelle-Zélande) ont publié jeudi une déclaration conjointe dans laquelle elles mettent en garde contre l’intensification des cyberactivités malveillantes, alors que l’invasion de l’Ukraine par la Russie continue d’avoir des répercussions sur la stabilité géopolitique.

Avant d’examiner la déclaration en profondeur, une mise en garde importante en cinq points s’impose : Les États-Unis et le Royaume-Uni font partie des principaux antagonistes dans la guerre que l’OTAN mène actuellement contre la Russie ; ils disposent tous deux d’importantes capacités offensives de cyberguerre ; les services de renseignement américains, à la demande d’Obama, ont dressé une liste de cibles potentielles de cyberattaques à l’étranger ; les deux pays ont mené subrepticement de vastes programmes de surveillance, ciblant non seulement leurs propres populations, mais aussi les citoyens et les chefs de gouvernement d’autres pays ; et le monde est actuellement en proie à la plus grande guerre de l’information de ce siècle.

Ainsi, toute information émanant des services de renseignement des Cinq Yeux doit être traitée avec une bonne dose de scepticisme. Ceci étant dit, voici les trois premiers paragraphes de la missive :

Les autorités de cybersécurité des États-Unis, de l’Australie, du Canada, de la Nouvelle-Zélande et du Royaume-Uni publient cet avis conjoint de cybersécurité. L’objectif de cette alerte conjointe est d’avertir les organisations que l’invasion de l’Ukraine par la Russie pourrait exposer les organisations, tant à l’intérieur qu’à l’extérieur de la région, à une augmentation des activités cybernétiques malveillantes. Cette activité peut se produire en réponse aux coûts économiques sans précédent imposés à la Russie ainsi qu’au soutien matériel fourni par les États-Unis et leurs alliés et partenaires.

L’évolution des renseignements indique que le gouvernement russe explore des options pour d’éventuelles cyberattaques (voir la déclaration du président américain Biden du 21 mars 2022 pour plus d’informations). Les récentes cyberopérations parrainées par l’État russe ont inclus des attaques par déni de service distribué (DDoS), et des opérations plus anciennes ont inclus le déploiement de logiciels malveillants destructeurs contre le gouvernement ukrainien et des organisations d’infrastructures critiques.

En outre, certains groupes cybercriminels ont récemment promis publiquement de soutenir le gouvernement russe. Ces groupes de cybercriminels alignés sur la Russie ont menacé de mener des cyberopérations en représailles à des cyberoffensives perçues comme étant dirigées contre le gouvernement ou le peuple russe.

Le document souligne également le rôle de premier plan que joueront probablement les acteurs étatiques russes, notamment le Service fédéral de sécurité (FSB), le Service russe de renseignement extérieur (SVR), la Direction principale du renseignement de l’état-major russe (GRU), le Centre principal des technologies spéciales (GTsST) du GRU et l’Institut scientifique central de chimie et de mécanique (TsNIIKhM) du ministère russe de la Défense.

Les auteurs du document exhortent les organisations d’infrastructures critiques à prendre des mesures immédiates pour se protéger contre les cyberattaques. Selon eux, ces mesures devraient inclure l’application de correctifs aux vulnérabilités exploitées connues, la mise à jour des logiciels, l’application d’une authentification multifactorielle, la sécurisation et la surveillance du protocole de bureau à distance (RDP) et d’autres services « potentiellement risqués », ainsi que la sensibilisation et la formation des utilisateurs finaux à la sécurité. Comme le fait remarquer The Register, un site britannique d’informations technologiques, si l’une de ces recommandations surprend les opérateurs d’infrastructures critiques, « nous sommes foutus ».

L’avertissement des pays « Five Eye » intervient quelques jours seulement après que l’OTAN a entamé (comme l’indique Bloomberg) « les exercices de cyberdéfense à balles réelles les plus importants et les plus complexes » jamais réalisés. Plus de 2 000 personnes de 32 pays devaient participer à ce jeu de guerre, qui a débuté mardi à Tallinn, en Estonie. Parmi elles figurent des représentants de cinq à dix grandes institutions financières mondiales, dont Santander et Mastercard.

