C’est une guerre qui ne fait pas de bruit, menée sur Internet. Alors que les bombes pleuvent en Ukraine, des hackers russes s’attaquent aux gouvernements occidentaux via des infrastructures critiques sur tout le continent.
Ces dernières semaines, les cyberattaques sont devenues plus intenses et nombreuses. Tous les pays rangés du côté de l’Ukraine sont dans le collimateur, y compris la Suisse. Les recherches du SonntagsBlick le montrent: des pirates informatiques prorusses ont attaqué le Département fédéral des affaires étrangères (DFAE). C’est ce qui ressort d’un rapport de situation confidentiel du Service de renseignement de la Confédération (SRC) daté du 24 juin.
E-mails frauduleux
Pour attaquer le département suisse, les pirates ont utilisé des e-mails dits de phishing. Dans ces messages, les cybercriminels font passer leurs textes pour des communications fiables dans le but d’obtenir des données sensibles. D’après le rapport de situation, les e-mails auraient été dûment identifiés comme frauduleux et supprimés.
L’intention exacte des pirates n’est pas claire. S’agissait-il uniquement d’une fraude à but commercial ou d’une tentative d’espionnage? Dans son rapport de situation, le SRC écrit: «Après avoir réussi à pénétrer dans un système informatique à des fins d’espionnage, cet accès peut également être utilisé à des fins de sabotage (notamment pour effacer des données).»
Questionnée sur l’attaque via phishing contre le DFAE, la Confédération reste prudente. «Pour des raisons de sécurité, le DFAE ne donne pas de détails sur les tentatives d’attaque», explique Andreas Heller, porte-parole du Département des affaires étrangères.
La menace informatique augmente
Au Centre national de cybersécurité (NCSC), on ne veut même pas entendre parler d’une attaque «qualifiée». La porte-parole Manuela Sonderegger explique: «Depuis le début du conflit ukrainien, le NCSC n’a observé aucune cyberattaque ciblée contre la Confédération qui puisse être clairement mise en relation avec le contexte du conflit.» Le fait que le SRC place explicitement l’attaque de phishing dans son rapport confidentiel dans le contexte du cyberespionnage russe contre les gouvernements favorables à l’Ukraine ne change rien à sa réponse.
Le service de renseignement lui-même assure enfin que la situation est suivie de près. Selon la porte-parole Isabelle Graber, la guerre en Ukraine n’a jusqu’à présent «pas directement» entraîné une augmentation des cyberattaques contre la Suisse. Elle reconnaît toutefois que «la menace informatique a augmenté.»
Le sujet est délicat, et le timing encore plus. Lundi, des politiciens du monde entier doivent se rendre à Lugano (TI) pour participer à la conférence sur la reconstruction de l’Ukraine. Un événement dont les discussions pourraient intéresser les services de renseignement du Kremlin.
Des pirates informatiques publics et privés collaborent
La semaine dernière, le Service de renseignement de la Confédération a publié son rapport d’activité annuel. Il y classe le cyberespionnage contre la Suisse comme «très probable» à la suite de la guerre en Ukraine. «Les logiciels malveillants volent plus loin que les missiles», écrit le SRC.
Il est souvent difficile d’identifier clairement les émetteurs de cyberattaques. Dans le cas d’opérations en provenance de Russie, les auteurs étatiques et privés se confondent. Le Kremlin collabore de plus en plus avec des bandes de hackers criminels. Dernier exemple en date: le groupe Killnet, l’équivalent russe d’Anonymous.
Les Five Eyes, une alliance de services secrets d’Australie, du Canada, de Nouvelle-Zélande, de Grande-Bretagne et des États-Unis, classent cette troupe parmi les criminels en ligne qui agissent principalement pour des motifs financiers, mais qui se laissent aussi parfois embrigader pour servir les intérêts du gouvernement russe.
Plusieurs pays menacés par les attaques
Au cours des dernières semaines, Killnet a attaqué de nombreux pays d’Europe occidentale. Une attaque en Lituanie, où le groupe a paralysé des autorités et des entreprises, a particulièrement retenu l’attention. Sur le service de messagerie Telegram, Killnet s’est vanté de cette attaque et a menacé d’en lancer d’autres. La raison en serait que la Lituanie a adopté les sanctions de l’UE et bloque le transport de marchandises comme l’acier vers l’enclave russe de Kaliningrad.
Killnet est également dans le viseur du service de renseignement suisse. Dans son rapport de situation confidentiel, il mentionne le groupe russe. Sur Telegram, Killnet est remercié pour son soutien dans les cyberattaques contre l’infrastructure de la Lituanie, indique le SRC.
On ne sait pas si les hackers de Vladimir Poutine sont également à l’origine des attaques contre la Confédération. Ce qui est sûr, en revanche, c’est qu’ils ne tarderont pas à frapper à nouveau, quelque part en Europe.