Bien qu'il n'y ait actuellement aucun élément objectif indiquant une cybermenace concrète envers la Belgique ou tout autre pays de l'Union européenne, l'inquiétude grandit dans tous les secteurs et dans la population. Celle-ci s'inquiète à juste titre à propos de certaines rumeurs alarmistes en circulation. Le public se demande notamment si nous nous trouvons au début d'une cyber-guerre et s'il y a lieu, par exemple, de retirer de l'argent liquide en raison d'un piratage imminent des terminaux bancaires. Le Centre pour la Cybersécurité Belgique (CCB) a évidemment mobilisé toutes les ressources nécessaires mais il se veut rassurant dans la mesure où nous suivons la situation de près et sommes en contact avec un solide réseau d'experts en cybersécurité au plan international.

Est-ce le début d'une cyber-guerre ?

Au cours des derniers conflits entre pays, il est frappant de constater qu'une attaque physique est de plus en plus souvent précédée de cyberattaques, que l'on désigne généralement par "guerre hybride". L'un des objectifs est de rendre l'autre partie sourde et aveugle, par exemple en désactivant les communications ou les systèmes radar. Les cyberattaques visent également à détruire les infrastructures critiques pour affaiblir l'ennemi. Nous constatons également que des attaques moins dommageables sont menées à titre de diversion.
Notre Cyber Threat Research and Intelligence Sharing team (CyTRIS) suit la situation au quotidien et a compilé un aperçu des cyberattaques observées dans le conflit jusqu'à ce jour. Il est souvent difficile d'identifier l'auteur d'une cyber-attaque car le monde numérique permet une certaine furtivité. Dans le cas présent, nous pouvons toutefois supposer, en raison du contexte géopolitique, que ces attaques peuvent être mises en lien avec le régime russe.

Quelles sont les cyberactivités signalées en Ukraine ?

Des attaques DDoS ont été menées contre le gouvernement ukrainien, l'armée, le secteur financier et le secteur des communications. Une attaque DDOS provoque une surcharge du réseau, ce qui le met temporairement hors service. En général, une attaque DDOS ne cause pas de dommages permanents, mais elle peut détourner l'attention d'une autre attaque.

On dipose également d'indices sur le recours à des maliciels de type wiper. Il s'agit d'un type de virus informatique qui pénètre dans les systèmes des utilisateurs et peut supprimer des données. L'entreprise de sécurité ESET estime que des centaines d'ordinateurs en Ukraine ont été rendus inutilisables par ce procédé.

Une autre société de sécurité, Palo Alto, a découvert qu'un maliciel de type backdoor, dénommé SockDetour, a été utilisé à des fins d'espionnage contre des entreprises de défense américaines, entre autres. Les logiciels malveillants de type backdoor sont des virus informatiques qui, comme leur nom l'indique, laissent une porte dérobée dans les systèmes pour permettre la fuite de données.

Des attaques de défiguration de sites Web (Web Defacement) et de chaîne d'approvisionnement (Supply Chain) ont également été constatées. Les défigurations de sites web consistent pour les pirates à pénétrer dans un site web et remplacer son contenu par leurs propres messages. Dans une attaque de la chaîne d'approvisionnement, l'attaquant pénètre chez son ennemi par une vulnérabilité dans un logiciel utilisé par la victime.

Enfin, plusieurs faux messages ont été diffusés. Les campagnes de désinformation sont utilisées, entre autres, pour justifier l'offensive.
Les cyber-agences américaines et britanniques ont signalé une nouvelle menace cette semaine : le virus appelé Cyclops Blink, provenant du groupe Sandworm lié à la Russie. Voir l'avis CERT.be. Dans la mesure où le collectif de rançongiciels CONTI a ouvertement offert ses services au régime russe, les attaques de rançongiciels de ce type peuvent désormais être reliées à la Russie.