Tout cela se produit alors que l’on craint que les frontières de la cyberguerre entre la Russie et l’OTAN ne s’étendent bientôt au-delà de l’Europe, où des attaques ont été signalées non seulement en Ukraine et en Russie, mais aussi en Pologne et en Finlande. Le 21 mars, le président Joe Biden a averti les entreprises américaines de se préparer à des cyberattaques. La Russie est susceptible de déployer des cyberattaques en guise de représailles contre les sanctions américaines, a déclaré M. Biden, ajoutant que la Russie dispose « d’une capacité cybernétique très sophistiquée », que Poutine « n’a pas encore utilisée… » mais qui fait « partie de son cahier des charges. »

La cyberguerre gagne l’Amérique latine ?

Au cours de la semaine dernière, deux pays d’Amérique latine, le Costa Rica et Porto Rico, ont subi d’importantes cyberattaques visant des infrastructures nationales clés. Au Costa Rica, une vague d’attaques a temporairement désactivé mercredi les sites Web du ministère des finances, du ministère des sciences, de l’innovation, de la technologie et des télécommunications, de la caisse de sécurité sociale du Costa Rica, de l’institut météorologique national (IMN) et de l’institut radiographique du Costa Rica (Racsa).

À la suite de l’attaque, le directeur de la gouvernance numérique du ministère des sciences, Jorge Mora, a fait remarquer que la numérisation des activités gouvernementales comporte des risques, mais aussi des avantages. Quant aux responsables, M. Mora a déclaré qu’une demande de rançon de 10 millions de dollars avait été publiée sur le dark web par le Conti Group, un gang de ransomware pro-russe qui a menacé de déployer des mesures de représailles si des cyberattaques étaient lancées contre la Russie. Le gouvernement costaricien a exclu de payer une rançon, ce qui a incité Conti Group à lancer un dernier ultimatum : payer ou toutes les données seront rendues publiques.

Le Costa Rica est une cible curieuse puisque le pays, comme le Mexique, suit une politique de neutralité à l’égard des guerres étrangères. En fait, le Costa Rica n’a pas eu d’armée depuis 73 ans. Cela dit, le gouvernement costaricien fait partie du petit nombre de pays d’Amérique latine qui ont accepté d’appliquer les sanctions américaines et européennes contre la Russie au sein de leur système financier. Il a également suspendu les émissions du média RT, soutenu par l’État russe.

Porto Rico, qui est un territoire non incorporé des États-Unis, est une cible plus évidente. Ces derniers jours, le système de télépéage du pays a été mis hors service par une cyberattaque. Les médias locaux ont rapporté mardi 19 avril que les attaques avaient commencé pendant le week-end et avaient touché une application mobile, les systèmes de perception dans les gares de péage et un site web. Le site web était de nouveau opérationnel mardi, mais les utilisateurs signalaient encore des irrégularités de service au moment de la rédaction de cet article.

La secrétaire d’État à l’intérieur de Porto Rico, Noelia García, a déclaré que les pirates avaient exigé une rançon pour rétablir le système, ce que le gouvernement refuse de faire. Mme García a également insisté sur le fait que les données cryptées des utilisateurs, telles que les détails des cartes de crédit, sont en sécurité. Selon Ngai Oliveras, chef de la sécurité du gouvernement portoricain, le FBI enquête sur l’attaque, qui pourrait être liée à la guerre en Ukraine.

Ce n’est pas la première cyberattaque majeure à viser les principales infrastructures publiques de Porto Rico au cours des derniers mois. En janvier, le site Web du sénat de Porto Rico ainsi que son fournisseur d’accès à Internet et ses systèmes téléphoniques ont été temporairement mis hors service. En octobre 2021, le fournisseur d’électricité de la capitale a été victime d’une attaque DDoS qui a entraîné une panne de courant touchant plus d’un million de personnes. Lors d’une attaque DDoS, les pirates inondent un site web de tant de robots qui s’y connectent en même temps qu’ils le rendent inaccessible. Les serveurs ne sont pas violés, les données ne sont pas volées, mais l’attaque peut tout de même causer de nombreuses perturbations.

