Retour sur un an de reportages, d’enquêtes et de portraits du service Planète de «Libération».

Les «vieilles» technologies ont parfois du bon : mardi 27 juin, si la radio Holos Stolytsy («la voix de la capitale») a pu continuer à émettre, c’est parce qu’on y utilise, dans le studio de direct, une console analogique… «Le serveur est tombé peu après 14 heures, pendant une émission d’histoire, se souvient Alex Skazkin, jeune producteur de cette station généraliste locale de Kiev, en Ukraine. Je suis allé dans le studio, et je leur ai dit de continuer à parler, sans habillage sonore, sans pub, sans flash info. A 15 heures, on a annoncé qu’un virus avait attaqué les ordinateurs. Le temps de s’organiser, on a passé de la musique pendant une heure, avec un lecteur CD qui n’avait pas servi depuis quatre ou cinq ans… Puis on a fait venir des spécialistes, pour expliquer ce qui se passait.»

«Ce qui se passait», c’est que de très nombreuses entreprises et institutions ukrainiennes, dont Holos Stolytsy, avaient été frappées par un logiciel malveillant, un malware. Ce jour-là et les suivants, la rédaction a fonctionné à l’huile de coude : ordinateurs portables personnels, papier, crayons. Quand on rencontre Skazkin le 7 juillet dans les locaux de la rue Vikentiya-Khvoiky, dans le nord-ouest de la ville, la situation est loin d’être rétablie. Il n’y a toujours pas d’accès à la base de données sonores, nombre d’ordinateurs sont encore encalminés et une partie des bureaux désertée pour cause de chômage technique.

A lire aussi Lexique : «malware», «porte dérobée»…

Le 28 juin, en Ukraine, est un jour férié : il marque l’anniversaire de l’adoption de la Constitution, en 1996. C’est la veille, dans la matinée, que le malware s’est propagé à grande vitesse dans le pays, avant d’éclabousser ailleurs – touchant le géant français des matériaux Saint-Gobain, le transporteur maritime danois Maersk, le cabinet d’avocats américain DLA Piper, le pétrolier russe Rosneft, Nivea en Allemagne…

Les éditeurs de solutions de cybersécurité lui ont donné plusieurs noms : «NotPetya» puis «ExPetr» chez le russe Kaspersky, «Nyetya» chez l’américain Cisco, «DiskCoder.C» chez le slovaque Eset. De nombreux médias l’appellent aussi «Petya», du nom d’un «rançongiciel» apparu en mars 2016 dont il s’est inspiré, et avec lequel on l’a confondu dans un premier temps. Sauf que NotPetya est très différent de son prédécesseur. A première vue, lui aussi chiffre (ou «crypte») les données de ses victimes et exige une rançon pour les déverrouiller : en l’espèce, 300 dollars (260 euros) en bitcoins. Mais pour nombre d’experts, ce n’est qu’un leurre.

Redoutable efficacité

Dans les réseaux des entreprises qu’il a touchées, le logiciel malveillant a fait d’énormes dégâts. Suffisamment pour que prenne corps la piste d’une opération de sabotage. Avant que d’autres éléments ne viennent suggérer un scénario à tiroirs : derrière la vague du 27 juin pourrait en effet se cacher une opération bien plus vaste, et de longue haleine.

A lire aussi Cyberattaque : ExPetr, le «rançonneur» qui mentait

Dix jours après l’attaque, dans les locaux de la cyberpolice ukrainienne, le chef d’unité Dmytro Semeniuk, en chemisette estivale, répond aux questions de Libération entre deux mails et trois coups de fil. «Le 27, on a commencé à recevoir des informations sur la propagation du malware aux alentours de 11 heures, raconte-t-il. On a vite compris que c’était une grosse attaque, à la fois contre les autorités gouvernementales et les entreprises privées.» L’impact est rapidement visible. Des banques et des magasins ferment, le métro de Kiev ne peut plus accepter les paiements par carte bancaire, les bureaux de Poste ne fonctionnent pas. A l’aéroport de Boryspil, les panneaux d’affichage des vols sont en carafe. Des chaînes de télévision cessent d’émettre. Le site web du gouvernement est inaccessible.

