Robin* se souvient très clairement du début de l’invasion russe de l’Ukraine. « C’était comme regarder l’invasion de la Pologne par Hitler en direct à la télévision », ont-ils déclaré.
Responsable de la cybersécurité dans une grande entreprise de Stockholm, Robin avait une méfiance profondément enracinée envers la Russie et un ensemble particulier de compétences qu’il souhaitait mettre à profit pour aider l’Ukraine.
Dans les mois qui ont suivi l’invasion, le Suédois a rejoint les rangs d’un vaste réseau de guérilla de pirates informatiques mondiaux qui s’attaquent à la Russie depuis leurs claviers. En raison de la nature illégale de leurs actions, ils ont parlé à Euronews Next sous couvert d’anonymat.
L’implication de Robin a commencé sur Signal, une application de messagerie cryptée. Ils ont été ajoutés à plusieurs groupes Signal qui ont réuni des professionnels de la cybersécurité hautement qualifiés en Europe pour discuter des développements cybernétiques dans la guerre en cours.
Mais lorsque l’invasion a eu lieu, Robin voulait faire plus que parler.
« Pour moi, c’était important ; sachant qu’à travers tout cela jusqu’à présent, j’ai fait quelque chose », ont-ils déclaré à Euronews Next, revenant sur leurs actions plus tôt cette année.
« Quoi qu’il arrive, même si nous entrons dans l’hiver nucléaire, je sais que j’ai essayé quelque chose pour aider ».
En tant que testeur d’intrusion, quelqu’un qui est embauché pour tester les vulnérabilités du système en les piratant directement, Robin a déclaré qu’il voulait prendre des mesures directes contre la Russie à la suite de l’invasion.
« J’ai remarqué que quelqu’un dans l’un de ces groupes avait écrit quelque chose d’étrangement spécifique, il semblait donc clair qu’ils avaient des liens avec l’Ukraine », a déclaré Robin.
« J’ai décidé d’y aller et j’ai posté que je suis prêt à faire quelque chose d’offensant, et j’ai demandé si quelqu’un faisait quelque chose d’offensant ici ».
Peu de temps après, ils ont été contactés par une personne connue uniquement sous le nom de « PR »* qui voulait avoir une idée du type de compétences que Robin pouvait apporter à la table.
Paranoïa, vérification et premières cibles
« Ma préoccupation immédiate était qu’il pourrait s’agir d’un espion russe », a déclaré Robin. « Alors, j’ai contacté quelques spécialistes suédois de la cybersécurité que je connaissais et ils ont tous deux dit qu’ils connaissaient cette personne et que c’était légitime ».
Ils ont découvert que PR était un éminent chercheur ukrainien en sécurité spécialisé dans les systèmes de contrôle industriels, les dispositifs numériques qui contrôlent les infrastructures critiques, la fabrication et l’industrie.
La vérification est allée dans les deux sens. PR a posé des questions à Robin sur leur parcours (ex-militaire, cyber-opérations offensives), quelles compétences ils avaient (hacking, sécurité) et quels secteurs ils connaissaient (télécoms).
Une fois qu’ils furent tous les deux satisfaits, PR envoya un message à Robin : « Pouvez-vous saboter les systèmes ? »
Les pirates peuvent pénétrer dans les systèmes informatiques relativement facilement grâce à une faiblesse dans un programme de partage de fichiers exécuté sur les systèmes d’exploitation Windows, explique Robin.
Ainsi, la première chose qu’ils ont faite a été de cibler les adresses IP russes via cette vulnérabilité et de supprimer tout ce qu’ils pouvaient trouver.
« C’était à large spectre, comme un chalut », a déclaré Robin.
« J’avais plusieurs scripts en cours d’exécution qui supprimaient tout et ne laissaient qu’un seul fichier texte, disant quelque chose comme » vous ne soutenez peut-être pas cette guerre, mais cela continuera à se produire jusqu’à ce que vous arrêtiez votre dictateur « ».
Plusieurs fois, dit Robin, les systèmes russes avaient déjà été effacés par un autre pirate qui y était arrivé en premier, des miettes de pain indiquant la vague de cyberactivité déclenchée par l’invasion russe.
Un cybertempête se prépare
La flambée des cyberattaques contre la Russie a été condamnée dans une rare déclaration en avril par le ministère russe des Affaires étrangères, qui a déclaré avoir observé des centaines de milliers d’attaques hebdomadaires provenant principalement d’Amérique du Nord, d’États membres de l’UE et d’Ukraine.