Les informations concernant ces attaques sont abondamment partagées via les réseaux d'experts en cybersécurité, tels que le CSIRT de l'UE. Le CCB fait partie de ces réseaux et reçoit donc rapidement des alertes importantes que nous pouvons à notre tour partager.

Les secteurs belges peuvent-ils également être touchés et quels sont les secteurs visés ?

Toutes ces attaques ont été détectées en Ukraine et non dans d'autres pays de l'UE. Pour l'heure, il n'existe aucune indication suivant laquelle certains secteurs belges seraient en danger. Cela ne signifie pas pour autant que nous sommes hors d'atteinte. Une cyberattaque qui serait ressentie en Belgique ne peut jamais être totalement exclue. Par le passé, des attaques numériques ont eu des répercussions jusqu'en Belgique, il suffit de penser à NotPetya en 2017. Cette attaque a débuté dans un service gouvernemental ukrainien mais s'est rapidement étendue au monde des affaires et a été ressentie jusqu'au port de Rotterdam et dans certaines entreprises belges. Etant donné que des sanctions ont été imposées au régime russe, beaucoup se demandent si la Russie va répondre par une cyberattaque contre des institutions belges par exemple. Certaines organisations criminelles soutiennent ouvertement le régime russe et lui offrent leur aide. Ils menacent de lancer des attaques dans les pays que la Russie tente de frapper. Pour l'instant, nous n'avons pas non plus d'indications concrètes à ce sujet. Toutefois, cette menace est constamment mise à jour et, si nécessaire, des mesures supplémentaires seront prises.

Sommes-nous sans défense contre une cyberattaque ?

Certainement pas. Les experts en cybercriminalité et les entreprises de sécurité continuent d'insister sur le fait que les mesures de sécurité de base peuvent déjà faire une grande différence: reconnaître le hameçonnage, utiliser des mots de passe forts et la vérification en deux étapes (2FA), et surtout appliquer les correctifs et mettre à jour les systèmes à temps.
La meilleure sécurité pour les organisations et les entreprises, en tout temps , est de renforcer les défenses de cybersécurité. Les mesures de sécurité de base jouent un rôle primordial à cet égard. Nous recommandons aux entreprises et aux organisations d'élaborer, de mettre à jour et de tester régulièrement un (cyber)plan d'urgence. Il est important que chaque employé(e) sache quelle est sa tâche en cas de cyberincident (voir le webinaire conscacré aux cyberincidents via https://www.youtube.com/watch?v=ETtBwTZWsm4).
 

Les contre-réactions des hackers sont-elles utiles ?

Des hackers belges annoncent qu'ils attaqueront les sites web russes avec des attaques DDOS. Le groupe activiste Anonymous annonce également des attaques qui toucheront le régime russe. Nous n'encourageons certainement pas ce genre d'initiatives. Le piratage informatique est illégal et ces attaques ne sont probablement pas de nature à effrayer le régime russe. En outre, elles peuvent être utilisées par ce dernier pour justifier une contre-attaque beaucoup plus sérieuse.

Ne pas crier au loup! 

À l'heure actuelle, le risque de problèmes informatiques dans nos organisations et entreprises est sans doute davantage accru par le syndrome FUD (Fear, Uncertainy and Doubt) qu'en raison d'une attaque du régime russe. Par conséquent, ne paniquez pas immédiatement si un site web tombe en panne ou si le réseau de l'entreprise est lent. Il y a de fortes chances que le service informatique soit en train d'effectuer une mise à jour de sécurité en toute urgence. Si l'on vous demande de changer de mot de passe, faites-le dès que possible. Nous vous demandons également de suivre les conseils de sécurité de votre employeur.

Le CCB suit de près la situation et, si nécessaire, nous transmettrons immédiatement par nos canaux des conseils et des instructions concrètes aux secteurs à risque. Si la population doit être avertie d'une manière ou d'une autre, nous utiliserons tous les canaux existants pour le faire et nous comptons sur la presse pour nous aider à relayer l'information. Nous nous engageons à publier régulièrement un état des lieux de la situation.