Crédit :domaine public CC0
En 2014, alors que la Russie lançait une guerre par procuration dans l'est de l'Ukraine et annexait la Crimée, et dans les années qui ont suivi, des pirates russes ont martelé l'Ukraine. Les cyberattaques sont allées jusqu'à assommer le réseau électrique dans certaines parties du pays en 2015. Les pirates informatiques russes ont intensifié leurs efforts contre l'Ukraine à l'approche de l'invasion de 2022, mais avec des résultats sensiblement différents. Ces différences sont porteuses de leçons pour la cyberdéfense nationale américaine.
Je suis un chercheur en cybersécurité avec une formation d'officier politique à l'ambassade des États-Unis à Kyiv et travaillant comme analyste dans les pays de l'ex-Union soviétique. Au cours de l'année dernière, j'ai dirigé un programme financé par l'USAID dans lequel des instructeurs de l'Université internationale de Floride et de l'Université Purdue ont formé plus de 125 professeurs de cybersécurité universitaires ukrainiens et plus de 700 étudiants en cybersécurité. De nombreux professeurs sont des conseillers de premier plan auprès du gouvernement ou consultent des organisations d'infrastructures critiques sur la cybersécurité. Le programme a mis l'accent sur les compétences pratiques dans l'utilisation des principaux outils de cybersécurité pour défendre les réseaux d'entreprise simulés contre les logiciels malveillants réels et d'autres menaces de cybersécurité.
L'invasion a eu lieu quelques semaines seulement avant la tenue du concours national de cybersécurité pour les étudiants des 14 universités participantes au programme. Je pense que la formation que les professeurs et les étudiants ont reçue en matière de protection des infrastructures critiques a contribué à réduire l'impact des cyberattaques russes. Le signe le plus évident de cette résilience est le succès que l'Ukraine a réussi à maintenir son Internet malgré les bombes, le sabotage et les cyberattaques russes.
Ce que cela signifie pour les États-Unis
Le 21 mars 2022, le président américain Joe Biden a averti le public américain que la capacité de la Russie à lancer des cyberattaques est "assez conséquente et qu'elle s'en vient". Comme l'a expliqué la conseillère adjointe à la sécurité nationale, Anne Neuberger, l'avertissement de Biden était un appel à préparer les cyberdéfense américaines.
L'inquiétude de la Maison Blanche face aux cyberattaques est partagée par les praticiens de la cybersécurité. L'expérience ukrainienne des cyberattaques russes fournit des leçons sur la façon dont des institutions allant des centrales électriques aux écoles publiques peuvent contribuer à renforcer les cyberdéfense d'une nation.
La cyberdéfense nationale commence par les gouvernements et les organisations qui évaluent les risques et augmentent leur capacité à faire face aux dernières menaces de cybersécurité. Après l'avertissement du président Biden, Neuberger a recommandé aux organisations de suivre cinq étapes :adopter l'authentification par mot de passe multifacteur, maintenir à jour les correctifs logiciels, sauvegarder les données, exécuter des exercices et coopérer avec les agences gouvernementales de cybersécurité.
Contrôle d'accès
La cyberdéfense commence par les portes d'entrée des réseaux d'information d'une nation. En Ukraine, ces dernières années, des pirates ont pénétré dans des réseaux mal protégés par des techniques aussi simples que deviner des mots de passe ou intercepter leur utilisation sur des ordinateurs non sécurisés.
Des cyberattaques plus sophistiquées en Ukraine ont utilisé des techniques d'ingénierie sociale, y compris des e-mails de phishing qui ont amené les utilisateurs du réseau à révéler des identifiants et des mots de passe. Cliquer sur un lien inconnu peut également ouvrir la porte au suivi des logiciels malveillants qui peuvent apprendre les informations de mot de passe.
La recommandation de Neuberger pour l'adoption de l'authentification par mot de passe multifacteur reconnaît que les utilisateurs ne seront jamais parfaits. Même les experts en cybersécurité ont commis des erreurs dans leurs décisions de fournir des mots de passe ou des informations personnelles sur des sites non sécurisés ou trompeurs. La simple étape d'authentification d'une connexion sur un appareil approuvé limite l'accès qu'un pirate peut obtenir en obtenant simplement des informations personnelles.
