TV russes hackées, ARM banni, DJI, Yandex - notre suivi du volet cyber et numérique de la guerre en Ukraine

Mardi 10 mai:

Télévisions russes hackées pendant les commémorations du 9 mai

Le jour des commémorations russe du 9 mai, des hackers ont piraté plusieurs chaînes de télévision russes en ligne. Selon plusieurs médias et de nombreux tweets, la page des programmes et les bandeaux informatifs qui s’affichent en changeant de chaîne ont diffusé des messages anti-guerre. «Le sang de milliers d’Ukrainiens et de centaines de leurs enfants est sur vos mains. La télévision et les autorités vous mentent. Non à la guerre», pouvait-on par exemple lire. Les moteurs de recherche qui indexent les programmes télévisés, comme Google ou même le service russe Yandex, ont repris ces messages et les ont passivement propagés sur le web, note le site spécialisé Bleeping Computer.

Les fondeurs russes privés de l’architecture ARM

Le Royaume-Uni a mis à jour la liste d'entreprises russes ciblées par des sanctions commerciales. La liste publiée par les britanniques comprend désormais Baikal Electronics et MCST (Moscow Center of SPARC Technologies), les deux plus importants fabricants de puces en Russie, précise Bleeping Computer. En conséquence, la licence octroyée à ces fondeurs pour utiliser l’architecture ARM n’est plus valide, l’entreprise Arm Ltd. étant basée au Royaume-Uni. La Russie pourrait faire fi de cette sanction et permettre aux fondeurs d’exploiter l'architecture de puces (le Kremlin avait déjà informé que les violations de licences de logiciels ne seraient plus poursuivies, lire la mise à jour du 8 mars ci-dessous). «Cependant, il est important de se rappeler que les processeurs Baikal et MCST sont fabriqués dans des fonderies étrangères, comme celles de Samsung et de TSMC, et que ces deux entreprises n'enfreindraient pas les règles de licence d'Arm et le droit international pour faciliter les intérêts russes», fait remarquer Bleeping Computer.

Les drones de DJI ne sont plus vendus en Russie et en Ukraine

Le fabricant chinois de drones DJI a annoncé suspendre ses activités commerciales en Russie et en Ukraine. «DJI a toujours fabriqué des produits destinés à un usage civil; ils ne sont pas conçus pour des applications militaires», a affirmé le fabricant. Même s’ils ne sont plus disponibles en Ukraine et en Russie, des drones de DJI devraient toutefois continuer à y être livrés, selon le média Numerama. Les deux pays ayant appelé aux dons de drones, notamment des modèles spécifiques de la marque DJI.

Yandex vend son agrégateur de news à VK

Yandex, le «Google russe», a annoncé un accord de vente de ses services d'agrégation d'actualité (Yandex News) et de recommandation de contenu (Yandex Zen) à VKontakte (VK), le «Facebook russe». Yandex est fragilisé par les sanctions contre la Russie, reconnaissant que les difficultés ont commencé à apparaître après l'envoi de troupes en Ukraine par Moscou le 24 février dernier, selon Reuters. «Au-delà de l'impact financier, il n'est pas évident de savoir comment - ou même si - la vente de l'agrégateur d'actualités de Yandex à VK modifiera l'accès des Russes aux informations sur les affaires courantes», fait de son côté observer le site spécialisé Techcrunch. Et de souligner que Yandex joue un rôle prépondérant dans la diffusion de la propagande d'Etat en raison de la popularité de son service de recherche, où le fil d'actualité est affiché en bonne place.

Mercredi 23 mars:

Au moins 50’000 informaticiens ont déjà fui la Russie

A cause des sanctions économiques contre la Russie et des difficultés qu’elles engendrent sur le secteur IT, le pays fait face à une exode d'informaticiens. Dans un communiqué, l'Association russe des communications électroniques (RAEC) appelle à vite prendre des mesures pour endiguer le phénomène. Entre 50’000 et 70’000 professionnels de l’IT auraient déjà fui et 100’000 autres pourraient suivre le mouvement, selon les estimations officielles de la RAEC.

L'association propose différentes mesures, notamment des aides en cas de pertes d’activités et la tenue d’un forum en vue de refaçonner le secteur de l’IT russe, de discuter des mesures de soutien et trouver de nouveaux marchés. De son côté, le chef du ministère du Développement numérique, Maksut Shadayev, a proposé d'exonérer certaines entreprises tech de l'impôt sur le revenu pendant trois ans. En outre, il est envisagé que les salariés des entreprises spécialisées bénéficient d'un report de leur mobilisation militaire. Les sociétés informatiques pourront également bénéficier de prêts à des taux préférentiels.

VKontakte, le réseau social le plus populaire de Russie, entend apparemment tirer parti de ces différentes mesures. Son CEO a ainsi déclaré à l'agence de presse TASS que son entreprise comptait embaucher un millier d'informaticiens dans le cadre d'investissements réalisés dans les services audio et vidéo.

Protestware: quand l’open source devient malveillant pour protester contre la guerre

Plusieurs médias et blogs spécialisés, dont Ars Technica, rapportent des actes de protestation contre la guerre russo-ukrainienne de la part de développeurs de composants logiciels open source. Surnommés «Protestware», des projets se voient modifiés d’une façon ou d'une autre pour dénoncer l’invasion russe. Les mises à jour ajoutées dans cette intention peuvent être plus ou moins pernicieuses et sont souvent programmées pour activer une action en décelant une adresse IP russe ou bilorusse. Un cas de diffusion d’un appel à la paix a par exemple été répertorié. Plus radical, une mise à jour de l'auteur du composant node-ipc active une procédure d’effacement de tous les fichiers d’un ordinateur quand celui-ci est géolocalisé en Russie au Biélorussie.