L’aspect numérique de la guerre Russie-OTAN

Dès le premier jour, les deux parties du conflit OTAN-Russie ont porté la bataille dans la cyber-sphère. Dans le cas de la Russie, elle attaque des cibles ukrainiennes depuis la mi-janvier, soit des semaines avant même le début de la guerre. Au tout début de son invasion de l’Ukraine, « les cyber-guerriers des services de renseignement et de l’armée américaine préconisaient l’utilisation de cyber-armes américaines à une échelle jamais envisagée auparavant ». C’est ce qui ressort d’un rapport publié le 24 février par la chaîne NBC et intitulé « Biden s’est vu présenter des options pour des cyberattaques massives contre la Russie ».

Dans une interview accordée à MSNBC deux jours plus tôt, Hilary Clinton a fait l’éloge du groupe de pirates informatiques « Anonymous » pour avoir lancé des cyberattaques coordonnées contre des cibles russes.

« On a appris cette nuit que les Anonymous, un groupe de hackers, ont mis hors service la télévision russe. Je pense que les personnes qui aiment la liberté, qui comprennent que notre mode de vie dépend du soutien de ceux qui croient également en la liberté, pourraient s’engager dans un cyber-soutien à ceux qui sont dans les rues de Russie. C’est ce que nous avons fait pendant le printemps arabe, lorsque j’étais secrétaire d’État. Je pense que nous pourrions également attaquer un grand nombre d’institutions gouvernementales, et vous savez les oligarques et leur mode de vie par le biais de cyberattaques. »

Le groupe hacktiviste DDoSecrets, qui se spécialise dans le piratage puis la publication de données compromettantes, a également été très occupé depuis le début de la guerre. Selon Micah Lee, analyste de la sécurité opérationnelle à The Intercept, le groupe a jusqu’à présent amassé sept ensembles de données russes à partir de mars et 20 autres à partir d’avril. Parmi ses cibles figurent Roskomnadzor, une agence qui surveille et censure les médias de masse, Transneft, la plus grande société d’oléoducs au monde, Rosatom, l’agence d’État pour l’énergie nucléaire, la branche caritative de l’Église orthodoxe russe et la Banque centrale russe.

De l’autre côté du conflit, les cyberattaques ont joué un rôle constant, bien que quelque peu atténué, dans l’invasion de la Russie. Parmi les cibles en Ukraine figurent les sites Web du gouvernement, les applications mobiles et les distributeurs automatiques de billets des plus grandes banques du pays, ainsi que les sites Web d’organisations à but non lucratif, de sociétés technologiques, de l’armée ukrainienne et du Service de sécurité (SBU).

« Nous assistons actuellement à la première véritable cyberguerre », a déclaré Natalia Tkachuk, responsable du service ukrainien de sécurité de l’information et de cybersécurité, à The Record, une publication d’informations sur la cybersécurité appartenant à Recorded Future, une société de cybersécurité basée dans le Massachusetts :

[La plupart des cyberattaques contre les institutions gouvernementales et les infrastructures critiques sont coordonnées et planifiées par les Russes afin de causer un maximum de dommages à l’Ukraine. La plupart des attaques visent désormais les agences gouvernementales, les secteurs de l’énergie, des télécommunications et des banques. Dans la plupart des cas, l’objectif principal des attaques est de détruire des informations à l’aide de divers logiciels malveillants d’effacement de données.

On ne peut pas dire qu’il y ait nécessairement une augmentation du nombre d’attaques, mais plutôt une coordination accrue des efforts dans la préparation d’attaques contre un secteur particulier. Ces attaques ciblées et dangereuses arrivent par vagues, au milieu du bruit statique causé par un grand nombre de cyberincidents globaux et de petites attaques.

Fake News et panique bancaire

Les inquiétudes augmentent également quant aux attaques potentielles contre les institutions financières, notamment en Europe. Le 1er avril, l’Autorité bancaire européenne a lancé un avertissement sur le risque que les fake news déclenchent une ruée bancaire. Selon Reuters :

« Alors que le sentiment du marché reste très volatil et déterminé par le flux de nouvelles, les niveaux de liquidité des banques peuvent devenir vulnérables en raison de la diffusion d’informations inexactes », a déclaré l’Autorité bancaire européenne dans son dernier « tableau de bord des risques », qui s’est concentré sur les expositions à la Russie et à l’Ukraine.

