Autour du gouvernement ukrainien, des hackers volontaires et bénévoles s’organisent sur Telegram pour mener des attaques contre la Russie. Une incroyable première ! Mais est-ce que ça marche ?
Ce fut une surprise. Dès les premiers jours du déclenchement de la guerre en Ukraine, le gouvernement ukrainien a mobilisé une armée de hackers volontaires via un tweet. « Nous créons une armée informatique. Nous avons besoin de talents numériques. Toutes les instructions seront données sur Telegram. Il y aura du travail pour tous. Nous continuons à nous battre sur le front cyber. Les premières tâches concernent les spécialistes cyber ». Le message est signé par Mykhaylo Fedorov, le jeune et sémillant vice-Premier ministre et ministre du numérique de l’Ukraine. Nous sommes le 26 février, 2 jours après le début de l’invasion de l’Ukraine par la Russie.
Le groupe Telegram en question est ouvert à tous. Il n’y a aucune procédure de sélection, tout ce que vous avez à faire est de télécharger la messagerie et d'appuyer sur « rejoindre le groupe ». Après, vous obtenez les instructions. En termes de mesures de sécurité, on a connu plus étanche. Mais ça marche. Deux semaines après son lancement, le groupe réunit plus de 300 000 volontaires. On y trouve des appels à mener des attaques DDoS (une attaque qui vise à rendre indisponible un serveur en le saturant de connexions par exemple) d’une trentaine de sites russes, à bloquer les développeurs russes sur la plateforme GitHub, mais certaines tâches sont nettement plus prosaïques. Signaler les chaînes YouTube qui propagent de fausses informations sur la guerre ou encore faire pression sur des entreprises pour qu’elles arrêtent de commercer avec la Russie en commentant leur page Facebook et leurs avis sur Google Maps... Autant d'actions qu'un hackeur même très débutant est capable de mener. Le 4 mars, l’ « IT Army » a d’ailleurs ouvert de nouveaux groupes sur Facebook et Instagram pour faire participer à cette initiative de simples utilisateurs.
Un tournant dans la cyberguerre ?
Cette initiative a suscité l'intérêt des spécialistes de la cybersécurité, essentiellement car elle est sans précédent. « C’est d’après moi le plus grand groupe d'hacktivistes construit à partir de rien, contrôlé qui plus est depuis Telegram, estime Matthew Radolec, chef de la réponse à incident chez Varonis, spécialiste de la protection des données. C’est une sorte de campagne de cybersécurité crowdsourcée. Pour moi c’est un tournant dans la manière dont on envisage la cyberguerre. Il est possible que ce type d’organisation soit repris à l’avenir pour servir d’autres causes. »
Certes, il existe déjà des groupes de hackers volontaires anonymes et disséminés un peu partout dans le monde et qui agissent à des fins politiques – le plus célèbre d'entre eux restant Anonymous, qui s’est d’ailleurs positionné en faveur de l’Ukraine dès le début du conflit. Mais ici, cette armée d'amateurs a été sollicitée par un gouvernement, pour participer à un conflit international, et elle a été rejointe en quelques jours par des centaines de milliers de volontaires.
« Pour un pays confronté à une menace existentielle, il n'est vraiment pas surprenant que ce type d'appel soit lancé et que certains citoyens y répondent », pointe J. Michael Daniel, responsable du groupe industriel Cyber Threat Alliance et ancien coordinateur cyber de la Maison-Blanche pour le président Obama, au magazine Wired. L’appel aurait aussi un objectif de communication : « Une partie de cet exercice consiste à envoyer un signal. Cela signale un niveau d'engagement dans tout le pays ukrainien pour résister aux attaques russes. »
En face, des groupes organisés depuis de nombreuses années
En face, les forces cyber de la Russie sont organisées depuis plusieurs années. « Il y a deux familles de hackers en Russie : les groupes “étatiques” sont directement rattachés au gouvernement. Et puis il y a les groupes cybercriminels comme Conti et Ryuk qui ont des vocations mafieuses avec des objectifs financiers », décrit Yann le Borgne, vice-président Threat Intelligence Engineer de ThreatQuotient. Un rapport de l’OTAN daté de juin 2021 décrit le rôle des différents groupes de hackers « étatiques » (qui ne le sont pas officiellement). Leurs actions dépendent de l’organe de renseignement auquel ils sont rattachés.
Cozy Bear (ou APT29) serait ainsi associé au GRU, le service de renseignement des forces armées russes, et aurait pour but de perturber l’armée ennemie. Les Venomous Bear sont eux liés au FSB, chargé de la sécurité intérieure, et leur objectif va plutôt être d’attaquer des sites gouvernementaux ukrainiens. Les Fancy Bear (aussi appelé APT28) serait associé au SVR, le renseignement extérieur ; ils vont plutôt essayer de pirater des entreprises non-militaires de l'aérospatiale ou de l’énergie pour donner un avantage compétitif à la Russie, explique Matthew Radolec. Ce type d’organisation n’est pas une spécialité de la seule Russie. Il existe des organes similaires aux États-Unis, au Royaume-Uni, en Israël etc., souligne le spécialiste.
Peu avant l’invasion russe, plusieurs sites gouvernementaux ukrainiens ont été victimes de « wipers », des logiciels destructeurs de données. Ces attaques n’ont pas été attribuées, mais il est probable qu’elles viennent de Russie.
