Les champs de bataille invisibles de la guerre russo-ukrainienne

Tôt le matin du 24 février, le Dr Jeffrey Lewis, professeur au Middlebury Institute of International Studies de Californie, a observé l’invasion de l’Ukraine par la Russie se dérouler en temps réel avec des mouvements de troupes superposés sur des images satellite à haute résolution. Il ne s’agissait pas d’informations privilégiées – n’importe qui disposant d’une connexion Internet pouvait y accéder, s’il savait où chercher. Il regardait lentement un embouteillage sur Google Maps vers et à travers la frontière russo-ukrainienne.

Alors qu’il regardait l’invasion commencer avec le reste du monde, une autre facette moins visible de la guerre naissante commençait à se dérouler sur un champ de bataille en ligne mal défini. L’espionnage numérique, les médias sociaux et la surveillance en ligne sont devenus des instruments indispensables dans la boîte à outils d’une armée moderne, et les deux parties au conflit ont utilisé ces outils. Combiné avec un accès civil à l’information comme le monde n’en a jamais vu auparavant, cela promet d’être une guerre pas comme les autres.

Cyberguerre moderne

Les sites Web ont été les premières victimes de la composante en ligne de la guerre. Il y a deux semaines, avant que l’invasion ne commence en masse, des agents de cyberguerre russes ont lancé des attaques par déni de service distribué (DDoS) contre le gouvernement ukrainien et des sites Web financiers. Des attaques ultérieures ont temporairement bloqué les sites Web des services de sécurité ukrainiens, du ministère des Affaires étrangères et du gouvernement. Une attaque DDoS est un moyen relativement simple de mettre rapidement un serveur hors ligne. Un réseau d’appareils connectés à Internet, appartenant à l’agresseur ou infectés par des logiciels malveillants, inonde une cible de requêtes, comme si des millions d’utilisateurs appuyaient sur « Actualiser » sur le même site Web en même temps, à plusieurs reprises. L’objectif est de submerger le serveur de sorte qu’il ne puisse pas suivre et cesse de répondre aux demandes légitimes, comme un utilisateur essayant d’accéder à un site Web. La Russie a nié toute implication dans les attentats, mais les services de renseignement américains et britanniques ont des preuves qui, selon eux, impliquent Moscou.

Tweet de Fedorov présentant l’IT Army

Les attaques DDoS semblent être l’outil de choix pour les deux parties, car plusieurs sites russes, y compris les sites Web du Kremlin et de l’armée russe, ont été mis hors ligne par une série de contre-attaques similaires la semaine dernière. Il n’est pas immédiatement clair si ces attaques provenaient directement du gouvernement ukrainien ou d’un tiers sympathisant avec leur cause. Afin de recruter ceux qui contribueraient à ces efforts, le gouvernement a lancé des appels à des experts en cybersécurité pour aider à défendre le territoire numérique de leur pays et lancer des contre-attaques offensives contre la Russie. Le premier de ces appels, assez étrangement, est venu sous la forme d’un message sur le forum de Yegor Aouchev, le copropriétaire d’une entreprise de cybersécurité basée à Kiev, qui aurait posté au nom du ministère de la Défense. Plus tard, le gouvernement a lancé ce que le vice-premier ministre et ministre de la transformation numérique Mykhailo Fedorov désignée dans un tweet comme «l’armée informatique» du pays. Ce groupe, qui est organisé via une chaîne Telegram, a reçu des listes de sites Web et de services russes à cibler pour les membres.

Le collectif indépendant de cybersécurité connu sous le nom de Anonymous a également décidé de se tenir aux côtés de l’Ukraine contre la Russie. Ils se sont déjà attribués le mérite de diverses attaques, notamment le remplacement de la propagande sur une station d’information russe, la suppression de sites Web du gouvernement et des médias russes et la fuite d’une base de données du ministère du Développement économique de la Russie.

Les agences gouvernementales et les banques ukrainiennes ont également été ciblées par des logiciels malveillants, en particulier un virus conçu pour effacer les données des disques durs. Le code malveillant a été identifié par les sociétés de sécurité Symantec et ESET un jour avant le début de l’invasion, et Microsoft en a eu vent plusieurs heures plus tard. Après trois heures supplémentaires, le logiciel Defender de Microsoft avait été corrigé pour rechercher et bloquer le package. Bien qu’il n’y ait pas de données concrètes reliant le programme à la Russie, on pense généralement qu’elles en sont la source. L’attaque vient apparemment sans motivation financière de programmes malveillants similaires tels que les ransomwares. Lorsqu’un ordinateur est infecté par un ransomware, l’utilisateur est généralement accueilli par un message qui dit quelque chose comme « Envoyez-nous de l’argent ou toutes vos données seront supprimées ». Ce virus saute l’étape intermédiaire et supprime simplement les données, ce qui implique qu’il a été créé uniquement pour désactiver les agences infectées et semer la confusion. Pour atteindre cet objectif, il semble que des leurres de ransomware aient également été déployés, soit pour détourner l’attention du virus d’effacement des données, soit pour couvrir ses traces afin qu’il puisse rester non détecté plus longtemps.