Ce type de protestations n’a pas suscité que des compliments dans la communauté des développeurs et chercheurs en cybersécurité. Sur son blog, l’expert Brian Krebs rapporte le commentaire d’un utilisateur de Github portant le pseudonyme nm17: «La boîte de Pandore est maintenant ouverte, et dorénavant, les personnes qui utilisent l'open source vont faire l'expérience de la xénophobie plus que jamais.» Le spécialiste en cybersécurité Bruce Schneier voit dans ce cas de figure un nouvel exemple des dangers des dépendances open source au sein des logiciels. «Les non-informaticiens sont constamment surpris par la quantité de logiciels critiques qui dépendent des caprices de programmeurs aléatoires qui maintiennent les bibliothèques logicielles de manière incohérente. Entre log4j et ce nouveau protestware, cela devient une vulnérabilité sérieuse», écrit-il sur son blog.

Jeudi 17 mars:

Zelensky capitule dans un deepfake

Depuis le début des hostilités, le président ukrainien Volodymyr Zelensky prend régulièrement la parole dans des vidéos sur les réseaux sociaux. Il s’agit notamment de galvaniser son peuple et de montrer qu’il n’a pas fui le pays. Une vidéo d’un autre ton a brièvement circulé sur le web, montrant Volodymyr Zelensky appelant les Ukrainiens à capituler. Ce contenu était en réalité un deepfake (vidéo manipulée à l'aide d'outils d’IA). En parallèle, la chaîne TV Ukraine 24 a été piratée, selon le site Atlantic Council: le même message faussement attribué au président ukrainien s’est affiché dans le ticker d'informations. Volodymyr Zelensky s’est empressé de contrecarrer la fake news, en se filmant en train de déclarer: «Si je peux proposer à quelqu'un de déposer les armes, c'est à l'armée russe».

Responsable de la politique de sécurité de Meta, Nathaniel Gleicher a expliqué dans une série de tweets que le groupe avait repéré et retiré la vidéo qui circulait sur Facebook: «Nous avons rapidement examiné et supprimé cette vidéo pour violation de notre politique contre les médias manipulés trompeurs, et nous en avons informé nos pairs sur d'autres plateformes.» Le porte-parole de Youtube a déclaré à CNN que la vidéo a été supprimée de la plateforme et ses téléchargements bloqués. Twitter contrôle également si la vidéo est partagée sur son réseau.

Sur son blog, le groupe Meta indique avoir mis au point une méthode de détection et d'attribution des deepfake, en collaboration avec des chercheurs de la Michigan State University (MSU). La technique fait appel à du reverse engineering, «en partant d'une seule image générée par l'IA pour remonter au modèle génératif utilisé pour la produire.»

Selon la plupart des commentateurs, le deepfake du président Volodymyr Zelensky est de piètre qualité. Notamment aux yeux d’un doctorant de l’EPFL, qui dans un tweet se montre ironique:

L'autorité allemande de sécurité informatique met en garde contre Kaspersky

En Allemagne, l’Office fédéral pour la sécurité de l’information (BSI) a mis en garde contre l'utilisation des produits de l’éditeur de cybersécurité russe Kaspersky. Le BSI se montre moins prudent que son homologue français (ANSSI), qui a notamment averti que l’isolement de la Russie et les cyberattaques qu’elle subit peuvent affecter la capacité des entreprises russes à fournir des services et produits efficaces (lire ci-dessous, flux du 4 mars). Le 15 mars, le BSI a entre autres alerter: «Un fabricant informatique russe peut lui-même mener des opérations offensives, être contraint d'attaquer des systèmes cibles contre sa volonté, ou être lui-même victime d'une cyber-opération à son insu, espionné ou utilisé comme outil pour attaquer ses propres clients.» Kaspersky a réagi via un communiqué, estimant que la mise en garde du BSI ne se base pas sur une évaluation technique mais sur des considérations politiques. La firme de cybersécurité rappelle ensuite qu'elle a transféré son infrastructure de traitement des données en Suisse, soulignant que ces deux centres de données à Zurich répondent à des normes industrielles de premier ordre et garantissent un niveau de sécurité maximal.

Le patron du «Google russe» démissionne

Ciblé par les sanctions européennes à l’encontre des oligarques russes, Tigran Khudaverdyan, le patron de Yandex, a démissionné. L’entreprise surnommée «le Google russe» l’a fait savoir dans un communiqué. «Nous avons été choqués et surpris d'apprendre que Tigran était désigné dans le cadre des sanctions de l'UE, et nous sommes extrêmement désolés de le voir quitter ses fonctions», a déclaré John Boynton, président du conseil d'administration de Yandex.

HackerOne bloque les paiements aux hackers white hat russes

Plateforme de Bug Bounty, HackerOne s’est quelque peu empêtré dans les exigences liées aux sanctions financières infligées à la Russie. Selon Bleeping Computer, l’entreprise américaine a bloqué les paiements aux hackers white de sa plateforme localisés en Russie, en Biélorussie mais aussi en Ukraine, provoquant un tollé. Via un communiqué, HackerOne s'excuse, évoquant des problèmes techniques et des erreurs de communication. Le spécialiste des programmes Bug Bounty indique que ni les hackers ukraiiens, ni ceux de Russie et de Biélorussie ne seront bannis de la plateforme. Les paiements légaux vers l'Ukraine ne sont pas bloqués mais peuvent prendre plus de temps en raison des exigences de contrôle renforcées. En revanche, HackerOne admet avoir interrompu le versement de certaines récompenses «à des régions soumises à des sanctions de paiement», afin de s’assurer de respecter les exigences légales.

