La menace de cyberattaque russe plane. Elle avait paralysé l’Estonie en 2007. Comment le Luxembourg s’y prépare

Drôle de guerre

d'Lëtzebuerger Land vom 18.03.2022

Jamming Ce jeudi, lors du rendez-vous annuel avec leur ministre de tutelle, Xavier Bettel (DP), les représentants du lobby local de l’internet, ICT Luxembourg, ont souligné l’exposition du pays aux cyberattaques. Dans un contexte géopolitique extraordinairement tendu avec pour épicentre l’attaque russe en Ukraine, et face au risque de « pandémie digitale », l’industrie propose de faire du Grand-Duché un safe harbour des données avec notamment la création d’un centre de protection numérique qui rassemblerait les secteurs public et privé, en collaboration avec la cyberdéfense (pendant miliaire de la cybersécurité). Voilà l’une des préoccupations du moment. Ce mercredi à Bruxelles devant ses pairs de l’Otan, le ministre de la Défense, François Bausch (Déi Gréng), a déploré « le recours à des actions hybrides et cyber de la part de la Russie contre les alliés et leurs partenaires ». Les armes cyber prolongent l’action armée de la Russie en occident, en réponse aux sanctions économiques prononcées à son encontre. Une triste opportunité pour donner corps à la stratégie de défense spatiale présentée le 28 février dernier par le ministre écologiste. La menace s’est matérialisée par le piratage début mars d’un satellite Eutelsat. La manœuvre a coupé l’accès internet que le satellite fournissait à des milliers d’éoliennes réparties entre l’Allemagne, la Belgique et le Luxembourg. Ces éoliennes folles pendant plusieurs jours n’ont créé aucun dégât, mais l’attaque a révélé le potentiel de nuisance. L’objectif de résilience spatiale formulé par François Bausch quatre jours après l’agression russe fait sens dans un pays qui loge l’un des leaders du marché des opérateurs, SES, et opère deux satellites gouvernementaux. Un satellitejacking clouant les drones au sol ou rendant aveugle les États serait évidemment hautement problématique. Ferdinand Kayser, conseiller stratégique du CEO de SES, confirme que le risque existe sur des satellites « classiques », mais que les drones sont « d’habitude » contrôlés par des satellites, comme « notre GovSat, qui utilisent la banque de fréquence Military-Ka, laquelle est en principe protégée contre le jamming ».

L’agression russe en Ukraine place les spécialistes de la cybersécurité en état d’alerte. Le Haut-commissariat à la protection nationale (HCPN) est à la manœuvre dans l’éventualité d’une cyberattaque d’ampleur. « Toutes les entités gouvernementales concernées surveillent la situation au niveau européen et national », y compris dans « les secteurs critiques », répond le HCPN à la sollicitation du Land. « Jusqu’à présent, aucune anomalie n’a été repérée », poursuit-on dans une communication réduite à sa portion la plus congrue. La nervosité limite l’échange. Le haut-commissaire Luc Feller ne veut pas décrocher le téléphone de peur d’en dire trop, pas même expliciter les secteurs « à risque ». Ce serait donner les cibles à attaquer, nous fait-on comprendre auprès du gouvernement. Le Circl (Computer incidence response center Luxembourg) désigne pourtant clairement les secteurs financiers et l’administration publique comme les principales cibles d’attaques.

Ctrl+S Dès le 1er mars, soit six jours après l’invasion russe en Ukraine, la Commission de surveillance du secteur financier (CSSF) a diffusé une lettre-circulaire à la fin de laquelle elle appelle « les entités surveillées à la plus grande vigilance quant aux risques de cyberattaque, notamment par déni de services », une technique de déstabilisation du système informatique. Le régulateur attend ainsi des banques et fonds d’investissement, qui gèrent des milliers de milliards d’euros depuis le Grand-Duché, de porter une attention particulière à leur plan de continuité et de s’assurer du bon fonctionnement des sauvegardes, notamment d’en avoir qui ne sont pas connectées physiquement au réseau « pour les systèmes de données les plus essentiels ».