Au fil de la journée, les noms des entités affectées s’accumulent : la banque publique Oschadbank, les opérateurs de télécommunications LifeCell et UkrTelecom, les hypermarchés Auchan du pays…

Touchée, la compagnie nationale d’énergie Ukrenergo assure que la distribution d’électricité n’est pas affectée. En fin d’après-midi, une porte-parole des autorités annonce que les ordinateurs de la centrale nucléaire à l’arrêt de Tchernobyl, qui gèrent la mesure de la radioactivité sur le site, ont eux aussi été infectés, et que les relevés se font en mode manuel avec des compteurs Geiger. «On n’avait jamais vu ça, souligne Oleksiy Denysenko, ancien de la chaîne d’info privée Espreso.tv reconverti dans l’événementiel. Les gens ne paniquaient pas, mais ça faisait vraiment bizarre.»

Nombre d’entreprises mettront des jours à se remettre d’aplomb. Le lundi 3 juillet, rapporte Associated Press, la situation est de nouveau normale à Oschadbank, mais à l’aéroport de Boryspil un tiers des ordinateurs ne sont toujours pas fonctionnels. En milieu de semaine, «la plupart des victimes ont à peu près récupéré, mais certaines y travaillent encore, nous indique Sergey Prokopenko, directeur de CyberLab, une société privée de criminalistique informatique. La Banque nationale ne peut toujours pas faire toutes les opérations». Hors d’Ukraine, les séquelles de NotPetya se font encore sentir, trois semaines après l’attaque, chez le danois Maersk ou l’américain FedEx, indique la BBC le 18 juillet.

Le 27 juin, les outils de télémétrie de Microsoft avaient détecté dans le pays «plus de 12 500 machines» touchées par le logiciel malveillant. Evaluer précisément les dommages n’est pas simple. Côté public, il faut s’adresser au Service d’Etat des communications spéciales et de la protection de l’information (DSSZZI), chargé de sécuriser les données et les communications du gouvernement.

A l’origine, il s’agissait d’un département du Service de sécurité d’Ukraine, le SBU. Autonome depuis 2006, il occupe rue Solomyanska, dans le sud-ouest de Kiev, un grand bâtiment moderne. Son président, Leonid Yevdochenko, nous reçoit dans une salle de réunion sans âme et se montre plutôt laconique… Aucune des ressources étatiques incluses dans la «ligne de cyberdéfense» établie par son service n’a été affectée par NotPetya, assure-t-il. Les dommages ne concernent selon lui que les 15 à 20 % d’institutions publiques – ministères, administrations, entreprises d’Etat… – qui «n’appartiennent pas à ce périmètre de protection».

Tout de même, NotPetya s’est manifestement propagé jusqu’au secrétariat du gouvernement, comme en atteste une photo tweetée par le vice-Premier ministre Pavlo Rozenko. Et la ministre de la Santé, Ulana Suprun, expliquait le 28 juin à la BBC que ses services étaient revenus «au crayon et au papier»…

Côté secteur privé, c’est encore plus compliqué. Quelque 1 500 plaintes ont été enregistrées par la cyberpolice, indique Dmytro Semeniuk – un chiffre qu’il juge très partiel : «Une grosse partie des entreprises ne veulent pas nous informer, elles essaient de garder ça pour elles.» Notamment, lâche-t-il, pour ne pas avoir à remettre certaines données dans les mains des autorités… «L’Ukraine elle-même ne connaît pas l’ampleur de l’attaque, souligne de son côté Victor Zohra, le patron d’InfoSafe, une société de conseil en cybersécurité. J’ai entendu parler de 30 000 postes infectés, mais je pense qu’on est loin de la réalité.»