« De telles campagnes qui diffusent des informations inexactes peuvent entraîner des sorties de dépôts des banques ciblées », a déclaré l’ABE.

Selon l’ABE, les expositions des banques de l’Union à la Russie sont trop faibles pour menacer la stabilité financière, mais les retombées économiques de la guerre en Ukraine et les cyberattaques pourraient affecter la rentabilité des prêteurs.

Les banques de l’UE avaient des expositions totalisant 76 milliards d’euros (84 milliards de dollars) à la Russie et 11 milliards d’euros à l’Ukraine au quatrième trimestre 2021, principalement parmi les prêteurs autrichiens, français et italiens.

« D’après l’évaluation initiale de l’ABE, les expositions directes à la Russie, à la Biélorussie et à l’Ukraine sont limitées, mais les effets de second tour peuvent être plus importants du point de vue de la stabilité financière », indique le rapport.

Les effets de second tour comprennent les retombées économiques directes de la guerre, telles que l’impact fiscal, l’impact des sanctions, les risques accrus de cyberattaques et l’impact à plus long terme sur les chaînes d’approvisionnement de l’économie mondiale, selon l’ABE.

L’avertissement de l’ABE ressemble étrangement à un scénario présenté dans une simulation d’une cyberattaque majeure dans dix pays, organisée par le gouvernement israélien en décembre 2021. Comme Reuters l’a rapporté à l’époque, la simulation de cyberattaque, baptisée « Collective Strength » (force collective), s’est déroulée sur 10 jours, « avec des données sensibles apparaissant sur le Dark Web ainsi que des fausses nouvelles qui ont finalement provoqué le chaos sur les marchés mondiaux et une ruée vers les banques. »

Les participants à la simulation « Collective Strength » comprenaient des responsables du Trésor d’Israël, des États-Unis, du Royaume-Uni, de l’Autriche, de la Suisse, de l’Allemagne, de l’Italie, des Pays-Bas, des Émirats arabes unis et de la Thaïlande, ainsi que des représentants du FMI, de la Banque mondiale et de la Banque des règlements internationaux, la banque centrale des banques centrales. Les participants ont discuté d’une série de politiques pour répondre à la crise simulée, notamment un congé bancaire coordonné, des périodes de grâce pour le remboursement de la dette, des accords SWAP/REPO et un désengagement coordonné des principales devises.

La simulation a eu lieu après qu’une série de cyberattaques ait provoqué l’an dernier de graves perturbations dans les banques et autres institutions financières au Pakistan, en Équateur, en Nouvelle-Zélande et au Venezuela. Il est intéressant de noter que le gouvernement vénézuélien a rejeté la responsabilité de la panne informatique subie par la Banco de Venezuela, la plus grande banque du pays, sur le gouvernement américain, que la vice-présidente du Venezuela, Delcy Rodríguez, a accusé d’avoir lancé une cyberattaque « intense et agressive » contre le système informatique de la banque.

Les cyberattaques étaient en hausse bien avant l’invasion de l’Ukraine par la Russie

Les cyberattaques constituent un problème croissant depuis plusieurs années, car de plus en plus d’aspects de la communication humaine, du travail et des opérations commerciales ont migré en ligne, notamment à la suite des confinements dus aux pandémies de 2020. Selon le 16e rapport annuel sur les violations de données de l’Identity Theft Resource Center, les violations de données liées aux ransomwares ont doublé aux États-Unis au cours des deux dernières années. Les attaques de la chaîne d’approvisionnement, comme l’attaque par ransomware de DarkSide contre Colonial Pipeline, sont également en hausse.

Il y a plusieurs raisons à cela. L’une d’elles est que les grandes entreprises victimes d’attaques par rançongiciel ont tendance à payer. Et les rançons sont souvent élevées. Colonial Pipeline a payé une rançon de 4,4 millions de dollars pour retrouver l’accès à ses fichiers.