Tout État cherche à contenir le risque d’une offensive telle que celle dont a été victime l’Estonie le 27 avril 2007. Le système bancaire, les administrations ou les médias estoniens ont subi des attaques par déni de service distribuées (DDoS), lesquelles consistent à inonder les systèmes d’information de sollicitations, jusqu’à leur saturation voire la rupture de l’internet. Pendant plusieurs jours, les services gouvernementaux estoniens n’ont plus été capables d’effectuer des paiements. Les distributeurs d’argent ont été coupés. Bien que les preuves formelles manquent, les spécialistes identifient la Fédération de Russie comme initiatrice de l’attaque. D’une ampleur inégalée, elle avait été déclenchée au lendemain du déménagement d’une statue (le soldat de bronze) rendant hommage à la résistance de l’armée rouge face à l’envahisseur nazi. Le monument était perçu par les habitants de la jeune Estonie (indépendante en 1991 et intégrée à l’UE en 2004) comme un symbole de l’emprise soviétique. La cyberattaque, vraisemblablement menée par un État tiers, a suscité un électrochoc parmi les membres de l’Otan. L’un des leurs avait été attaqué, de manière digitale certes mais cela avait déstabilisé le fonctionnement étatique. Si bien que la question du déclenchement de l’article 5 du traité de l’Atlantique nord avait été soulevée. « Les parties conviennent qu’une attaque armée contre l’une ou plusieurs d’entre elles (…) sera considérée comme une attaque dirigée contre toutes les parties » et qu’elles décideront du recours éventuel à la légitime défense, « y compris l’emploi de la force armée », lit-on dans le texte rédigé en 1949. Le recours à l’article 5 avait été écarté. Temporairement.

Quelques semaines après la cyber-attaque en Estonie, était créée à Tallinn le Centre d’excellence pour la cyberdéfense de l’Otan. Le Luxembourg l’a rejoint en 2019. Deux agents de la défense luxembourgeoise y sont détachés selon le rapport d’activité du ministère de la Défense. L’Estonie a elle ouvert en 2018 au Grand-Duché la première ambassade numérique, une salle de serveurs où sont sacralisées les données critiques de cette nation éminemment connectée. Monaco l’a suivie en 2021. Depuis 2012, le Grand-Duché élabore des stratégies en matière de cybersécurité. L’idée est à la fois de protéger les secteurs public et privé, mais aussi de développer une expertise à vendre internationalement. La quatrième mouture a été présentée à l’automne dernier. Le pays y associe traditionnellement le développement du secteur à la présence de la NSPA (Nato Support and Procurement Agency). L’agence logistique de l’Otan à Capellen gère l’approvisionnement de l’alliance militaire en armes et en carburant… et traite donc des données sensibles. En 2020, le chiffre d’affaires de la NSPA s’élevait à 4,16 milliards d’euros. De fait, entre son association avec l’Estonie, sur laquelle Vladimir pourrait jeter son dévolu, et l’Otan, plus que jamais ennemie de la Russie, le Luxembourg fait figure de proie idéale.

Cyberwar Se développe une littérature dystopique concevant la translation des conflits armés dans le monde digital. L’un de ses auteurs est Guy-Philippe Goldstein, chercheur et consultant dans le domaine de la cybersécurité, intervenant à l’École de guerre économique à Paris et conseiller stratégique pour la société d’investissement luxembourgeoise ExponCapital. Dans Babel Minute Zéro, l’auteur imagine comment un tsunami informatique provoque un black-out des ordinateurs et une troisième guerre mondiale. Dans des contributions ancrées dans la réalité et publiées par le média L’Usine nouvelle, Guy-Philippe Goldstein mesure la menace russe sur la stabilité des infrastructures numériques internationales. En décembre dernier, « les autorités russes ont menacé à mots couverts l’Ukraine et les pays occidentaux de mesures de rétorsion avec des moyens militaro-techniques » qui pourraient inclure « des attaques cyber contre les infrastructures critiques et les actifs militaires des pays de l’Otan », écrit l’expert. Guy-Philippe Goldstein estime que jamais les entreprises et administrations n’ont été autant exposées au risque cyber.