Le 17 juillet, le DSSZZI a transmis à Libération de nouveaux éléments. D’après ses estimations, 18 % des entreprises de l’énergie, 30 % du secteur bancaire, «70 à 80 % des ordinateurs dans le secteur des grandes entreprises» commerciales et, au total, «plus de 30 % des systèmes informatiques du pays» ont été affectés. Si, pour le reste du monde, l’ampleur de la vague NotPetya est apparue bien moindre que celle du rançongiciel WannaCry – qui avait fait le 12 mai, selon le bilan d’Europol, «200 000 victimes» dans 150 pays –, pour l’Ukraine, c’est tout l’inverse. Et les dégâts, dans les réseaux touchés, ont été bien plus profonds.

A lire aussi Cyberattaques, infection générale

Or, il est vite apparu que, du rançongiciel, NotPetya n’avait que la façade. Les extorqueurs n’avaient prévu, pour communiquer avec leurs victimes, qu’une adresse mail chez un fournisseur allemand qui, dès le mardi midi, l’avait désactivée. Incompétence ? Plutôt écran de fumée… Le malware se donne la peine de verrouiller à double tour les machines qu’il attaque : il chiffre dans un premier temps les fichiers présents sur le disque dur, puis la «table de fichiers principale», le catalogue de tous les fichiers stockés. Mais il empêche, par ailleurs, tout retour en arrière. Ainsi l’identifiant qu’il attribue à une machine infectée, et qui devrait contenir des informations permettant un déblocage ultérieur, est-il généré de manière purement aléatoire, tandis que la clé utilisée pour chiffrer la table de fichiers principale est, en bout de course, détruite, rendant cette dernière irrécupérable. Autrement dit : les prétendus rançonneurs n’ont jamais été en capacité de déverrouiller les données.

Difficile de n’y voir que des erreurs de programmation quand, a contrario, les mécanismes de propagation du logiciel malveillant sont, eux, d’une redoutable efficacité. A la différence de WannaCry, qui «scanne» l’Internet à la recherche de machines vulnérables, NotPetya ne se diffuse qu’au sein des réseaux locaux, mais sa «boîte à outils» est plus étendue. Quand le premier a visiblement pour objectif de se répandre le plus largement possible, le second paraît conçu pour causer le maximum de dommages chez ses cibles.

NotPetya embarque notamment deux outils développés par la NSA, la puissante agence de renseignement américaine, pour exploiter des failles (corrigées depuis) dans le système d’exploitation Windows de Microsoft, et divulgués en avril par un mystérieux groupe de pirates informatiques, les Shadow Brokers. Surtout, le malware utilise des outils d’extraction de mots de passe et d’administration à distance qui le rendent difficile à détecter : «Les commandes à distance apparaissent comme une activité normale de l’administrateur système, et les antivirus ne les voient pas», explique Vlad Styran, le «directeur des opérations» de Berezha Security, une petite entreprise de Kiev qui pratique des audits de sécurité à base de tests d’intrusion informatique.

A lire aussi La NSA dans le viseur des «Shadow Brokers»

Entre le mercredi 28 juin au soir et le jeudi matin, tant le Français Matt Suiche, fondateur de la start-up émiratie Comae Technologies, que les chercheurs de Cisco Talos – qui travaillent avec les autorités ukrainiennes –, l’équipe de Kaspersky ou encore celle de Symantec étaient parvenus à la même conclusion : NotPetya ne visait manifestement pas à permettre à ses concepteurs de gagner de l’argent, mais à détruire les réseaux qu’il infectait.

Et s’il a d’abord et surtout frappé l’Ukraine, ce n’est pas un hasard. A ce jour, le seul vecteur d’infection initiale sur lequel tout le monde s’accorde est un logiciel de comptabilité et de fiscalité ukrainien, M.E.Doc. C’est une mise à jour de ce dernier, modifiée par les attaquants, qui a servi de rampe de lancement au malware. Si NotPetya s’est propagé ailleurs, c’est par capillarité, via les réseaux d’entreprise. Ainsi, selon nos informations, les sociétés françaises touchées par le virus – une dizaine environ – étaient toutes en lien avec l’Ukraine.