Mardi 15 mars:

MongoDB ne propose plus son offre SaaS en Russie et en Biélorussie

Alors que les hyperscalers maintiennent en partie leurs services cloud en Russie (lire ci-dessous, flux du 9 mars), MongoDB a décidé de cesser de fournir son système de gestion de base de données en Russie et en Biélorussie. Et ce, aussi bien on-premise qu'en mode SaaS. Cette mesure d’abord partagée par des clients sur les réseaux sociaux a ensuite été confirmée par MongoDB au média spécialisé The Register.

Les cybercriminels se divisent idéologiquement

La guerre en Ukraine divise les cybercriminels. Les chercheurs de la division Cyber Threat Intelligence d'Accenture, qui monitore l’activité du dark web, constatent dans un rapport que des hackers malveillants jusqu'ici focalisés sur l'appât du gain, se scindent désormais en factions idéologiques et ciblent des organisations russes, ukrainiennes ou occidentales selon s’ils sont pro-russes ou s’ils soutiennent l'Ukraine. Et parfois, les hackers se livrent directement bataille. Les chercheurs citent l'exemple du groupe Conti (lire ci-dessous, flux du 3 mars) qui, peu après avoir publiquement soutenu le Kremlin, a ensuite vu ses données fuiter.

Meta rétropédale

Après avoir communiqué la suspension des mesures de suppression de messages anti-russes sur ses plateformes (lire-ci-dessous), Meta est revenu sur cette décision. Reuters rapporte que dans un message interne, le responsable des affaires internationales de Meta, Nick Clegg, a indiqué davantage restreindre la politique de modération du contenu pour l'Ukraine «afin de limiter les appels à la mort d'un chef d'Etat». Meta a aussi souhaité clarifier ne pas tolérer «la violence contre les Russes en général».

Lundi 14 mars:

Reconnaissance faciale

Le ministère de la Défense ukrainien a commencé à utiliser la technologie de reconnaissance faciale de Clearview AI, selon une information exclusive de Reuters. La start-up constitue des bases de données de visages en récupérant automatiquement les photos et autres informations d'utilisateurs sur les réseaux sociaux. Clearview a offert son service gratuitement au gouvernement de Kiev. Cette société controversée disposerait notamment de plus de 2 milliards d'images provenant du média social russe VKontakte. Le CEO de Clearview estime que les autorités ukrainiennes pourraient se servir de la technologie pour le contrôle de personnes aux checkpoints, pour l’identification des morts et d’agents russes, mais aussi pour réunir les réfugiés séparés de leurs familles. L'objectif exact n'est toutefois pas connu, selon le CEO. L'utilisation de l’IA de Clearview en Ukraine présente des risques, la technologie n'étant pas 100% fiable, explique à Reuters Albert Fox Cahn, directeur exécutif de l'organisation Surveillance Technology Oversight Project. Il rappelle que l'utilisation de l’outil par la police américaine a abouti à des arrestations injustes.

Support d’Oracle interrompu

Sur Twitter, Mykhailo Fedorov, vice-premier ministre de l'Ukraine responsable de la transformation numérique, a appelé Microsoft, Oracle et SAP a cessé de fournir du support pour leur produits en Russie. Oracle, qui avait déjà annoncé avoir cessé toutes ses opérations en Russie (lire ci-dessous, flux du 3 mars), a favorablement répondu au nouvel appel Mykhailo Fedorov. L’éditeur logiciel précise avoir stoppé l’accès à tous les services de support en Russie. Orale souligne également avoir suspendu «tous les partenaires russes et leurs filiales au sein du réseau de partenaires Oracle faisant des affaires en Russie ou en dehors de la Russie».

Instagram bloqué en Russie

Instagram rejoint la liste des réseaux sociaux bloqués en Russie. L'agence de presse AFP, notamment, a rapporté que l’application ne fonctionnait plus en Russie depuis ce lundi 14 mars. Selon un communiqué de l'autorité russe de régulation des communications (Roskomnadzor), ce blocage constitue une riposte du Kremlin contre la décision du groupe Meta de ne pas supprimer de messages anti-russes de ses réseaux Facebook et Instagram (lire ci-dessous).

Vendredi 11 mars 2022:

Facebook autorise les appels à la haine contre l’invasion russe

Meta suspend temporairement la suppression de messages anti-russes violant ses propres règles. Les discours violents de type «mort aux envahisseurs russes», ou appelant à la mort des présidents russes et biélorusses ne seront plus bannis des plateformes Facebook et Instagram, rapportent plusieurs médias et agences de presse.

«À la lumière de l'invasion en cours de l'Ukraine, nous avons fait une exception temporaire pour les personnes touchées par la guerre, pour exprimer des sentiments violents envers les forces armées envahissantes», a déclaré un porte-parole de Meta à la BBC. Les appels à la violence contre les civils russes continueront en revanche d’être prohibés. Meta semble confiant dans sa capacité de distinguer lorsque le terme «russe» concerne des soldats ou des civils… Le changement temporaire de politique de modération s’applique à l'Arménie, l'Azerbaïdjan, l'Estonie, la Géorgie, la Hongrie, la Lettonie, la Lituanie, la Pologne, la Roumanie, la Russie, la Slovaquie et l'Ukraine, selon un courriel interne consulté par Reuters.

«Nous demandons aux autorités américaines de mettre fin aux activités extrémistes de Meta, de prendre des mesures pour traduire les auteurs en justice, a tweeté l'ambassade de Russie aux États-Unis. Les utilisateurs de Facebook & Instagram n'ont pas donné aux propriétaires de ces plateformes le droit de déterminer les critères de vérité et de dresser les nations les unes contre les autres». En représailles, le Kremlin envisagerait d’engager une poursuite pénale et de qualifier Meta d’organisation terroriste, selon CNBC.