L’augmentation de la menace est également due à la sophistication technologique et aux capacités croissantes des pirates. Dans le même temps, les systèmes informatiques des banques et des entreprises sont devenus plus vulnérables en raison de l’explosion de l’utilisation des services financiers électroniques pendant la pandémie ainsi que de l’augmentation du travail à distance des employés, comme l’a commenté le lecteur Vlade dans un article précédent :

Le problème avec le front domestique est que la plupart des gens traitent l’informatique domestique comme « il suffit de la mettre là », et ne pensent pas à la sécurité jusqu’à ce qu’il soit beaucoup trop tard. Ils utilisent un réseau wifi ouvert, ne changent pas les mots de passe par défaut ou les utilisateurs administrateurs, etc. etc. – mais, pour être honnête, j’ai vu le même comportement dans les grandes entreprises.

L’attaque de piratage la plus facile est de loin celle d’une taupe (c’est-à-dire l’élément humain), et c’est très difficile à prévenir. Et, dans l’état actuel des choses, puisque les entreprises considèrent leurs employés comme des rouages interchangeables d’une machine, le recrutement de taupes est probablement de plus en plus facile.

C’est peut-être ce qui s’est passé lors de la récente cyberattaque contre Colonial pipeline, qui a mis hors service le plus grand pipeline de carburant du pays, entraînant des pénuries de carburant sur la côte Est, et qui a été menée à bien grâce à un seul mot de passe compromis.

Les infrastructures américaines en danger ?

Alors que la Russie s’enlise dans sa guerre contre l’Ukraine (et, bien sûr, l’OTAN et ses amis) et que son économie, ravagée par les sanctions, s’enfonce de plus en plus dans la dépression, Vladimir Poutine, de plus en plus désespéré, pourrait recourir à la guerre numérique contre des cibles américaines. C’est le scénario décrit par un récent reportage de CBS News. Citant les mêmes responsables du renseignement américain qui ont participé à la rédaction de la missive des Five Eyes, le rapport de CBS avertit que les cyberattaques contre les infrastructures américaines sont de plus en plus probables.

« Nous devons supposer qu’il y aura une brèche », a déclaré Jen Easterly, directrice américaine de la Cybersecurity and Infrastructure Security Agency (CISA), une agence fédérale américaine qui opère sous la supervision du ministère de la Sécurité intérieure. « Il va y avoir un incident ».

Mise en garde n°2 : les agences de renseignement américaines ne sont pas exactement les sources d’information les plus fiables. Les responsables du renseignement ont déjà dit un gros porky quand ils ont récemment averti que la Russie pourrait se préparer à utiliser des agents chimiques en Ukraine. Il s’avère qu’ils n’avaient aucune preuve que la Russie avait apporté des armes chimiques près de l’Ukraine ; ils essayaient simplement de dissuader la Russie d’utiliser les munitions interdites. Cela fait partie intégrante de la guerre de désinformation menée par Washington et l’OTAN contre la Russie, comme l’a récemment admis NBC News :

C’est l’un des nombreux exemples de l’administration Biden qui rompt avec les précédents récents en déployant des renseignements déclassifiés dans le cadre d’une guerre de l’information contre la Russie. L’administration a agi de la sorte même lorsque les renseignements n’étaient pas solides comme le roc, selon les responsables, afin de déstabiliser le président russe Vladimir Poutine.

En d’autres termes, ils ont menti, tout comme ils ont menti au sujet des armes de destruction massive de l’Irak. Comme le note Caitlin Johnstone dans un article pour Consortium News, ils peuvent prétendre avoir menti pour une noble raison, mais ils ont quand même menti : « Ils ont sciemment diffusé des informations qu’ils n’avaient aucune raison de croire vraies, et ce mensonge a été amplifié par tous les médias les plus influents du monde occidental. »

Aujourd’hui, les agences de renseignement non seulement des États-Unis mais aussi de leurs partenaires du Five Eye nous disent qu’une cyberattaque russe contre des infrastructures critiques est pratiquement inévitable. Mais comme je l’ai noté au début de cet article, ce ne sont pas exactement des sources fiables.

Traduction de NakedCapitalism.com par Aube Digitale

Hannah Arendt – Du mensonge en politique