Passoire

Pour qui voudrait causer des dommages à l’économie du pays, M.E.Doc était une aubaine. «C’est un logiciel très populaire, quasiment toutes les grandes entreprises l’utilisent pour leurs déclarations électroniques», souligne Glib Paharenko, expert indépendant en cybersécurité. Notamment depuis que le principal concurrent, 1C, figure – à l’instar du réseau social VKontakte ou du moteur de recherche Yandex – dans la liste des produits, services et sites web russes bannis d’Ukraine à la mi-mai par un décret présidentiel. «Or M.E.Doc était mal protégé», poursuit Paharenko. Des intrus se sont procuré les identifiants d’un responsable informatique, puis ont pu agir d’autant plus aisément que les règles les plus élémentaires n’étaient pas respectées… «La connexion au serveur de mise à jour n’était même pas sécurisée !» soupire Vlad Styran, de Berezha Security. En résumé, M.E.Doc, massivement utilisé, était une passoire. Un client idéal pour ce que les experts nomment une «supply-chain attack» : une «attaque par la chaîne d’approvisionnement».

A lire aussi Kiev ne veut plus voir du russe partout

«Pourquoi attaquer une seule entreprise, même si c’est Ukrenergo, quand on peut attaquer le fournisseur et tous ses clients simultanément ?» lance Nikolay Koval. Le 8 juillet, on a retrouvé ce grand jeune homme de 29 ans devant un cinéma kiévien qui, dérussification oblige, ne s’appelle plus le Leningrad mais le Dnipro. Entre 2010 et 2015, Koval a officié au Centre d’alerte et de réponse aux attaques informatiques du gouvernement ukrainien, le Cert-UA. Il en est parti pour créer Cys-Centrum, une entreprise spécialisée dans la détection et l’analyse des cybermenaces, qui compte pour l’heure une dizaine de clients, principalement dans la banque et la finance. Sur le cas M.E.Doc, Koval est intarissable… et très en colère. Il a quelques raisons de l’être. «Un mois et demi avant l’attaque, je leur ai écrit pour les avertir qu’un des processus de M.E.Doc générait un programme malveillant, et qu’il fallait enquêter, raconte-t-il. Ils m’ont juste répondu qu’ils ne voyaient rien d’étrange dans leur réseau.»

Le 18 mai, quand l’attention était encore largement focalisée sur les suites de WannaCry, un rançongiciel nommé XData a en effet commencé à se répandre en Ukraine. Via une mise à jour de M.E.Doc ? C’est ce que suspecte alors Nikolay Koval, et il n’est pas le seul. L’éditeur d’antivirus slovaque Eset évoque lui aussi la piste d’«un système de gestion de documents ukrainien, largement utilisé pour la comptabilité».

Circulez, y a rien à voir, répond en substance le créateur de M.E.Doc, l’entreprise Intellect Service. Un communiqué de l’époque mentionne bien que XData est apparu «quand les comptables d’Ukraine ont installé la dernière mise à jour», mais conclut à une «coïncidence»… Un mois et demi plus tard, la société niera, de la même manière, que son logiciel ait servi de canal de distribution à NotPetya. Avant de devoir l’admettre publiquement, quelques jours après l’attaque.

Hors d’Ukraine, l’épisode XData est largement passé sous les radars médiatiques. Il s’est par ailleurs clos sur un étrange épilogue : l’apparition, sur le forum du site spécialisé BleepingComputer, d’une clé permettant de déchiffrer les fichiers verrouillés par le rançongiciel. «A mon avis, c’était intentionnel, pour que l’incident ne soit pas pris au sérieux, avance Koval. Cette fois-là, les attaquants ont fait un test. Ils ont vu que c’était efficace. Et plus tard, en juin, ils ont lancé une attaque plus globale.»