Certificats SSL fournis par le gouvernement russe

Le gouvernement russe aurait mis en place un système pour délivrer des certificats SSL aux Russes touchés par les sanctions, selon The Register qui s’appuie sur un avis publié sur le portail public des autorités. Nécessaires aux sites souhaitant proposer une connexion sécurités HTTPS, les certificats sont destinés «aux sites web russes qui ne sont pas en mesure de renouveler ou d'obtenir des certificats de sécurité en raison des sanctions occidentales et des organisations qui refusent de soutenir les clients russes». Rien n’indique que les navigateurs - en particulier Chrome, qui est le plus populaire en Russie - accepteront ces certificats, souligne The Register. Ils pourraient en revanche fonctionner avec le navigateur russe YaBrowser. Avec des certificats SSL émis par le gouvernement, la garantie de confidentialité des informations se verrait cependant sérieusement menacée.

Alertes de raids aériens sur Android

Google a commencé à déployer un système sur les smartphones Android qui alertera les résidents ukrainiens de raids aériens pour qu’ils se mettent à l’abri. La fonctionnalité a été développée sur demande et à l’aide du gouvernement ukrainien, explique la firme sur son blog (mise à jour du 10 mars). Les alertes doivent compléter celles diffusées par le gouvernement.

Contributeurs DDoS piégés

Alors que des outils de crowdhacking circulent pour contribuer aux attaques DDoS menées contre la Russie, certains de ces outils seraient en fait piégés et contiendraient des malwares, selon une note d’alerte de Cisco Talos. «Dans l'un de ces cas, nous avons observé un acteur malveillant proposant un outil de déni de service distribué (DDoS) sur Telegram destiné à être utilisé contre des sites web russes, expliquent les chercheurs. Le fichier téléchargé est en fait un voleur d'informations qui infecte la victime involontaire avec un logiciel malveillant conçu pour vider les informations d'identification et les informations relatives aux crypto-monnaies».

Jeudi 10 mars 2022:

L’Ukraine se prépare à transférer ses données hors du pays

Face à l’avancée des troupes russes, l’Ukraine prévoit divers plans et scénarios pour protéger ses données. L’une des options serait de migrer les données vers une destination européenne, soit par voie numérique, soit en emportant physiquement les serveurs - plusieurs pays auraient déjà proposé de les héberger. Avant d’être activée, cette option nécessiterait toutefois un changement législatif, indique Victor Zhora, chef adjoint du Service d'État ukrainien des communications spéciales et de la protection de l'information, cité par Reuters/Swissinfo.

Avant d’en arriver là, l’Ukraine serait déjà préparée à couper la connexion avec les zones occupées par les troupes russes. Depuis la prise de régions de l’Est du pays par les activistes en 2014, le gouvernement ukrainien aurait notamment abandonné son architecture IT distribuée et les systèmes seraient aujourd’hui centralisés à Kiev, selon Victor Zhora, dans un entretien avec le site Politico.

Avec ces diverses stratégies, l’Ukraine cherche à éviter que les données de sa population ne tombent entre les mains de la Russie, qui pourrait s’en servir pour gérer les zones conquises ou rechercher des personnes. Il s’agit ainsi d’éviter un scénario redouté tel que l’a connu récemment l’Afghanistan, où les Talibans se seraient emparés d’une base de données du personnel du gouvernement déchu.

Les hyperscalers maintiennent en partie leurs services cloud en Russie

Microsoft et Amazon ont annoncé qu’ils suspendaient les nouvelles ventes de leurs produits et services en Russie, cloud compris. Les deux fournisseurs n’ont toutefois pas indiqué le sort réservé à leur clientèle existante dans le pays, à l’exception des organisations directement visées par les sanctions. «Contrairement à d'autres fournisseurs de technologie américains, AWS n'a pas de centres de données, d'infrastructures ou de bureaux en Russie, et nous avons depuis longtemps pour politique de ne pas faire affaire avec le gouvernement russe. Nous avons également cessé d'autoriser les nouvelles inscriptions à AWS en Russie et au Belarus. Nos plus gros clients utilisant AWS en Russie sont des entreprises dont le siège social est situé en dehors du pays et qui ont des équipes de développement sur place», explique ainsi Amazon sur son blog.

Selon un analyste d’IDC cité par Reuters, la présence des hyperscalers serait relativement réduite en Russie, les entreprises locales rechignant à utiliser le cloud, et en particulier les services d’entreprises américaines. Le cloud ne représenterait que 5% des dépenses IT en Russie contre 19% aux Etats-Unis.

Mardi 8 mars 2022:

La Russie compte légaliser l’emploi pirate de certains logiciels

Pour répondre aux sanctions économiques, le gouvernement russe prévoit diverses mesures, dont une modification du code civil relative aux brevets sur les technologies, selon le site business russe Kommersant. D’une part, les logiciels étrangers seraient soumis à une licence obligatoire de manière à soutenir les solutions des éditeurs russes. D’autre part, les violations de licences de logiciels ne seraient plus poursuivies, dès lors que les éditeurs proviennent des pays à l’origine des sanctions. La mesure pourrait typiquement s’appliquer aux produits de Microsoft, Oracle et SAP qui ont interrompu leurs ventes à la Russie.

DDoS contre les sites gouvernementaux ukrainiens

Après que la Russie a fait état d’attaques par déni de services à, son encontre (voir ci-dessous), l’Ukraine affirme à son tour être visée par de tels assauts. Sur Twitter, l’organisme SSSCIP chargé de la cybersécurité nationale en Ukraine indique subir d’incessantes attaques DDoS depuis l’irruption du conflit. Les pirates russes s’en seraient notamment pris au parlement, à la présidence et à divers ministères. Selon le SSSCIP, les attaques les plus puissantes dépasseraient 100 Gbps, mais elles ne seraient pas parvenues à rendre les sites web gouvernementaux indisponibles. «La seule chose que les occupants ont réussi à faire est de remplacer les premières pages des sites de certaines autorités locales», indique le SSSCIP.