Il a accusé l’Occident de soutenir les attaquants et les a mis en garde contre « le flirt avec la communauté des hackers ».
« Celui qui sème le cybervent récoltera la cybertempête », indique le communiqué.
À peu près à la même époque, l’unité de sécurité numérique de Microsoft a publié un rapport détaillant les multiples cyber-opérations que les pirates du gouvernement russe ont menées contre l’Ukraine jusqu’à un an avant le début de l’invasion terrestre.
Du 27 février au 8 avril, les chercheurs de Microsoft ont trouvé des preuves de « près de 40 attaques destructrices discrètes qui ont définitivement détruit des fichiers dans des centaines de systèmes dans des dizaines d’organisations en Ukraine ».
Il n’est pas rare que la Russie utilise des cyberattaques destructrices contre ses ennemis. Bien qu’il soit presque impossible de retracer des cyberattaques individuelles jusqu’à un acteur étatique, une cyberattaque de 2007 par des pirates informatiques russes contre l’Estonie est largement reconnue comme le premier exemple d’arme cybernétique utilisée par un acteur étatique contre un autre.
Ces dernières années, les pirates informatiques russes ont également été largement soupçonnés d’être à l’origine des efforts visant à perturber les élections dans les pays occidentaux, notamment les États-Unis, l’Allemagne et la France.
« Retarder et créer le chaos » en Russie
La deuxième tâche de Robin était plus spécifique et stratégique. PR a déclaré qu’il y avait une opération visant à empêcher la Russie d’utiliser son chemin de fer public pour transporter du matériel vers les lignes de front.
« Nous devons interrompre leurs processus commerciaux et les empêcher d’utiliser les chemins de fer », a écrit PR dans un message le 28 février, vu par Euronews Next. « L’objectif serait l’intrusion et la destruction de l’infrastructure informatique interne ».
PR a envoyé à Robin un dossier complet sur les chemins de fer russes, avec des informations exposant les propriétaires, les adresses IP, les emplacements des centres de données, etc. Chaque fois que Robin avait accès à un système d’administration, il supprimait la base de données, puis supprimait tous les fichiers du système.
« C’était juste pour retarder et créer le chaos », dit Robin. « Cela n’arrêterait jamais l’invasion, mais cela la retarderait et la rendrait plus difficile ».
Robin dit qu’ils n’ont jamais reçu de retour sur le résultat de ces tâches de la part des relations publiques ou de leurs contacts ukrainiens. Mais à cette époque, vidéos ont commencé à apparaître sur les réseaux sociaux montrant que l’armée russe avait du mal à se réapprovisionner en munitions et en carburant, ce que Robin espérait avoir pu être en partie dû à leurs actions.
« Je ne sais pas combien cela a aidé, si cela a aidé », a déclaré Robin. « Peut-être que retarder ce chemin de fer d’un mois a donné aux civils une autre fenêtre pour sortir. Cela me suffit ».
Surestimer la Russie
Alors que Robin continuait à recevoir des tâches de PR, allant de la collecte d’informations sur les entreprises logistiques russes au piratage des caméras de surveillance pour donner plus d’yeux aux forces ukrainiennes dans les territoires occupés, ils ont déclaré qu’ils étaient surpris de constater à quel point il était facile d’entrer dans les systèmes russes.
« Je ne pense pas que la Russie dans son ensemble était préparée à l’idée qu’elle deviendrait une zone de cyber-entraînement pour tous les hackers du monde une fois qu’elle aurait commencé cette invasion », a déclaré Robin.
« Tout était si sans défense, si ouvert. Et c’était étrange parce que la cyberguerre dure depuis si longtemps ».
Depuis le début de l’invasion, les experts et les commentateurs ont surestimé à plusieurs reprises les capacités russes sur et hors du champ de bataille.
« C’est l’une des grandes leçons de la guerre en Ukraine », a déclaré James Lewis, vice-président principal et directeur du programme des technologies stratégiques au Centre d’études stratégiques et internationales (CSIS). « Les Russes ne sont pas aussi compétents qu’on le pensait ».
Mais en surestimant la Russie, l’Occident a également sous-estimé l’Ukraine et toutes les leçons que Kyiv a apprises au fil des années de relations avec son voisin hostile.
Une armée informatique volontaire
L’une des choses remarquables concernant la réponse de l’Ukraine à l’invasion russe est la rapidité avec laquelle elle a pu rallier le soutien de l’extérieur de ses frontières.