De fait, entre XData à la mi-mai et NotPetya fin juin, on trouve plus d’un point commun. Vraisemblablement le même vecteur d’infection, le logiciel d’Intellect Service. Mais aussi les mêmes techniques de propagation dans les réseaux, des outils d’extraction de mots de passe et d’administration à distance. Dmytro Semeniuk, le chef d’unité de la cyberpolice, a de son côté repéré suffisamment de «bouts de code» et de motifs similaires entre les deux malwares pour se dire «sûr à 99 %» qu’il s’agit du même groupe à la manœuvre.

Un groupe qui pourrait avoir à son actif bien plus que ces deux vagues de prétendus rançongiciels. Le 4 juillet, Eset a révélé que la compromission du réseau d’Intellect Service remontait, a minima, au 14 avril. Et qu’au moins trois mises à jour de M.E.Doc avaient embarqué une «porte dérobée», une backdoor, c’est-à-dire un accès secret aux machines infectées. L’équipe de Talos est parvenue aux mêmes conclusions.

Or, cette backdoor n’a sans doute pas servi qu’à propulser XData et NotPetya. Elle permettait en effet à ceux qui s’étaient ménagé cet accès de récupérer des informations : des identifiants et des mots de passe de boîtes mail, ou encore le code d’inscription au registre d’Etat des organisations, dit «Edrpou» – l’équivalent du numéro Siret français. «J’ai bien peur que les attaquants aient la carte de toute l’économie ukrainienne», s’inquiète le consultant Victor Zohra.

Puzzle

L’utilisation du logiciel fiscal comme tête de pont pourrait même dater d’avant le printemps… Alors que son équipe planche sur les serveurs d’Intellect Service – saisis le mardi 4 juillet lors d’une perquisition pour le moins martiale, afin d’empêcher, selon les autorités, la publication d’une nouvelle mise à jour malveillante – Dmytro Semeniuk glisse que l’intrusion pourrait remonter «à janvier, voire à décembre».

A mesure que progressent les investigations, chaque nouvel élément soulève d’autres questions. A quoi rimait NotPetya ? A Kiev, les théories s’accumulent, et se conjuguent. «Il peut y avoir plusieurs objectifs : atteindre l’économie, instiller dans l’esprit des Ukrainiens l’idée qu’ils ne sont pas protégés dans le cyberespace, envoyer un message au Président», énumère Victor Zohra. Au-delà, plusieurs de nos interlocuteurs identifient dans l’irruption du malware une phase de «nettoyage» visant à effacer les traces d’une discrète activité antérieure. Non pas un événement isolé, donc, mais un point d’aboutissement. L’entreprise de cybersécurité ukrainienne Information Systems Security Partners (ISSP) estime que l’opération pourrait très bien combiner ces différents motifs. Et rares sont ceux qui ne voient pas un symbole dans la date de l’attaque, la veille du jour de la Constitution.

Jusqu’où le groupe qui a compromis le logiciel comptable a-t-il pu faire usage de sa «porte dérobée» ? Et pourquoi y a-t-il renoncé ? «Imaginez le niveau d’accès que pouvaient avoir les attaquants via les serveurs de M.E.Doc, souligne Nikolay Koval. Pourquoi le dévoiler ainsi, à travers un acte de destruction ?» Parce qu’ils n’en avaient plus besoin ? C’est l’hypothèse des chercheurs de Cisco Talos, pour qui il est «peu probable» que les intrus aient dilapidé leur point d’entrée sans être certains de pouvoir se ménager une «capacité [d’accès] similaire» chez les cibles auxquelles «ils assignent une priorité haute»…

Autant qu’une attaque, NotPetya est un puzzle. Chez ISSP, on ne comprend pas encore pourquoi, dans certains réseaux locaux infectés, un petit nombre de machines s’en sont sorties indemnes. «Cela peut vouloir dire que le malware a "décidé" de ne pas les chiffrer, avance Oleksii Yasinskyi, qui dirige l’unité de recherche de l’entreprise. Or depuis que M.E.Doc a été compromis, l’attaquant a eu la possibilité de faire tout ce qu’il voulait : exfiltrer des données, déployer des "agents dormants"…»

«Dans certaines organisations, le réseau a été pénétré plus profondément, assure de son côté Nikolay Koval. Les attaquants y ont déployé un autre logiciel malveillant.» Et deux jours après l’attaque, chez Berezha Security, Vlad Styran a reçu des informations de la part d’entreprises sensibles : «Leurs bases de données, leurs équipements réseau ont été visés pendant que tout le monde s’occupait des machines bloquées par NotPetya». Opportunisme d’un autre acteur, ou étage supplémentaire à la fusée ?

