Alors que la guerre continue de faire rage en Ukraine et que l’armée ukrainienne connait des difficultés dans la région du Donbass où elle a perdu le contrôle de la ville de Avdviika, elle s’exporte dans les pays limitrophes et même encore plus loin : en Guadeloupe. En effet, le site de la Région Guadeloupe victime d’une cyberattaque menée par des hackers pro-russes.
Internet a été l’invention la plus notable du siècle dernier. Tout le monde voyait en cette évolution comme l’avenir du genre humain. Ils n’ont pas eu tord puisque désormais tout ce que nous faisons, touchons, pensons et regardons passe par une connexion informatique. Tellement que l’on parle d’Intelligence Artificielle avec le ChatGPT d’Open AI, Llama par Meta ou encore Bard de Google.
Pourtant, malgré cette évolution constante et effrénée de la technologie web, nul n’est à l’abri d’une potentielle attaque informatique, pire encore les institutions et leurs sites qui sont visiblement faciles à hacker. Généralement, les collectivités et les institutions sont les principales victimes de ces attaques en règles qui sont devenues la spécialité des cybercriminels généralement originaires des pays de l’Est dont principalement la Russie ou l’Est de l’Ukraine.
L’attaque ne visait pas spécifiquement la Région Guadeloupe, la collectivité aura malgré tout été durant plus de 24 heures, une victime collatérale d’un groupe de hackers pro-russe qui souhaitait répandre la propagande russe à propos du conflit avec l’Ukraine où la guerre continue de faire rage et que l’armée ukrainienne connait des difficultés dans la région du Donbass où elle a perdu le contrôle de la ville de Avdviika, elle s’exporte dans les pays limitrophes et même encore plus loin : en Guadeloupe. En effet, le site de la Région Guadeloupe victime d’une cyberattaque menée par des hackers pro-russes.
C’est précisément pour éviter de se prêter aux exigences des hackers que la collectivité régionale a choisi de passer sous silence l’attaque dont elle était victime. Il s’agissait de ne donner aucun écho médiatique aux motivations des hackers. On sait en effet que, cette non-communication aspire à décourager cette forme d’hacktivisme.
Les auteurs de cette cyberattaque sont membres d’un groupe dénommé « NoName057 ». Un groupe d’attaquants russophones, pro-russe qui vise à mener en grande partie des attaques DDOS. Ils visent surtout les pays qui viennent en aide à l’Ukraine, avec un intérêt particulier pour des opérateurs sensibles tels que des sites du gouvernement, des banques, ou encore des fournisseurs d’énergie.
Les méthodes des pirates pro-russes reposent sur
- La désinformation afin de répandre des rumeurs sur la guerre en Ukraine par exemple,
- L’intimidation (attaques répétitives sur la même cible)
- Le chaos (plusieurs attaques DDOS avant de grands événements dans les pays).
Il n’y a cependant aucune information quant à l’appartenance de ce groupe à une entité étatique, ni d’un certain chef qui dirigerait le groupe. Après une indisponibilité de 25 heures (de 1h15 mercredi à 2h10 jeudi) le site de la Région a été rétabli ce jeudi matin à 2h15.
Pourtant ce n’est pas la première fois que la collectivité guadeloupéenne est victime d’attaques informatiques dont la plus grave date de 2022.
La cyberguerre, la nouvelle guerre :
Autant que le XXIe est placé sous le signe du développement informatique, il est aussi le siècle de la cyberguerre et avec la guerre en Ukraine, cela ne fait qu’augmenter. Dans un rapport qu’elle a publié il y a quatre ans de cela, la plateforme américaine CrowdStrike, spécialisée dans la cybersécurité, estimait qu’en seulement 19 minutes, les pirates peuvent compromettre la sécurité d’un réseau et accéder à toutes les informations sensibles qui s’y trouvent.
Les objets et les types d’attaques varient en fonction des intérêts des pirates :
- Une chasse à la prime, où les hackers infectent les machines avec des « rançongiciels » (ou ransomware), un virus qui prend en otage les ordinateurs en réclamant un paiement.
- Les attaques qui n’utilisent pas de virus visent principalement les médias, les industries technologiques et l’éducation.
- Les chercheurs ont également remarqué une tendance à la collaboration entre les groupes disposant des méthodes les plus sophistiquées.
On note enfin que certaines attaques menées par la Chine, l’Iran et la Russie ciblent spécifiquement le secteur des télécommunications, sans doute pour des activités d’espionnage.
Le rapport de CrowdStrike qui se basait sur l’étude de plus de 30.000 attaques en 2018, soulignait que les équipes de Russie sont de loin les plus efficaces. Elles parviennent en seulement 18 minutes et 49 secondes en moyenne à compromettre un second ordinateur sur un réseau. Ce qui signifie que l’administrateur du réseau ciblé dispose de moins de 19 minutes pour détecter l’intrusion et la bloquer avant de voir son réseau commencer à tomber aux mains des assaillants.
Parmi les nombreux groupes criminels à la solde de l’Etat russe il y a le groupe russe dénommé Turla. C’est un groupe de hackers qui existe depuis plus de 25 ans. Ils agissent d’ailleurs avec l’accord des services secrets russes. Ils ont pour mission de surveiller et d’espionner les activités des grandes puissances opposées à la Russie comme les États-Unis. Turla est réputé pour avoir infiltré le réseau de plusieurs agences gouvernementales européennes grâce à leur principal atout, la discrétion.
Très récemment, c’est un banquier russe résidant à Chypre qui a été arrêté lors de son passage à Paris. Il était connu pour avoir été le banquier du groupe cybercriminel HIVE qui a été l’un des principaux réseaux d’attaques au rançongiciel au monde. Plus de 570 000 euros en cryptomonnaies, correspondant à « son fonds de roulement« , ont été saisis dans le cadre de la perquisition de son domicile chypriote, menée pendant sa garde à vue grâce à la « réactivité » de la coopération internationale, via Europol et Eurojust.
Le groupe HIVE est accusé d’avoir pris pour cible 1 500 entités dans 80 pays et d’avoir collecté plus de 100 millions de dollars de rançons. Il a été démantelé en janvier par le FBI, en coordination avec les forces de police allemande et néerlandaise, ainsi qu’Europol. Il fonctionnait sur le modèle de logiciel à la demande (Raas, Ransomware as a Service) : ses créateurs le mettaient à disposition d’autres pirates, des « affiliés », qui se chargeaient des attaques avant de partager les gains.