Les petits États, une cible facile en cyber

Dans les démocraties libérales comme dans les pays autoritaires, le développement de capacités cyber offensives est né dans les sphères de la sécurité nationale : son utilisation comme moyen d’espionnage ou déstabilisation était sa première raison d’être, ce qui explique que les capacités cyber des États autoritaires ont été mises très tôt à profit d’opérations politiques de subversion et de déstabilisation. Le transfert progressif de ces capacités dans le milieu criminel a élargi le nombre d’acteurs susceptibles d’exploiter cette arme peu coûteuse, anonyme et utilisable à distance pour mener des actions malveillantes. Alors que les grands États ont développé des capacités de cyberdéfense et des outils cyber offensifs de dissuasion et de rétorsion, les autocraties et les cybercriminels ont utilisé d’initiative leurs outils contre des acteurs vulnérables, avec des motivations politiques ou économiques.

Pour les autocraties qui mènent des politiques d’agression, d’expansionnisme ou d’influence, les cyberattaques sont un moyen de contraindre ou de fragiliser des petits États. Le coût est faible, l’attribution réelle difficile et les conséquences limitées. En s’inscrivant dans la durée, comme la Russie l’a fait en Ukraine entre 2014 et 2022, ces cyberattaques sont susceptibles de fragiliser la cohésion nationale, l’économie ou l’autonomie stratégique de petit pays souvent tiraillés entre plusieurs pôles d’influence géopolitique. Pour cette raison, les cyberattaques à des fins de déstabilisation sont fréquentes, ce qui a amené les États-Unis à développer des missions de "chasse de l’avant" (Hunt Forward) pour lesquelles des équipes de la NSA et de l’US Cyber Command apportent leur aide à des pays hôtes pour scanner les réseaux et rechercher des maliciels (malware) : cela a été le cas dans 44 pays, dont la Lituanie, le Monténégro, l’Ukraine, l’Albanie ou la Croatie.

En outre, le niveau de cybersécurité des grandes puissances et des États riches a sensiblement augmenté grâce à la conjonction d’efforts politiques, de nouvelles ressources budgétaires, d’une sensibilisation accrue des acteurs impliqués et des grandes entreprises occidentales ciblées par les cybercriminels. Cette augmentation du niveau global de la cybersécurité a mené progressivement les groupes cybercriminels, aujourd’hui très professionnels, à s’attaquer systématiquement aux administrations et entreprises des petits pays, beaucoup plus vulnérables.

À partir du 15 juillet 2022, une série de cyberattaques a mis hors d’état de fonctionner les sites gouvernementaux albanais, comme ceux du Premier ministre et du Parlement. Ces attaques ont aussi mis à l’arrêt le portail E-Albania, essentiel pour la population en raison de la dématérialisation de nombreux processus administratifs et des applications qu’il permettait comme des facilités de paiements, des sites de réservation médicale ou l’enregistrement des enfants à l’école. Les services publics ont ainsi été durement touchés, illustrant un paradoxe fort : les petits États ont parfois numérisé plus vite leurs services et ainsi accru leur surface numérique et leur vulnérabilité, alors même qu’ils sont moins bien défendus face aux cyberattaques.

Ces attaques ont consisté en plusieurs modes opératoires :

1. Des attaques DDoS (Distribution Denial of Service) saturant de requêtes informatiques les sites visés, entraînant leur mise à l’arrêt ;
2. Du vol et de la diffusion de données (hack and leak), notamment des emails de la primature albanaise ou l’identité d’officiers de renseignement albanais ;
3. Le lancement d’un rançongiciel sur plusieurs réseaux gouvernementaux, affichant sur les ordinateurs un message politique, tout en déployant en parallèle un maliciel de destruction des données sur les ordinateurs visés (wiper).

Le 18 juillet 2022, un groupe dénommé HomeLand Justice a revendiqué cette attaque. Considérant que le message politique déployé par le rançongiciel critiquait fortement l’Organisation des Moujahidines du Peuple Iranien (OMPI ou Mujahideen E-Khalq MEK), une organisation d’opposition iranienne, il était clair pour le gouvernement albanais que cette série d’attaques provenait d’un acteur malveillant iranien, étatique ou privé. En effet, le gouvernement albanais accueille sur son sol, à la demande des États-Unis, une base de cette organisation, auparavant située en Irak et considérée comme l’ennemi juré de la République Islamique d’Iran. Pour cette raison, l’Iran a vraisemblablement organisé cette série d’attaques pour punir l’Albanie et pour accroître fortement la pression sur ce petit pays afin qu’il renonce à l’accueil de cette organisation sur son territoire.