Une chose est sûre : de l’avis général, l’affaire a été très bien planifiée. A tel point que les connaisseurs ne cachent pas une forme d’admiration… «Le code du malware est mal fichu, mais le niveau de préparation et d’exécution est vraiment bon», glisse Vlad Styran. Reste à savoir qui a agi. Dans ce pays où tout est lu à l’aune de l’annexion de la Crimée et de la guerre du Donbass, le Kremlin a immédiatement fait figure de coupable tout désigné pour les autorités ukrainiennes. Dès le 27 juin, le chef du Conseil de défense et de sécurité pointait déjà du doigt la «piste russe». Le FBI et son homologue britannique, la National Crime Agency, ont été mis dans la boucle. Le 1er juillet, le SBU a conclu, sans précautions oratoires, à «l’implication des services spéciaux de la Fédération de Russie».

Piste étatique

Chez le puissant voisin, de grandes entreprises ont pourtant annoncé avoir été touchées par NotPetya, et pas des moindres : le pétrolier Rosneft, le gazier Gasprom, le sidérurgiste Evraz… Pour Victor Zohra, cela ne suffit pas à blanchir le suspect numéro 1 : «Il est probable que les attaquants n’ont pas contrôlé la propagation. Ça pourrait expliquer l’infection dans d’autres pays.» A moins qu’il ne se soit agi, comme le pensent les analystes de Talos, de cibler aussi les entreprises en relation commerciale avec l’Ukraine. En tout état de cause, à Kiev, les informations venues des médias russes sont reçues avec une suspicion maximale.

«Il y a une guerre de l’information en Ukraine, avertit l’expert indépendant Glib Paharenko. De ce côté-ci, tout est de la faute de la Russie, mais je n’ai vu aucune preuve que Poutine était derrière cette attaque.» Pour lui, la piste étatique ne va pas de soi. Notamment parce que le code de NotPetya recycle plus qu’il n’invente : «C’est surtout de l’assemblage. Même pour un groupe cybercriminel, ce ne serait pas hors de portée.» Et tout le monde en a conscience, les attaquants ont surtout tiré profit de la négligence de M.E.Doc et de pratiques de sécurité insuffisantes dans les entreprises. Avec des réseaux mieux segmentés et mieux protégés, les dommages causés par le logiciel malveillant auraient été bien moindres.

Reste que, pour beaucoup, ni la planification ni les motifs plausibles n’orientent vers un acteur criminel classique. «Tous les jours, je vois des petits groupes essayer de voler des données de journalistes ou de membres du gouvernement, explique le "cyberflic" Dmytro Semeniuk. Souvent, c’est du "hameçonnage" par mail, des tentatives pour "casser" des mots de passe… Là, on parle d’autre chose. Je ne dis pas que c’est la Russie, je ne dis pas que ce n’est pas la Russie ; tout ce que je dis, c’est que c’est une attaque longue, et complexe. Mais pour le moment, je n’ai pas les noms des auteurs.»

Pas de noms, mais tout de même une piste. Elle s’appelle TeleBots : un groupe de pirates informatiques qui s’est fait remarquer, dans la seconde moitié de l’année 2016, en ciblant des institutions financières ukrainiennes. Son mode opératoire présente bien des similitudes avec celui des attaquants du 27 juin 2017 : des «portes dérobées» utilisant des moyens de communication avec les machines infectées particulièrement difficiles à détecter, ou encore l’usage de rançongiciels dont l’intention crapuleuse était, déjà, sujette à caution – quand il ne détruisait pas purement et simplement les données.