La Russie est adepte des déstabilisations informatiques. En prémisse de son attaque militaire sur la Géorgie en 2008 et pour mieux déstabiliser toute éventuelle défense, les services de Vladimir Poutine avaient attaqué les ressources informatiques gouvernementales. Avec un certain succès. Depuis 2014 et l’annexion de la Crimée, l’Ukraine et ses infrastructures, notamment énergétiques, ont subi des cyberattaques dont les dommages sont chiffrés à une dizaine de milliards d’euros. Mais dans son édition de samedi dernier, le New York Times titre « The Ukrainian cyberwar that never materialized » et détaille comment l’attaque au moyen des « weapons of code » a eu des conséquences minimales. « Cyberattacks may have been oversold », suggère le chroniqueur techno du Times. D’aucuns soulignent d’ailleurs qu’une éventuelle attaque sur un pays pourrait facilement déborder sur un autre du fait de l’interconnexion des réseaux, au risque de créer un conflit généralisé si le voisin appartient à l’Otan. Depuis 2016, l’Otan considère qu’une cyberattaque d’ampleur peut constituer un casus belli et déclencher l’article 5 de son traité fondateur.

Les experts luxembourgeois constatent un niveau élevé d’attaques, mais « pas une recrudescence depuis la crise ukrainienne », précise Gérard Hoffmann, patron de Telindus, un groupe qui accompagne les entreprises dans leur parcours digital et qui atteste des dégâts le cas échéant. Celui qui est aussi le fondateur d’ICT Luxembourg, ciment de l’industrie digitale au Grand-Duché, explique que la pandémie et le recours au télétravail ont offert un surplus de points d’entrée aux pirates. Les attaques sont davantage utilisées voire taillées pour dérober de l’argent ou de l’information plutôt que pour déstabiliser, fait valoir Pascal Steichen, le Monsieur Cybersecurity au Luxembourg. Le directeur de securitymadeinlux et président du Centre de compétences européen en matière de cybersécurité (depuis quelques jours) explique ainsi que « la cause qui les occupe le plus aujourd’hui est la défense de la place financière, l’une des plus importantes du monde et vers laquelle ceux qui cherchent de l’argent se tournent naturellement ». L’intéressé précise en outre que retracer l’origine des attaques est une tâche ardue. « Avec le recours aux VPN (réseaux privés virtuels qui occultent l’origine de l’utilisateur, ndlr) ou le darknet, l’attribution se révèle très difficile. Et, au bout du bout, souvent les cybercriminels se trouvent dans des juridictions peu coopératives », détaille Pascal Steichen. Si l’attaque est commanditée par un État, il ne faut pas trop compter pour que celui-ci s’incrimine. « L’attribution se fait par d’autres moyens, notamment l’intervention de services secrets », révèle l’expert. Dans la coulisse du net, des guerres parallèles se jouent entre des groupes d’obédience à l’un ou l’autre bloc. Le groupe de cybercriminels derrière le ransomware Conti, Wizard Spider, s’est placé dans le camp de la Russie en marge du conflit en Ukraine et a menacé les infrastructures de quiconque entreprendrait des attaques contre les intérêts russes. Réciproquement, le collectif Anonymous a déclaré la cyber guerre à la Russie. Mais le nombre de Ddos (distributed denial of service), un bon indicateur de tentative de déstabilisation, n’a pas connu d’augmentation flagrante au Luxembourg.

Les infrastructures nationales seraient bien dotées, nous explique-t-on après les vagues d’investissement de la dernière décennie. Pascal Steichen s’attend à une accélération de la cyberdéfense, mais elle n’aurait vraiment de sens qu’en impliquant le secteur privé. Juguler la menace dépendra moins des outils que de la coopération entre les différents acteurs pour mieux identifier et contrer les intrusions. Voilà ce qu’ont expliqué les professionnels du secteur ce jeudi au Premier ministre, revendiquant entre autres une restructuration du Service opérationnel de cybersécurité (SOC) avec autour de la table, l’armée et des représentants du privé. Les moyens alloués pourraient être comptabilisés dans l’objectif de participation militaire orienté, dans le cadre de l’association nord atlantique, vers les deux pour cent du PIB, nous explique Vincent Lekens, président d’ICT Luxembourg, ce jeudi matin à la sortie de sa réunion avec le Premier ministre. Figure en outre dans les tuyaux la création d’un haut comité pour la place digitale, copie de celui dévolu au centre financier, pour davantage associer intérêts publics et privés. Des ambitions affichées dans les différentes stratégies présentées à la Défense et au Service des médias et communications.

Footnotre

Pierre Sorlut
© 2022 d’Lëtzebuerger Land