En parallèle, la Russie compte aussi des groupes cybercriminels, qui a priori n'officient pas directement pour le gouvernement. Mais le 25 mars, Conti, l’une des plus importantes organisations spécialistes des rançongiciels, s’est positionnée clairement pour le Kremlin avant de modérer ses propos. L’annonce n’a pas été sans conséquence. Quelques jours après la prise de position, Conti a été victime de fuites de données certainement provoquées par un chercheur en cyber ukrainien. Ces gigaoctets de data – qui n’ont pas encore été toutes analysées – permettent d’en savoir plus sur l’organisation du groupe. Il s’agit principalement de conversations internes entre les opérateurs de Conti et leurs affiliés – c'est-à-dire les cybercriminels qui utilisent les ransomwares de l’organisation contre une commission.
Cette affaire a eu pour effet de refroidir d’autres entreprises du cybercrime à prendre position, estime Yann Le Borgne de ThreatQuotient. Lockbit, autre groupe de ransomware, peu après les déclarations délicates de Conti, a souligné son apolitisme. « Ces groupes s’organisent en entreprise du crime cosmopolite, et il est compliqué pour eux de prendre position et de s’éloigner de leur simple motivation financière », ajoute Wandrille Krafft, expert cybersécurité chez Lexfo. Les cybercriminels préfèrent profiter de la situation chaotique pour lancer des attaques opportunistes.
IT Army : du volume mais peu de précision
Que peut l’armée informatique de volontaires du gouvernement ukrainien face à ces différentes menaces ? C'est pour le moment difficile à évaluer. Certes 300 000 personnes ont rejoint le groupe Telegram, mais combien sont réellement actives et efficaces ? Des captures d’écran de certains sites mis hors service sont postées régulièrement sur le groupe Telegram. Mais il reste complexe d’attribuer avec certitude ces attaques au groupe.
« En concept militaire, soit vous choisissez la précision, soit vous faites le plus de dégâts possible sans être forcément très précis. Ici l’armée IT ukrainienne mise clairement sur le volume. Qui peut combattre 300 000 soldats numériques ? Je doute qu’un pays dans le monde ait de tels effectifs », estime Matthew Radolec. Par ailleurs, le fait que le groupe soit constitué d’anonymes disséminés un peu partout les rend plus difficilement attaquables par la Russie, juge le spécialiste.
Mais cette stratégie peu précise peut être dangereuse. Aucun test ni vérification n’est demandé pour participer à cet effort de « cyberguerre ». « Le groupe Telegram peut être très facilement infiltré par le camp opposé, mais aussi par des cybercriminels opportunistes, et je pense qu’ils sont conscients de cela. »
Hackback
Et il n’a pas fallu attendre longtemps avant de voir les premiers problèmes. Le 10 mars, l’entreprise Cisco a rapporté que l’un des logiciels censé provoquer des attaques DDoS partagé sur le Telegram de l’IT Army était en fait un malware capable d’aller chercher certaines données (notamment des informations concernant les portefeuilles de cryptomonnaies) de celui qui le télécharge. Le hacker hacké en quelque sorte. « Dans ce cas-ci, il s’agissait de cybercriminels cherchant à voler des informations financières, mais il aurait tout aussi bien pu s'agir d'un acteur plus sophistiqué parrainé par un État ou d’un groupe de mercenaires travaillant pour le compte d'un État. Nous rappelons aux utilisateurs de se méfier de logiciels dont les origines sont inconnues, en particulier si ces logiciels sont publiés dans des forums de discussion sur Internet », explique Cisco en conclusion de son rapport.
Certains experts en cybersécurité déconseillent d’ailleurs clairement aux jeunes et / ou apprentis hackers de rejoindre l’IT Army. Sur son compte LinkedIn, Clément Domingo, hacker éthique co-fondateur de l’ONG Hackers sans frontières, met en garde les volontaires qui souhaitent aider la résistance ukrainienne sans être assez préparés. « Je crains que beaucoup de personnes ne sachent pas comment se protéger et soient victimes de hackback. Beaucoup sont connectées sur ce groupe Telegram avec leur seul et unique compte principal. Ils s'exposent ainsi à dévoiler leur identité, leur adresse IP et bien d'autres données. Ce n'est absolument pas anodin. Telegram au passage n'est pas chiffré ! »
Charité ou véritable action de guerre ?
Juridiquement, cette armée cyber soulève d'autres questions. Car la pratique est à mi-chemin entre la bonne action et la participation directe à l’effort de guerre. « La légalité d’une telle action me rend perplexe, se questionne Matthew Radolec. Faire des dons à la population ukrainienne, louer un appartement via Airbnb pour des réfugiés ukrainiens, c’est de la charité. Mais participer à une cyberattaque n’est pas sans conséquence. Il y a des lois contre le hacking dans quasiment tous les pays. C’est une initiative qui s’apparente à de la justice sociale. Et il est délicat de mesurer pour le moment les conséquences pour les personnes impliquées dans ce processus. »
il ne faut pas oublier que chaque Etat a son armée de hackers et cette guerre cybernétique n'a pas de vainqueur car tout le monde est vaincu à l'instar des ukrainiens il y a devant des russes qui ont une longueur d'avance et qui peuvent bombarder les satellites de communication dans les orbites qui tournent autour de la terre qui est une autre phase des attaques cybernétiques.