CDN: Cloudflare et Akamai assistent l’Ukraine mais refusent de boycotter la Russie

Cloudflare et Alkamai - tous deux spécialistes de la distribution et de la protection de contenus Internet (CDN) - ont décidé de continuer leurs services en Russie. «Conformément à notre mission d'alimenter et de protéger la vie en ligne, nous avons pris la décision délibérée de maintenir la présence de notre réseau en Russie. Nous soutenons ainsi nos clients internationaux, notamment les plus grands services d'information, les réseaux sociaux et les institutions gouvernementales démocratiques, qui s'efforcent de fournir des informations essentielles et précises aux quatre coins du monde, y compris aux citoyens russes», explique Akamai, qui a en revanche arrêté ses ventes en Russie et en Biélorussie. Et les explications sont du même ordre chez Cloudflare: «Nous avons reçu plusieurs appels à mettre fin à tous les services de Cloudflare en Russie. Nous avons soigneusement examiné ces demandes et en avons discuté avec des experts du gouvernement et de la société civile. Notre conclusion, en consultation avec ces experts, est que la Russie a besoin de plus d'accès à Internet, pas de moins. Au fur et à mesure que le conflit se poursuit, nous avons constaté une augmentation spectaculaire des demandes d'accès des réseaux russes aux médias du monde entier, ce qui reflète le désir des citoyens russes ordinaires de voir des informations mondiales autres que celles fournies en Russie». Cloudflare est également active côté ukrainien, où elle aide notamment plusieurs dizaines d’entités à se protéger contre les attaques DDoS. La firme a aussi déplacé certains services des datacenters de la région pour préserver leur intégrité.

Lundi 7 mars 2022:

Attaques DDoS perpétrées par l’UE et les USA?

En parallèle aux affrontements sur le terrain, la guerre cyber fait rage entre la Russie et l’Ukraine. Pour preuve, la divulgation par le Centre russe de coordination des incidents informatiques (NKTsKI) d’une liste de 17’576 adresses IP prétendument utilisées pour lancer des attaques DDoS contre des organisations russes et leurs réseaux, rapporte Bleeping Computer. «Si la liste des adresses IP ne fournit pas d'informations sur l'identité des attaquants, la liste des domaines pointe vers des organisations de l'Union européenne et des Etats-Unis, notamment les sites du FBI et de la CIA (il est toutefois possible d'usurper les informations de l'en-tête du référent)», indique le média spécialisé.

Connexions internet perturbées en Ukraine, en Russie…

Via Twitter, le groupe de surveillance Internet NetBlocks a rapporté plusieurs coupures de connexion en Ukraine ces derniers jours. Causée par des dommages aux infrastructures liés aux combats, une importante interruption de service a notamment touché l'opérateur national Ukrtelecom. Une perte de connectivité au réseau desservant Vodafone à Energodar, dans le sud-est de l'Ukraine, a aussi été identifiée. L'Agence internationale de l'énergie atomique a rapporté que les communications avec la centrale nucléaire de Zaporizhzhia, désormais contrôlée par les Russes, ont en conséquence été perturbées. Comme alternative en cas de coupures des infrastructures de communication terrestres, l'Ukraine peut notamment compter sur le réseau satellitaire Starlink (voir ci-dessous, flux du 28.02.2022). Selon Reuters, Elon Musk a fait savoir qu’il allait envoyer davantage de terminaux Starlink en Ukraine.

Cogent Communications a cessé de fournir ses services à ses clients russes, rapporte notamment ZDnet. Cogent est un opérateur de dorsale internet (backbone), en charge du transfert de données entre continents. La société a des dizaines de clients en Russie, dont le géant public des télécommunications Rostelecom. Les résiliations ont commencé vendredi 4 mars, selon une lettre de la société qui cite spécifiquement l'invasion russe de l'Ukraine comme motif de sa décision. Cette mesure entraînera des ralentissements pour les utilisateurs d'internet en Russie.

… et en Europe

Se basant sur une dépêche de l’AFP, plusieurs médias rapportent que l'opérateur de satellite américain Viasat a été touché par un incident cyber survenu en parallèle à l'invasion de l'Ukraine par la Russie. Plusieurs fournisseurs européen d’accès internet par satellite sont également touchés, privant de connexion des dizaines de milliers d'utilisateurs en Ukraine, mais aussi en Allemagne, en France, en Hongrie, en Grèce, en Italie ou encore en Pologne.

Netflix et Tiktok suspendent leurs services en Russie

Netflix a décidé de suspendre ses services en Russie, après avoir suspendu ses acquisitions et la production de programmes originaux dans le pays, selon Reuters. TikTok a de son côté bloqué le livestreaming et le téléchargement de nouveaux contenus en Russie, en raison de la décision du Kremlin de criminaliser la diffusion de ce qu'il considère comme des fake news.

Facebook et Twitter bloqués en Russie

Selon The Guardian, la Russie a complètement bloqué l'accès à Facebook en représailles aux restrictions imposées par la plateforme aux médias d'Etat (voir ci-dessous, flux du 02.03.2022). L'autorité russe de régulation des communications (Roskomnadzor) a également fait savoir qu'elle avait restreint l'accès à Twitter.