Vulnérabilités logicielles
Les programmeurs qui développent des applications et des réseaux sont récompensés par l'amélioration des performances et des fonctionnalités. Le problème est que même les meilleurs développeurs négligent souvent les vulnérabilités lorsqu'ils ajoutent du nouveau code. Pour cette raison, les utilisateurs doivent autoriser les mises à jour logicielles, car c'est ainsi que les développeurs corrigent les faiblesses découvertes une fois identifiées.
Avant l'invasion de l'Ukraine, des pirates russes ont identifié une vulnérabilité dans le logiciel de gestion de données leader de Microsoft. Cela ressemblait à une faiblesse du logiciel réseau qui a permis aux pirates russes de libérer le logiciel malveillant NotPetya sur les réseaux ukrainiens en 2017. L'attaque a causé des dommages estimés à 10 milliards de dollars dans le monde.
Quelques jours à peine avant que les chars russes ne commencent à entrer en Ukraine en février 2022, des pirates informatiques russes ont utilisé une vulnérabilité du logiciel de gestion de données leader du marché SQL pour placer sur les serveurs ukrainiens des logiciels malveillants "nettoyeurs" qui effacent les données stockées. Cependant, au cours des cinq dernières années, les institutions ukrainiennes ont considérablement renforcé leur cybersécurité. Plus particulièrement, les organisations ukrainiennes se sont éloignées des logiciels d'entreprise piratés et ont intégré leurs systèmes d'information dans la communauté mondiale de cybersécurité des entreprises technologiques et des agences de protection des données.
En conséquence, le Microsoft Threat Intelligence Center a identifié le nouveau logiciel malveillant au moment où il a commencé à apparaître sur les réseaux ukrainiens. L'alerte précoce a permis à Microsoft de distribuer un correctif dans le monde entier pour empêcher les serveurs d'être effacés par ce malware.
Sauvegarde des données
Les attaques de ransomware ciblent déjà fréquemment des organisations publiques et privées aux États-Unis. Les pirates bloquent les utilisateurs des réseaux de données d'une institution et exigent un paiement pour y accéder.
Les logiciels malveillants Wiper utilisés dans les cyberattaques russes contre l'Ukraine fonctionnent de la même manière que les ransomwares. Cependant, les attaques de pseudo-ransomwares détruisent définitivement l'accès d'une institution à ses données.
La sauvegarde des données critiques est une étape importante pour réduire l'impact des attaques par essuyage ou ransomware. Certaines organisations privées ont même commencé à stocker des données sur deux systèmes distincts basés sur le cloud. Cela réduit les risques que des attaques privent une organisation des données dont elle a besoin pour continuer à fonctionner.
Exercices et coopération
La dernière série de recommandations de Neuberger est de mener en permanence des exercices de cybersécurité tout en maintenant des relations de coopération avec les agences fédérales de cyberdéfense. Dans les mois qui ont précédé l'invasion russe, les organisations ukrainiennes ont bénéficié d'une étroite collaboration avec les agences américaines pour renforcer la cybersécurité des infrastructures critiques. Les agences ont aidé à analyser les réseaux ukrainiens à la recherche de logiciels malveillants et ont pris en charge des tests de pénétration qui utilisent des outils de piratage pour rechercher des vulnérabilités pouvant permettre aux pirates d'accéder à leurs systèmes.
Les petites et grandes organisations aux États-Unis préoccupées par les cyberattaques devraient rechercher une relation solide avec un large éventail d'agences fédérales responsables de la cybersécurité. Des réglementations récentes obligent les entreprises à divulguer des informations sur les cyberattaques à leurs réseaux. Mais les organisations doivent se tourner vers les autorités de cybersécurité avant de subir une cyberattaque.
Les agences gouvernementales américaines proposent les meilleures pratiques pour la formation du personnel, y compris l'utilisation d'exercices d'attaque sur table et simulés. Comme les Ukrainiens l'ont appris, les cyberattaques de demain ne peuvent être contrées qu'en se préparant aujourd'hui.