Lorsqu’on se dresse contre ce qui se passe sur le terrain en Ukraine, tout cela semble relativement bénin – qui se soucie qu’un site Web soit en panne alors que des gens meurent ? En temps de crise, qu’il s’agisse d’une guerre ou d’une catastrophe naturelle, l’une des tâches les plus difficiles et donc les plus importantes pour un gouvernement est de fournir à ses citoyens des informations potentiellement vitales. Paralyser la capacité d’un gouvernement à diffuser de telles informations peut, au mieux, accroître la confusion et la propagation de la désinformation, et au pire, entraîner la mort d’innocents. En 2015, le réseau électrique ukrainien a été notoirement compromis à distance par la Direction principale du renseignement russe (GRU) dans le but de semer l’agitation et la peur, laissant environ 230 000 personnes sans électricité.

Surveillance et médias (sociaux)

Alors que la cyberguerre qui fait rage dans les coulisses a été largement invisible, le reste de la guerre est tout sauf cela. Il est révolu le temps où ceux qui vivent à travers le monde d’un conflit actif reçoivent leur dose quotidienne de nouvelles des lignes de front chaque soir à 19 heures – les médias sociaux signifient que nous sommes constamment connectés à un flux d’informations en temps quasi réel, bien que séparant réalité de la fiction peut s’avérer difficile.

Prenez, par exemple, le « Ghost of Kyiv » – un pilote ukrainien mythique qui aurait déjà abattu six chasseurs russes à lui seul. Bien qu’il n’y ait aucune preuve qu’un tel pilote existe (ou n’existe pas, d’ailleurs), une vidéo populaire du pilote abattant un autre avion s’est avérée fausse – c’est en fait une séquence du jeu vidéo Dynamic Combat Simulator qui a été prise hors contexte et sensationnaliste sur Twitter, Facebook et Reddit.

De plus, il y a eu de nombreux cas de désinformation délibérée à Moscou. Le gouvernement russe a été extrêmement sélectif pour déterminer quelles informations ses citoyens peuvent consommer et comment ils peuvent y accéder. Les médias russes ont reçu pour instruction de ne rendre compte que des informations diffusées par des sources gouvernementales officielles, et le gouvernement a un accès limité à Facebook. Les stations d’information russes ont pris grand soin de décrire la guerre (qui est un mot interdit en soi) comme une opération militaire mineure – bien que tous les médias russes n’aient pas capitulé devant les exigences du gouvernement. Les géants de la technologie ont également subi des pressions pour réprimer la désinformation et la propagande, notamment le vice-Premier ministre Fedorov. Il a fait appel à des services de streaming, notamment Netflix et YouTube, pour bloquer la propagande russe, et à d’autres services tels que PayPal et Google pour désactiver l’accès en Russie. La semaine dernière, YouTube a désactivé la monétisation des chaînes russes.

La demande de Fedorov à Musk pour le service Starink

Fedorov a également contacté Elon Musk sur Twitter, demandant des bornes Internet Starlink. Musk a répondu en activant le service Internet par satellite de Starlink en Ukraine et en expédiant un camion de terminaux, qui est arrivé il y a quelques jours. On ne sait pas comment Fedorov prévoit de déployer les terminaux, mais il est probable qu’ils seront utilisés pour connecter des zones difficiles d’accès ou pour rétablir la connectivité dans des zones dont l’infrastructure est compromise.

Comme vous vous en doutez peut-être, même l’utilisation des médias sociaux la plus bien intentionnée peut s’avérer problématique en temps de guerre. Les utilisateurs de Twitter se sont mutuellement mis en garde contre le fait de montrer leur soutien en publiant des photos des défenses ukrainiennes en ligne pour éviter de fournir aux services de renseignement russes des informations sur les mouvements de troupes ou d’autres actions militaires.

L’avancée de l’armée russe vue comme un embouteillage (image du compte Twitter du Dr Lewis)

Même le simple fait de transporter un smartphone peut causer des problèmes – les services de géolocalisation permettent de suivre les téléphones, et pas seulement par un expert en cybersécurité qui a pénétré dans le service « Find My iPhone » d’Apple.

Un excellent exemple ici est l’embouteillage que le Dr Lewis a observé le 24. Cela a probablement été causé par des civils coincés derrière des barrages routiers alors que l’armée avançait. De même, les grands rassemblements tels que les manifestations ou les réunions dans les lieux publics pourraient être enregistrés et affichés sur Google Maps (via la fonction « Informations sur l’activité en direct ») et d’autres services. Pour résoudre ce problème et protéger ses utilisateurs, Google a temporairement désactivé les données de trafic en direct en Ukraine. Même dans ce cas, il peut être prudent pour les utilisateurs de réfléchir aux types de données enregistrées par leurs appareils et à l’endroit où ces données sont envoyées.

Regarder vers l’avant

Même si cette invasion n’a que quelques jours, elle semble avoir déjà créé un nouveau précédent dans la manière dont les guerres hybrides sont menées, une perspective très inquiétante. Pour beaucoup d’entre nous, en regardant les événements se dérouler sur nos téléphones tout en étant assis en toute sécurité à travers le monde depuis les lignes de front, il est facile de perdre de vue le fait qu’il s’agit d’un conflit très réel dans lequel des vies innocentes sont perdues chaque jour.

Nous tous ici à Hackaday espérons une résolution rapide, pacifique et juste de la guerre. Le scénariste Burt Prelutsky l’a parfaitement exprimé en travaillant sur le scénario d’un épisode de PURÉE: « La guerre n’est pas l’enfer. La guerre est la guerre et l’enfer est l’enfer. Et des deux, la guerre est bien pire… il n’y a pas de spectateurs innocents en enfer.