Vendredi 4 mars 2022:

Kaspersky sur la sellette

Avec la multiplication des cyberattaques et les sanctions prises par plusieurs pays européens, l’éditeur de cybersécurité russe Kaspersky est sur la sellette. Dans une note d’alerte datant du 2 mars, l’agence française de la cybersécurité estime qu’aucun élément objectif ne justifie d’évaluer différemment les solutions de Kaspersky. L’agence avertit toutefois que l’isolement de la Russie et les cyberattaques qu’elle subit peuvent affecter la capacité des entreprises russes à fournir des services et produits efficaces. Elle appelle ainsi à ne pas déconnecter un outil cyber sans solution de rechange et à envisager une diversification des solutions cyber employées.

Alors que beaucoup d’entreprises concurrentes communiquent sur la guerre et offrent des solutions cyber pour aider l’Ukraine, l’éditeur Kaspersky est par ailleurs sur le fil du rasoir. «Nous saluons l'ouverture de négociations visant à résoudre la situation actuelle en Ukraine et espérons qu'elles aboutiront à une cessation des hostilités et à un compromis. Nous pensons que le dialogue pacifique est le seul instrument possible pour résoudre les conflits. La guerre n'est bonne pour personne» a ainsi tweeté le CEO de la société Eugene Kaspersky. La neutralité du propos et le choix du mot «situation» plutôt que «guerre» ou «invasion» ont provoqué de vives critiques sur le réseaux de microblogging.

L’ICANN refuse de bloquer l’Internet russe

Organisme chargé notamment des noms de domaine à l’international, l’ICANN a refusé d’entraver Internet en Russie. Dans un courrier du 28 février, le vice-premier ministre ukrainien avait demandé à l’ICANN de révoquer les domaines se terminant par «.ru», «.XY», et «.su» et les certificats SSL associés, et de bloquer les serveur racines DNS russes, de manière à lutter contre la propagande et la désinformation. Une proposition critiquée par des spécialistes comte tenu de son impact sur la population russe et du risque de balkanisation d'internet (splinternet). Dans sa réponse, Göran Marby, CEO de l’ICANN, exprime son soutien mais explique que de telles mesures iraient à l’encontre des attributions de l’ICANN, que certaines ne seraient pas techniquement possibles et qu’une action unilatérale éroderait le modèle et la confiance de l’organisme.

La Crimée re-devient ukrainienne sur Apple Maps

Rattachée à la fédération de Russie depuis 2014, la péninsule de Crimée fait à nouveau partie de l’Ukraine sur les cartes d’Apple, a constaté Mashable. Suisse au rattachement avec la Russie, Apple avait dans un premier temps décidé de ne pas décider en laissant la Crimée hors de l’Ukraine et de la Russie. Depuis 2019, la péninsule apparaissait en revanche comme un territoire russe.

Jeudi 3 mars 2022:

Oracle et SAP prennent aussi des sanctions

Les sanctions contre le Russie sont également appliquées par les éditeurs logiciels. Sur Twitter, Mykhailo Fedorov, vice-premier ministre de l'Ukraine en outre responsable de la transformation numérique, indique avoir contacté Oracle et SAP pour les inviter à soutenir l’Ukraine en stoppant toute activité commerciale avec la Russie. Orale a tweeté avoir cessé toutes ses opérations en Russie. Dans un billet de blog, SAP a déclaré cesser toute activité, précisant interrompre toutes les ventes de services et de produits SAP en Russie.

Intel, AMD et TSMC gèlent leurs exportations

Les fondeurs de puces électroniques participent aussi aux sanctions infligées à la Russie. Après les fabricants américains Intel et AMD, le taïwanais TSMC a cessé ses exportations aux entreprises russes, rapporte le site spécialisé Data Centre Dynamics.

Le décrypteur du ransomware Conti a fuité

Quelques jours après l'invasion de l’Ukraine par la Russie, un chercheur en cybersécurité ukrainien a commencé a publié des messages et documents liés au groupe de pirates pro-russes Conti (voir ci-dessous, flux du 01.03.2022). Via le compte twitter @ContiLeaks, la fuite de documents se poursuit. Le chercheur en cybersécurité a notamment publié une archive protégée par un mot de passe contenant le code source de l'encryptage, du décrypteur et du builder du ransomware Conti, rapporte Bleeping Computer. Un autre chercheur aurait rapidement cracké le mot de passe.

Peine de 15 ans de prison pour la publication de «fake news»

Pour lutter contre la publication d'informations n'allant pas dans le sens de sa propagande, le pouvoir russe envisage de durcir son arsenal répressif, lit-on dans une dépêche AFP notamment relayée par France24. Un parlementaire russe a déclaré à l'agence de presse TASS que le parlement allait discuter d’un projet de loi qui permettrait d'infliger des peines de prison jusqu' à 15 ans pour toute publication de «fake news».

Twitter aussi bloque RT et Sputnik

Se basant sur une dépêche de l’AFP, plusieurs médias rapportent que Twitter s’est aussi aligné sur la décision par l’UE de bloquer la diffusion des chaînes russes RT et Sputnik. Twitter emboîte ainsi le pas à d’autres plateformes, dont Facebook, Youtube mais aussi TikTok (voir ci-dessous, flux du 02.03.2022).

Mercredi 2 mars 2022:

IsaacWiper, nouveau virus d'effacement de données

Pour lancer des cyberattaques contre les sites du gouvernement ukrainien, de nouveaux malwares font leur apparition. Peu avant l’invasion russe, les chercheurs en cybersécurité d’ESET ont identifié un nouveau logiciel malveillant d'effacement de données (wiper), qu’ils ont nommé Hermetic Wiper. Les mêmes chercheurs ont découvert un virus similaire utilisé dans un deuxième temps, après le début des hostilités: IsaacWiper. «Nous examinons actuellement s'il existe un lien entre IsaacWiper et HermeticWiper. IsaacWiper a été découvert dans une organisation gouvernementale ukrainienne qui n'a pas été touchée par HermeticWiper», souligne dans un communiqué Jean-Ian Boutin, Head of Threat Research chez ESET. La firme prévient en outre qu’il n’est pas impossible que, tôt ou tard, IsaacWiper soit utilisé en dehors de l'Ukraine.