Cette première série d’attaques a duré jusqu’au mois d’août. Les services gouvernementaux albanais ont été durablement touchés et durant de longues semaines, les hackers iraniens ont neutralisé des systèmes, volé des données sensibles et les ont diffusées. Au regard de la grande difficulté à faire face, l’Albanie a même hésité à déclencher la clause de solidarité de l’article 5 du traité de l’OTAN, s’estimant attaquée à un niveau équivalent à une agression armée. Si l’argument d’un État mis à l’arrêt du jour au lendemain a été entendu, les discussions internes avec l’OTAN ont toutefois rejeté cette idée. L’absence de morts et de destruction permanente de matériels n’ont pas plaidé pour que l’OTAN considère cette attaque au même niveau qu’une agression armée.

En revanche, les États-Unis ont apporté une aide importante à l’Albanie pour faire face à l’attaque, mener des recherches et protéger les réseaux. L’entreprise Microsoft, des équipes du FBI et des missions Hunt Forward du CYBERCOM sont venues aux côtés des Albanais pour les aider. Ce soutien a permis de comprendre que les hackers iraniens avaient pénétré les réseaux albanais près de 14 mois avant l’attaque de juillet 2022. Ce point est très important car il illustre la longueur du processus de pénétration d’un premier réseau, puis de nouveaux réseaux par des techniques de latéralité (déplacement au sein d’un réseau ou entre deux réseaux pour compromettre un maximum d’ordinateurs) et de maintien d’accès (création de faux comptes utilisateurs, amélioration des privilèges de comptes existants, mise en place de portes dérobées). Cette patience est une prouesse technique et atteste du professionnalisme des hackers iraniens mais aussi de la faiblesse de la cyberdéfense albanaise.

Cette série a été suivie d’une nouvelle vague d’attaques en septembre 2022 avec les mêmes modes opératoires, ce qui a entraîné une rupture des relations diplomatiques entre l’Albanie et l’Iran. Après avoir désigné l’Iran comme responsable dans une allocution télévisée, le 7 septembre 2022, le gouvernement albanais a donné 24 heures à l’ensemble des diplomates iraniens pour quitter le pays. Début 2023, les autorités albanaises ont indiqué encore subir des attaques fréquentes et devoir dédier un grand nombre de ressources pour prévenir et remédier à ces attaques.

Il y a un point qui illustre la difficulté à établir clairement ce qui se déroule dans l’espace numérique : si l’attribution à des hackers iraniens a été confirmée, avec un haut niveau de confiance, par la société Microsoft, cette dernière a aussi évoqué l’hypothèse d’une rétorsion iranienne à des cyberattaques menées contre l’Iran par des hackers liés à Israël et à l’Albanie, ces deux pays ayant une coopération importante dans le domaine sécuritaire.

Enfin, exemple de la complexité des enjeux mêlant géopolitique et cyberespace, plusieurs indices tendent aussi à supposer une coopération étroite entre l’Iran et la Russie sur ces séries de cyberattaques. La participation de certains hackers situés en Russie, les modes opératoires similaires aux cyberattaques russes observées en Ukraine, le rapprochement militaire récent entre l’Iran et la Russie ou la forte tension entre la Russie et l’Albanie - cette dernière ayant apporté son soutien à l’Ukraine après l’invasion russe de février 2022 - sont autant d’indices ou de motivations qui suggèrent une coopération russo-iranienne.

À la même période, le 23 août 2022, mais surtout les 26 et 27 août 2022, le voisin monténégrin subissait lui aussi une vague de cyberattaques très importante, dont l’ampleur n’avait jamais été observée auparavant. Celles-ci ont essentiellement visé les structures étatiques, sites internet et serveurs, mais aussi les secteurs des transports et de l’énergie, forçant les entreprises énergétiques à passer en "mode manuel".

À cette date, le pays était en pleine crise politique, le Premier ministre ayant été démis de ses fonctions dix jours auparavant par le Parlement monténégrin, suite à la promulgation d’une loi renforçant l’influence de l'Église orthodoxe pro-serbe (plutôt soutenue par Moscou). Le pays est en effet traversé par une succession de crises qui opposent des partis politiques favorables à l’intégration au sein de l’UE et des partis favorables à la réintégration du Monténégro dans la Serbie, plutôt considérés comme pro-serbes et pro-russes. Entre 2016 et 2017, des cyberattaques et une tentative de coup d’État avaient, par exemple, été organisées avec l’aide des services de renseignement russes du GRU, pour tenter d’empêcher l’intégration du Monténégro à l’OTAN.