Deux jours après le début de l’invasion russe, le ministre ukrainien de la transformation numérique, Mykhailo Fedorov, a tweeté une demande de cyberspécialistes pour rejoindre «l’armée informatique» ukrainienne.
Le tweet indiquait que les tâches seraient attribuées via un canal Telegram dédié géré par le gouvernement, qui a rapidement accumulé plus de 300 000 membres.
C’est la première fois qu’un gouvernement appelle à l’aide de pirates informatiques volontaires dans une véritable guerre, a déclaré Lewis.
« Les Ukrainiens ont fait du bon travail en intégrant ces efforts bénévoles de la communauté des hackers et de leurs propres citoyens », a déclaré Lewis à Euronews Next.
« Vous ne pouvez pas faire ça à la volée, donc je pense qu’ils ont dû y penser (avant l’invasion de la Russie) ».
Selon les mots de Lewis, l’Ukraine « a reçu un peu d’aide de l’Estonie », qui a développé une ligue de cyberdéfense volontaire après que ses systèmes numériques ont été paralysés par une cyberattaque russe en 2007.
La nation balte et membre de l’OTAN est un poids lourd mondial en matière de cybersécurité, se classant au troisième rang de l’indice mondial de cybersécurité de l’ONU. Il a également été l’un des plus fervents partisans de l’Ukraine bien avant la dernière invasion russe.
Apprendre de Tallinn
Le ministre estonien de la Défense, Hanno Pevkur, a déclaré à Euronews Next que Tallinn partageait des connaissances et des informations avec Kyiv depuis des années sur des questions telles que la cyber-coopération.
« Les Ukrainiens ont appris de nos expériences passées », a déclaré Pevkur.
« L’une d’entre elles est que pour différents types de cybermenaces, nous utilisons également le secteur privé et des experts privés. Ils ont probablement vu que c’était aussi l’une des meilleures options pour eux car ils ne s’appuient pas sur une seule institution, l’État. . Il faut être flexible ».
La Cyber Defense League estonienne, bénévole, puise dans les talents numériques du secteur privé, permettant au gouvernement d’accéder à des spécialistes qu’il ne pourrait normalement pas se permettre. La clé de son succès, selon Pevkur, est de réduire les formalités administratives.
« Lorsque nous voyons que les (cyber)menaces augmentent, nous avons la possibilité de contacter les volontaires et ils peuvent venir nous aider », a déclaré Pevkur.
« Nous essayons de garder les choses simples, de ne pas trop réglementer ou d’imposer des charges aux différentes coopérations ».
Depuis que l’Ukraine a été acceptée cette année en tant que « participant contributeur » au Centre d’excellence coopératif de cyberdéfense de l’OTAN à Tallinn, la question des capacités de cyberdéfense volontaires pourrait devenir un sujet de discussion plus important.
Lignes floues
Lewis est convaincu que la guerre en Ukraine ne sera pas la dernière fois que nous verrons la frontière entre les cyberopérations civiles et militaires s’estomper.
« Cela va être crucial (d’intégrer des volontaires civils) car il y a une différence entre une foule et une armée », a-t-il déclaré.
« Une foule court et fait des choses et elles peuvent ne pas être bénéfiques. Une armée fait des choses qui sont directives pour contribuer à l’issue du conflit. Donc, trouver un moyen d’organiser, d’intégrer et de guider ces pirates non militaires et non gouvernementaux est une grande partie ».
Quant à Robin, le moment est presque venu pour eux de raccrocher leur chapeau, après des mois de nuits blanches à chasser des cibles russes dans le cyberespace.
« Au cours de l’été, j’ai pris quelques semaines de congé parce que je commençais à être vraiment fatigué », ont-ils déclaré.
« C’est difficile à décrire, mais j’ai juste dû arrêter de m’en soucier pendant un moment. Mon partenaire s’énervait aussi. Et dernièrement, j’ai pris du recul et j’essaie de m’en sortir complètement ».
Robin dit que c’est un sentiment surréaliste de se déconnecter d’une mission qui occupait chaque moment libre de leur journée, mais qu’ils ne s’inquiètent pas des futures cyberopérations en Ukraine.
« La vie de ce côté-ci de la guerre est comme avant, juste aller travailler », a déclaré Robin.
« Très peu de gens en parlent de nos jours. C’est devenu comme une nouvelle papier peint. Mais si je comprends bien, il y a encore beaucoup d’actifs qui fonctionnent, donc je ne pense pas que partir ou partir soit quelque chose qui inverse la tendance ».
*Les noms ont été changés dans cet article à la demande de la personne interrogée pour respecter son souhait de rester anonyme.