Google Maps désactive les infos trafic

Google a désactivé les infos trafic sur Google Maps en Ukraine, ainsi que le niveau d’affluence dans les lieux tels que les magasins et les restaurants. La maison mère de Google, Alphabet, l’a confirmé notamment à Reuters, précisant avoir agi de la sorte pour protéger les communautés locales. Dès le début de la guerre, des experts de l’OSINT («open source intelligence») ont averti que les mouvements des troupes créent des embouteillages livrant des informations sur de futures offensives.

Infrastructures des services de sécurité dans le viseur

Les Russes ont l'intention de viser spécifiquement les infrastructures des services de sécurité, notamment dans le centre de la capitale ukrainienne. Une info entre autres rapportée par CNN, se basant sur un communiqué publié mardi par l'agence de presse étatique russe TASS. L’objectif déclaré étant de faire cesser les attaques informatiques contre la Russie.

Les chaînes RT et Sputnik bannies

Les plateformes numériques se sont alignées sur la décision par l’UE de bloquer la diffusion des chaînes russes RT et Sputnik (voir ci-dessous, flux du 28.02.2022). Le média Business Insider rapporte que les applications de RT et Sputnik ont été bannies de l’App Store (hors Russie) et de Google Play en Europe. Facebook, Youtube mais aussi TikTok (app du chinois ByteDance) ont également bloqué l'accès aux comptes de ces chaînes en Europe. En Suisse, Swisscom et Sunrise ont également pris des mesures en retirant RT de leur bouquet TV, a fait savoir 20minutes.

Chiffrement des discussions sur Instagram

Outre ses décisions liées à Facebook, le groupe Meta a communiqué avoir pris une série de mesures concernant notamment son app Instagram. Celle-ci a activé la possibilité de chiffrer les discussions entre utilisateurs en Ukraine et en Russie.

Apple ne vend plus ses produits en Russie

Apple ne s’est pas contenté de bannir les médias russes de son app store. Plusieurs médias dont CNN indiquent que la marque à la pomme a décidé de stopper la vente de tous ses produits en Russie en raison de l'invasion de l'Ukraine.

Mardi 1er mars 2022:

Une cyberattaque impactant l’un de ses membres pourrait déclencher la réponse de l’OTAN

Une attaque cyber impactant un état membre pourrait déclencher l’article 5 de l’OTAN menant à une défense collective. «Les alliés reconnaissent également que l'impact de cyberactivités cumulatives malveillantes importantes pourrait, dans certaines circonstances, être considéré comme une attaque armée», a déclaré un responsable de l’alliance à Reuters. Et d’ajouter: «Nous ne spéculerons pas sur la gravité que devrait avoir une cyberattaque pour déclencher une réponse collective. Une réponse pourrait inclure des sanctions diplomatiques et économiques, des mesures cybernétiques, voire des forces conventionnelles, en fonction de la nature de l'attaque». En tout état de cause, la décision du seuil justifiant de déclencher l’article 5 serait une décision politique des membres de l’OTAN.

La Russie déroute et sniffe le trafic Internet d’Ukraine

La Russie redirige actuellement une partie importante du trafic Internet en provenance d’Ukraine, indique le parlementaire européen Bart Groothuis sur son compte Twitter. Connue sous le nom de BGP hijacking, la technique exploite des faiblesses du Border Gateway Protocol pour rediriger et espionner les données circulant sur Internet, y compris des données de géolocalisation ou des appels.

Rapporteur du projet de nouvelle directive européenne en matière de cybersécurité (NIS2), Bart Groothuis en profite pour réitérer sa demande que les pays de l’UE emploient des protocoles de routage plus sûrs, à l’instar de RPKI qui s’appuie sur des certificats cryptographiques. Même inquiétude aux Etats-Unis où la présidente de la FCC, Jessica Rosenworcel, a demandé hier (28.02.22) dans un communiqué «d’envisager d'examiner les vulnérabilités du système de routage mondial de l'Internet en raison des risques potentiels pour la cybersécurité découlant du conflit entre la Russie et l'Ukraine».

Systèmes de communication satellites attaqués

L’opérateur de communication par satellite Viasat a indiqué être victime d’une cyberattaque. Coïncidant avec le début de l’attaque militaire russe, l’opération cyber touche ses clients broadband en Ukraine, mais aussi d’autre organisations utilisant le réseau européen KA-SAT.

Dans le même domaine, le vice premier ministre ukrainien Mykhailo Fedorov s’est félicité sur Twitter d’avoir reçu les terminaux Starlink promis par Elon Musk. Le patron de Starlink avait précédemment activé son vaste système de communication satellite en Ukraine (voir ci-dessous, flux du 28.02.2022). Spécialisé dans la connectivité en temps de guerre, le chercheur canadien John Scott-Railton relève toutefois que les communications satellites via Starlink pourraient être exploitées pour déterminer la localisation de l’appelant, et que les forces russes disposent de compétences dans ce domaine précis.