Les cyberattaques d’août 2022 ont donc été rapidement attribuées à la Russie. Elles illustrent aussi bien une rétorsion suite à la démission forcée d’un gouvernement favorable au dialogue avec la Serbie, qu’une volonté de pression et de contrainte qui s’inscrit pleinement dans la politique étrangère actuellement menée par le Kremlin à l’égard des anciennes républiques soviétiques qui souhaitent se rapprocher de l’UE et de l’OTAN. La France et les États-Unis ont d’ailleurs envoyé des équipes (ANSSI, FBI) pour aider le pays à se remettre et se protéger des attaques. Dans le prolongement de cette démarche, la France a signé, le 16 novembre 2022, un accord avec le Monténégro et la Slovénie pour mettre en œuvre, dans la capitale monténégrine, un Centre de développement des capacités cyber pour les Balkans occidentaux. Ces attaques s’inscrivent aussi dans le contexte régional : le Monténégro a apporté publiquement son soutien à l’Ukraine dès le lancement de l’invasion russe du 24 février 2022 et a appuyé la candidature de l’Ukraine à l’UE mi-juin 2022, soit 2 mois avant les attaques. Cette position a déclenché une forte hostilité de la Russie.

Dans ce cadre, la cyberattaque est un outil parmi une panoplie d’options et d’actions conflictuelles sans risque de guerre. Ce mode opératoire parfois décrit comme "guerre hybride" est l’usage coercitif d’outils diplomatiques, politiques et militaires dans un cadre de paix : le cyber est très adapté à cette stratégie.

Tous les acteurs impliqués dans ces cyberattaques n’ont pas été identifiés, mais un groupe dénommé Cuba Ransomware a revendiqué au moins une des attaques. Ce groupe se présente comme un groupe nationaliste cubain mais plusieurs indices tendent à montrer qu’il s’agit de cybercriminels russes sous "faux drapeau". Pour autant, des débats se poursuivent pour établir si la Russie est à l’origine des attaques ou s’il s’agit seulement d’un groupe cybercriminel. C’est tout l’enjeu de la cyberguerre : établir des faits dans un environnement fluide, douteux et complexe où les victimes attribuent souvent trop rapidement les responsabilités en fonction de leurs craintes ou du contexte global, sans preuves techniques sur lesquelles s’appuyer.

Préparées par ces attaques, les autorités monténégrines ont indiqué, en mars 2023, être particulièrement vigilantes pour protéger les élections du 19 mars 2023.

Au-delà des confrontations géopolitiques actuelles, les petits États font aussi face à la montée en professionnalisme des groupes cybercriminels. L’extorsion prend alors une ampleur démesurée avec un impact significatif pour les populations et le fonctionnement des services publics. L’effet sur la légitimité des institutions, incapables de se défendre face à des groupes criminels, ne doit pas être sous-estimé. Ce phénomène prend une ampleur considérable à mesure que les grandes puissances renforcent leur cybersécurité, ce qui amène les criminels à concentrer leurs efforts sur des cibles plus vulnérables mais permettant une espérance de gain suffisante pour un groupe criminel.

Ainsi, le 17 avril 2022, un rançongiciel a été activé dans près de 30 institutions étatiques du Costa-Rica, dont des ministères importants, des fonds de pension publics ou la sécurité sociale. Le groupe cybercriminel russe Conti a demandé une rançon de 10 millions $ pour ne pas divulguer les informations sensibles, amenant les autorités costaricaines à déconnecter tous ses réseaux (notamment ceux permettant les échanges financiers et la gestion des importations et exportations ; la perte a été estimée à 30 millions $ par jour). Des cyberattaques de Conti ont été rapportées jusqu’au début du mois de mai. Puis, un second groupe cybercriminel, Hive ransomware group, a lancé de nouvelles attaques le 31 mai 2022 contre certaines institutions étatiques.

