Make this article seo compatible, Let there be subheadings for the article, be in french, create at least 700 words
© Reuter. PHOTO DE DOSSIER : Une femme passe devant un magasin de la société de télécommunications ukrainienne Kyivstar, au milieu de l’attaque russe contre l’Ukraine, à Kiev, en Ukraine, le 12 décembre 2023. REUTERS/Alina Smutko/File Photo
Par Tom Balmforth
LONDRES (Reuters) – Des pirates informatiques russes ont pénétré dans le système du géant ukrainien des télécommunications Kyivstar depuis au moins le mois de mai de l’année dernière lors d’une cyberattaque qui devrait servir de « gros avertissement » à l’Occident, a déclaré à Reuters le chef du cyberespionnage ukrainien.
Ce piratage, l’un des plus dramatiques depuis l’invasion à grande échelle de la Russie il y a près de deux ans, a mis hors service les services fournis par le plus grand opérateur de télécommunications d’Ukraine à quelque 24 millions d’utilisateurs pendant plusieurs jours à partir du 12 décembre.
Dans une interview, Illia Vitiuk, chef du département de cybersécurité du Service de sécurité ukrainien (SBU), a révélé des détails exclusifs sur le piratage, qui, selon lui, a provoqué des destructions « désastreuses » et visait à porter un coup psychologique et à recueillir des renseignements.
« Cette attaque est un grand message, un grand avertissement, non seulement pour l’Ukraine, mais pour que le monde occidental tout entier comprenne que personne n’est réellement intouchable », a-t-il déclaré. Il a souligné que Kyivstar était une entreprise privée riche qui investissait beaucoup dans la cybersécurité.
L’attaque a effacé « presque tout », y compris des milliers de serveurs virtuels et de PC, a-t-il déclaré, la décrivant comme probablement le premier exemple d’une cyberattaque destructrice qui « a complètement détruit le cœur d’un opérateur de télécommunications ».
Au cours de son enquête, le SBU a découvert que les pirates avaient probablement tenté de pénétrer dans Kyivstar en mars ou avant, a-t-il déclaré dans une interview sur Zoom (NASDAQ 🙂 le 27 décembre.
« Pour l’instant, nous pouvons affirmer avec certitude qu’ils étaient dans le système au moins depuis mai 2023 », a-t-il déclaré. « Je ne peux pas dire pour l’instant depuis quelle heure ils ont eu… un accès complet : probablement au moins depuis novembre. »
Le SBU a estimé que les pirates auraient été capables de voler des informations personnelles, de comprendre l’emplacement des téléphones, d’intercepter des messages SMS et peut-être de voler des comptes Telegram grâce au niveau d’accès qu’ils ont obtenu, a-t-il déclaré.
Un porte-parole de Kyivstar a déclaré que la société travaillait en étroite collaboration avec le SBU pour enquêter sur l’attaque et qu’elle prendrait toutes les mesures nécessaires pour éliminer les risques futurs, ajoutant : « Aucun fait de fuite de données personnelles ou d’abonnés n’a été révélé ».
Vitiuk a déclaré que le SBU avait aidé Kyivstar à restaurer ses systèmes en quelques jours et à repousser de nouvelles cyberattaques.
« Après la rupture majeure, il y a eu un certain nombre de nouvelles tentatives visant à infliger davantage de dégâts à l’opérateur », a-t-il déclaré.
Kyivstar est le plus grand des trois principaux opérateurs de télécommunications d’Ukraine et quelque 1,1 million d’Ukrainiens vivent dans des petites villes et villages où il n’y a pas d’autres opérateurs, a déclaré Vitiuk.
Les gens se sont précipités pour acheter d’autres cartes SIM à cause de l’attaque, créant ainsi de longues files d’attente. Les distributeurs automatiques utilisant les cartes SIM Kyivstar pour Internet ont cessé de fonctionner et la sirène anti-aérienne – utilisée lors des attaques de missiles et de drones – ne fonctionnait pas correctement dans certaines régions, a-t-il expliqué.
Il a déclaré que l’attaque n’avait pas eu d’impact majeur sur l’armée ukrainienne, qui ne s’appuyait pas sur les opérateurs de télécommunications et utilisait ce qu’il a décrit comme « différents algorithmes et protocoles ».
« En parlant de détection de drones, de détection de missiles, heureusement, non, cette situation ne nous a pas beaucoup affectés », a-t-il déclaré.
VER DE SABLE RUSSE
L’enquête sur l’attaque est plus difficile en raison de la destruction de l’infrastructure de Kyivstar.
Vitiuk s’est dit « à peu près sûr » que l’attaque avait été menée par Sandworm, une unité de cyberguerre du renseignement militaire russe qui a été associée à des cyberattaques en Ukraine et ailleurs.
Il y a un an, Sandworm a pénétré chez un opérateur de télécommunications ukrainien, mais a été détecté par Kiev parce que le SBU avait lui-même pénétré dans les systèmes russes, a déclaré Vitiuk, refusant d’identifier l’entreprise. Le piratage précédent n’a pas été signalé auparavant.
Le ministère russe de la Défense n’a pas répondu à une demande écrite de commentaires sur les propos de Vitiuk.
Vitiuk a déclaré que ce comportement suggérait que les opérateurs de télécommunications pourraient rester une cible des pirates informatiques russes. Le SBU a déjoué l’année dernière plus de 4 500 cyberattaques majeures contre des organismes gouvernementaux ukrainiens et des infrastructures critiques, a-t-il déclaré.
Un groupe appelé Solntsepyok, que le SBU croit être affilié à Sandworm, a déclaré qu’il était responsable de l’attaque.
Vitiuk a déclaré que les enquêteurs du SBU cherchaient toujours à déterminer comment Kyivstar avait été pénétré ou quel type de cheval de Troie malveillant aurait pu être utilisé pour s’introduire, ajoutant qu’il pourrait s’agir d’un phishing, d’une aide interne ou autre.
S’il s’agissait d’un travail interne, l’initié qui a aidé les pirates n’avait pas un niveau élevé d’autorisation dans l’entreprise, car les pirates utilisaient des logiciels malveillants pour voler des hachages de mots de passe, a-t-il déclaré.
Des échantillons de ce malware ont été récupérés et sont en cours d’analyse, a-t-il ajouté.
Le PDG de Kyivstar, Oleksandr Komarov, a déclaré le 20 décembre que tous les services de la société avaient été entièrement rétablis dans tout le pays. Vitiuk a salué les efforts de réponse aux incidents du SBU pour restaurer les systèmes en toute sécurité.
L’attaque contre Kyivstar a peut-être été facilitée en raison des similitudes entre celui-ci et l’opérateur mobile russe Beeline, qui a été construit avec une infrastructure similaire, a déclaré Vitiuk.
La taille même de l’infrastructure de Kyivstar aurait été plus facile à gérer avec les conseils d’experts, a-t-il ajouté.
La destruction de Kyivstar a commencé vers 5 heures du matin, heure locale, alors que le président ukrainien Volodymyr Zelenskiy était à Washington, pressant l’Occident de continuer à fournir de l’aide.
Vitiuk a déclaré que l’attaque n’était pas accompagnée d’une frappe majeure de missiles et de drones à un moment où les gens avaient des difficultés de communication, limitant ainsi son impact tout en renonçant à un puissant outil de collecte de renseignements.
La raison pour laquelle les hackers ont choisi le 12 décembre n’est pas claire, a-t-il ajouté, ajoutant : « Peut-être qu’un colonel voulait devenir général ».