Et TeleBots a, lui aussi, pratiqué une forme d’«attaque par la chaîne d’approvisionnement». En tout début d’année, Cys-Centrum a «enquêté sur un piratage similaire, chez un éditeur de logiciel ukrainien qui n’a rien à voir avec M.E.Doc, raconte Nikolay Koval. L’intrusion a eu lieu en janvier et la phase de sabotage à la mi-mars.» Les outils utilisés étaient ceux de TeleBots. Les attaquants n’ont pas altéré des mises à jour logicielles, mais ont tenté de prendre pied, depuis le réseau du fournisseur, dans ceux d’établissements financiers.

Est-ce TeleBots qui se cache derrière NotPetya ? C’est ce que pensent les chercheurs d’Eset : d’après eux, il est en effet probable qu’une «porte dérobée» signée TeleBots ait transité, plus tard, via l’une des mises à jour malveillantes de M.E.Doc…

Matriochka supplémentaire : toujours selon Eset, TeleBots aurait un lien avec un autre groupe, qui a agi ces dernières années dans plusieurs pays à l’aide d’un logiciel malveillant nommé BlackEnergy. Celui-là s’en est pris, en Ukraine, notamment à des médias, à la compagnie nationale de transport ferroviaire et à plusieurs entreprises d’électricité. Fin 2015, juste avant Noël, il a privé de courant pendant plusieurs heures la moitié des foyers de la région d’Ivano-Frankivsk, dans l’ouest du pays. Chez Kaspersky aussi, on a repéré des similitudes entre le code de BlackEnergy et celui de NotPetya. Pas assez pour établir un lien ferme, mais suffisamment pour encourager les chercheurs en cybersécurité à creuser la piste.

Dans ces matières, les copycats (des imitateurs) ne sont jamais à exclure, loin s’en faut. Mais pour Nikolay Koval, la connexion BlackEnergy-TeleBots-NotPetya a du sens : «Il y a un groupe qui, depuis trois ans, attaque l’Ukraine. Bien sûr qu’ils changent leurs instruments, pour ne pas être repérés. Pour moi, les piratages des entreprises de l’énergie, du système financier, et ceux de cette année contre des fournisseurs de logiciels ont été organisés par le même groupe.» Dmytro Semeniuk, lui, est moins certain du lien entre BlackEnergy et NotPetya.

Mais ce qui ne fait aucun doute, c’est que l’Ukraine est devenue un terrain d’élection pour des cyberattaques planifiées, dont la courbe épouse celle des tensions politiques. Pendant la campagne présidentielle de mai 2014, un groupe de pirates informatiques prorusses nommé CyberBerkut avait ciblé la Commission centrale électorale, publiant sur le site web de cette dernière, quelques minutes avant la fermeture des bureaux de vote, la fausse annonce d’une victoire de Dmytro Iaroch, le leader de l’organisation d’ultradroite Pravyi Sektor (qui a recueilli 0,70 % des voix).

Koval était alors à la tête du Cert-UA, le centre de réponse aux cyberattaques du gouvernement ukrainien. Dans le réseau de la commission, son équipe a aussi trouvé les traces d’un acteur devenu depuis mondialement célèbre : APT28, alias Fancy Bear. Soit le groupe que les autorités américaines ont accusé, en 2016, d’avoir piraté et fait «fuiter» les mails du Parti démocrate pour le compte des services de renseignement russes (lire encadré).

A lire aussi Fancy Bear, l'espion qui aimait les élections

Depuis 2014, tant des ministères que des banques, des industries, des médias ont essuyé nombre d’attaques informatiques. Un an après Ivano-Frankivsk, certains quartiers de Kiev ont subi, en décembre 2016, une coupure de courant. L’affaire n’a duré qu’une heure, mais elle est plus préoccupante encore. Car cette fois, le principal suspect n’est pas un logiciel malveillant à tout faire – espionner, contrôler, détruire – comme l’est BlackEnergy, mais un programme spécifiquement conçu pour commander à distance les interrupteurs et les disjoncteurs qui équipent les stations de distribution d’électricité. Autrement dit, un outil taillé pour les systèmes de contrôle industriels. C’est le scénario catastrophe, celui qui plane depuis la découverte en 2010 de Stuxnet, le virus utilisé contre des centrifugeuses iraniennes d’enrichissement d’uranium, et attribué à la NSA et aux services secrets israéliens.