Le gouvernement costaricain a reçu de l’aide des États-Unis, de l’Espagne ou d’Israël pour remédier à ces attaques et les services publics en ligne ont été neutralisés plusieurs semaines avant d’être réactivés. Ces attaques ont pris une telle envergure qu’après avoir décrété l’état d’urgence, en avril, le président costaricain a évoqué, le 16 mai 2022, que le pays était dans un état de guerre et que les Costaricains qui auraient pu aider ces groupes cybercriminels à s’infiltrer dans les réseaux gouvernementaux seraient considérés comme des traîtres. On observe ici un changement de registre et l’effet dévastateur sur le plan politique et géopolitique d’attaques menées pourtant à des fins criminelles.

Ces efforts n’ont pas empêché de nouvelles cyberattaques en janvier 2023, durant lesquelles 12 serveurs du ministère des transports ont été chiffrés. En mars 2023, les États-Unis ont annoncé une enveloppe de 25 millions $ pour aider le Costa Rica à renforcer sa politique de cybersécurité. C’est l’illustration de la fragilité inhérente et structurelle des petits États qui n’ont ni les moyens, ni les ressources endogènes pour réaliser des politiques de cybersécurité robustes et durables. Dans un univers aussi fluide et évolutif que l’espace numérique, les petits États auront toujours un désavantage : subir des groupes criminels en perpétuelle évolution, sans avoir les ressources en cybersécurité suffisantes pour suivre et se prémunir de ces mêmes évolutions.

Autre exemple : le 4 novembre 2022, le Vanuatu a subi une vague de cyberattaques mettant hors d’état de fonctionner de multiples serveurs gouvernementaux, notamment les applications mails. La seule chose connue : des rançongiciels ont été déployés, vraisemblablement par des groupes criminels. En effet, pendant plusieurs semaines, l’attaque s’est déroulée dans une relative discrétion, le gouvernement communiquant peu et le groupe à l’origine de l’attaque ne revendiquant rien. Le gouvernement a cessé de fonctionner correctement, avec un fort impact pour la population de cet archipel du pacifique. Si ce pays connaît régulièrement des catastrophes naturelles, ce problème informatique critique est venu s’ajouter à la liste des difficultés. Les hôpitaux ont dû fonctionner de nouveau au crayon et au papier. En décembre, soit plusieurs semaines après, le pays essayait encore de se remettre de cette attaque, illustrant aussi le manque cruel de résilience des petits États. Le pic de difficulté a lieu pendant la crise mais, pour les petits États, cette crise peut durer très longtemps. En janvier 2023, la justice a même confirmé avoir perdu plusieurs mois de dossiers pour des affaires en cours.

Les exemples sont nombreux (le Népal a subi un blocage de plus de 1 500 sites en janvier 2023) et révèlent une tendance depuis plusieurs années dans l’espace numérique : les hackers, criminels ou étatiques, sont plus professionnels, plus efficaces et plus opportunistes. Ils sont en mesure de développer en quelques semaines des accès persistants à des réseaux mal sécurisés, avec des outils performants sans être novateurs. Dans le cadre d’une mauvaise cyberdéfense qui implique souvent une absence de ressources budgétaires mais surtout un manque de personnels formés, l’avantage est nettement à l’attaquant. L’utilisation de vulnérabilités et de failles connues mais non sécurisées, l’utilisation de systèmes d’information anciens, l’absence de logiciels ou de contractants de cybersécurité sont autant de facteurs que les attaquants peuvent exploiter. Dans le cadre d’une contrainte politique ou d’une extorsion, les mécanismes se ressemblent.

À l’avenir, les petits États devront consacrer un budget plus important à leur cyberdéfense, ceux-ci ayant paradoxalement souvent réussi à numériser plus rapidement leurs services publics. Ils devront aussi être aidés, en amont, par des grandes puissances et des grandes entreprises de cybersécurité pour faire face aux velléités impériales ou d’agressions de certaines nations expansionnistes. Des pactes de sécurité cyber pourraient être imaginés pour relier les surfaces numériques à défendre, en coopération bilatérale ou multilatérale. Tant que l’ordre politique et juridique international ne parviendra pas à dissuader les pays de mener des agressions trop faciles dans l’espace numérique ou à juger et condamner les groupes cybercriminels, une logique de solidarité des grandes nations cyber envers les petites nations est souhaitable, sur un plan capacitaire comme sur un plan opérationnel. La cyberguerre en Ukraine a démontré le caractère cardinal du partage public/privé dans une bonne cyberdéfense : ce mantra doit s’appliquer en alliance.

Copyright Image : Anete Lunisa / Pexels