FoxBlade: un nouveau malware ciblant l’Ukraine identifié par Microsoft

Les équipes sécurité de Microsoft ont identifié un nouveau malware ciblant l’Ukraine, qu’ils ont baptisé FoxBlade. Les chercheurs du Microsoft’s Threat Intelligence Center ont détecté une série de cyberattaques dans les heures précédant le début des opérations russes. «Nous avons immédiatement informé le gouvernement ukrainien de la situation, notamment de notre identification de l'utilisation d'un nouveau logiciel malveillant, et nous avons fourni des conseils techniques sur les mesures à prendre pour empêcher le succès du malware», explique Brad Smith, président de Microsoft.

Selon la note de sécurité de Microsoft datant du 23 février, FoxBlade est un Cheval de Troie permettant d’exploiter l’ordinateur infecté pour mener des attaques DDoS. L’entreprise indique avoir rédigé et ajouté à des signatures permettant de détecter FoxBlade à son outil Defender dans les trois heures suivant sa découverte.

Le réseau ferroviaire biélorusse ciblé par les hackers ukrainiens

Des hackers biélorusses affirment avoir piraté le système ferroviaire de leur pays pour ralentir le transport de troupes russes en direction de l’Ukraine, rapporte le média britannique The Independent. Le groupe actif sous le nom de «Cyber Partisans» indique qu’il a encrypté les données des routeurs et commutateurs réseau du système de contrôle ferroviaire, lequel est désormais contraint d’opérer en mode manuel, ce qui aurait entraîné l’arrêt de trains à Minsk, Orsha et Osipovichi.

Les moscovites privés de Apple Pay et Google Pay

Les sanctions financières décidées par les pays occidentaux ont pour conséquences que les cartes de crédit de plusieurs banques russes ne permettent plus d’effectuer des paiements avec Apple Pay et Google Pay. La population habituée à users de ces modes de paiement mobiles est contrainte de retirer et de payer en cash. Le journaliste irlandais Jason Corcoran a publié sur Twitter des images de files d’attente dans le métro de Moscou qui seraient dues à cette situation.

Données des hackers pro-russes de Conti exposées

Spécialisé dans l’exploitation de ransomware, le groupe de hackers Conti a été victime d’une fuite de données, rapporte le site Infosecurity. Basés à Saint-Petersburg selon Wikipedia, le groupe Conti a publié vendredi (25.02.22) un message sur son site menaçant de ripostes «avec tous les moyens possibles» quiconque déciderait de mener à bien des cyberttaques contre la Russie. En réponse, un chercheur ukrainien a mis la main sur les milliers de messages que les pirates de Conti se sont échangés sur leur serveur Jabber depuis janvier 2021. Actuellement analysés par des spécialistes, les messages contiendraient des informations intéressantes, telles que leurs relations avec les groupes Trickbot et Emotet ou encore les adresses Bitcoin employées pour récupérer les rançons.

Lundi 28 février 2022:

Accès restreint à Twitter et Facebook en Russie

Twitter indique via un tweet que l'accès à sa plateforme est restreint en Russie. Le groupe de surveillance Internet NetBlocks a constaté des connexions interrompues ou fortement limitées dès samedi 26 février. L’accès à Facebook est également limité. Le régulateur russe des technologies et des communications a déclaré limiter le réseau après les mesures de fact-checking de celui-ci appliquées aux comptes de médias d'Etat, rapporte notamment The Verge.

Blocage exercé par Youtube

Répondant à la demande du vice-Premier ministre ukrainien Mykhailo Fedorov, Youtube a restreint l'accès aux chaînes russes, dont Russia Today (RT), en Ukraine, selon plusieurs médias dont Forbes. Alphabet a en outre empêché le média public russe RT et d'autres chaînes de monétiser leurs annonces sur les sites Google et Youtube.

Diffusion de RT et Sputnik interdites dans l’UE

Des blocages de parts et d’autres sont également opérés ailleurs que sur les plateformes en ligne. Le régulateur russe des technologies et des communications a déclaré avoir mis en demeure certains médias russes rapportant des bombardements et la mort d’Ukrainiens, ou qualifiant l'opération en cours d'attaque ou d'invasion. De son côté, l’Union européenne a déclaré qu’elle allait interdire à la machine médiatique du Kremlin toute diffusion dans l'UE. Les médias Russia Today et Sputnik, détenus par l'Etat russe, ne pourront plus être diffusés dans l’UE.

Anonymous entre en guerre

Les opérations de piratage informatique font en outre partie du quotidien de cette guerre (et pourraient déborder dans d’autres pays). Pour étoffer ses forces en la matière, le gouvernement ukrainien a publié des appels aux hackers volontaires sur des forums spécialisés, a rapporté Reuters. En outre, les hackers Anonymous ont déclaré sur Twitter être entrés en cyberguerre contre le gouvernement russe. Ils revendiquent entre autres le piratage de sites officiels du Kremlin et celui de chaînes de télévision publiques russes, par le biais desquelles ils aurait diffusé «la réalité de ce qui se passe en Ukraine», précise un tweet d’Anonymous.

Elon Musk envoie des satellites Starlink en Ukraine

Samedi 26 février, le vice-Premier ministre ukrainien Mykhailo Fedorov s’est adressé à Elon Musk sur Twitter, lui demandant de déployer en Ukraine son service de connexions internet par satellites Starlink. Ce à quoi Elon Musk a répondu par l’affirmative, permettant ainsi à l’Ukraine d'avoir une alternative en cas de coupures des infrastructures de communication terrestres.

Géolocalisation de vidéos

La guerre en Ukraine est l’un des premiers conflits qui implique l’OSINT («open source intelligence»), un ensemble de techniques permettant de suivre les opérations sur le terrain via les images et vidéos diffusées sur les réseaux sociaux, rapporte notamment Time Magazine. Des communautés de spécialistes de l’OSINT vérifient l'authenticité de vidéos ou s’en servent pour géolocaliser des explosions ou encore l’avancée des troupes, en faisant appel à Google Maps.