Plusieurs experts voient dans ces deux blackouts des tests en conditions réelles. Et d’après l’entreprise américaine Dragos, qui fait état de «sources confidentielles», le groupe qui s’est manifesté à Kiev à l’hiver 2016 aurait des «liens directs» avec celui qui a agi un an plus tôt.

Sans surprise, les autorités américaines ont classé BlackEnergy dans leur (vaste) liste des «pseudopodes» des services secrets russes. Mais pour l’heure, les informations publiquement disponibles ne permettent d’établir que des corrélations. Les cyberattaques les plus sérieuses ayant visé l’Ukraine ces trois dernières années semblent motivées par des enjeux avant tout politiques. Leur degré de préparation exclut l’amateurisme et le pur opportunisme. Le groupe qui se cache derrière BlackEnergy a tiré parti, au moins une fois, d’une faille informatique jusqu’alors inconnue, dite «zero-day» («jour zéro»). Le genre d’instrument qu’on trouve dans la panoplie d’acteurs possédant des moyens techniques, humains et / ou financiers conséquents.

Laboratoire à ciel ouvert

Quel que soit le nombre de groupes de pirates informatiques à la manœuvre, et les relations éventuelles entre eux, dans bien des cas le lien avec un Etat – organique ou financier – apparaît comme l’hypothèse la plus logique. Les opérations épousent les objectifs stratégiques du Kremlin. Moscou, évidemment, nie toute implication.

A lire aussi Avant l’Ukraine, l’Estonie et la Géorgie



Aux yeux de nombre d’acteurs de la cybersécurité, en Ukraine et au-delà, le pays est devenu le terrain de jeu, et le laboratoire à ciel ouvert, d’une cyberguerre de basse intensité qui ne dit pas son nom. Dans ce vaste puzzle, NotPetya est une pièce de plus. Moins dangereuse qu’une coupure de courant en plein hiver, mais lourde de conséquences pour les nombreuses entreprises affectées. Sans compter que personne ne connaît l’ampleur de ce qui a pu transiter par la «porte dérobée» ménagée dans le logiciel comptable M.E.Doc.

«Au bout du compte, c’est du sabotage et de la destruction, résume Nikolay Koval. C’est un moyen d’affecter le pays. C’est peut-être une forme de persuasion silencieuse.» Et peut-être un test, là aussi. Les chercheurs du Centre d’excellence de cyberdéfense coopérative de l’Otan, établi à Tallinn, en Estonie (lire encadré), y voient en tout cas la marque d’un «acteur étatique ou […] non-étatique avec le soutien ou l’approbation d’un Etat». Ailleurs aussi, l’option tient la corde. «Il n’y a aucune autre hypothèse que l’étatique, confie, à Paris, un haut fonctionnaire français. C’est trop grave pour être une mascarade et faire accuser quelqu’un.»

A lire aussi La France muscle sa cyberdéfense



Dix jours après le passage de NotPetya, la vie avait repris son cours dans la capitale ukrainienne. «Les gens font des blagues sur le virus, note dans un demi-sourire Oleksiy Denysenko, l’ancien d’Espreso.tv. On a tellement d’autres problèmes en dehors des cyberattaques…» Les spécialistes rencontrés, eux, croisent les doigts pour que l’événement serve de coup de semonce, et pour qu’un projet de loi sur la cybersécurité, encalminé au Parlement, soit enfin adopté. Certains ont le nez sur le calendrier : le 24 août, c’est jour de fête nationale, l’anniversaire de la proclamation de l’indépendance du pays, en 1991. Le genre de journée où, par les temps qui courent, dans le cyberespace aussi, on serre les dents.

illustration Sandrine Martin