Difficile de prédire comment se terminera la tentative d’invasion de l’Ukraine par la Russie. Sur Internet, c’est tout autre chose. Un an après le début du conflit, la tendance qui se dégage est qu’il ne semble justement y avoir aucune nouvelle tendance.

Après un an de la guerre d’agression russe en Ukraine, la cyberguerre que redoutaient tant de spécialistes au printemps 2022 piétine. En fait, à moins que l’équivalent d’une bombe nucléaire soit encore caché dans l’arsenal cybermilitaire du Kremlin, tout indique que la Russie a déjà perdu la guerre d’Internet.

« Si on avait eu à voir de grandes attaques surprises sur Internet, probablement qu’on les aurait déjà vues », résume Pierre-Marc Bureau, programmeur et dirigeant de l’équipe de cybersécurité Threat Analysis Group (TAG) de Google à Montréal.

Davantage de la même chose

Un rapport publié à la fin de la semaine dernière par Google dressant un bilan de la cyberguerre qui oppose la Russie à la coalition entourant désormais l’Ukraine semble confirmer les propos de Pierre-Marc Bureau. Un premier pic d’attaques cybernétiques a eu lieu en avril dernier, dans les premiers jours de l’invasion terrestre. Un deuxième sommet a été atteint à l’automne.

Dans l’ensemble, le volume d’attaques contre l’Ukraine a augmenté de 250 % depuis un an, par rapport aux années précédentes. Le nombre d’attaques contre les pays membres de l’OTAN a crû de 300 %. Ceux-ci se sont rapidement positionnés en faveur de la défense de l’Ukraine, suscitant la colère du Kremlin et, apparemment, des représailles concentrées sur Internet.

« Ça a clairement fait partie de la stratégie militaire russe », poursuit Pierre-Marc Bureau. « La plupart de ces attaques provenaient de sources connues comme étant affiliées au gouvernement russe. Certaines de ces attaques ont été particulièrement efficaces — dans le cas de certaines centrales électriques ukrainiennes ou de réseaux satellites. Mais dans l’ensemble, on n’a pas vu l’impact dommageable qu’on anticipait. »

Surtout : en un an, les outils utilisés par la Russie et par les groupes de pirates plus actifs depuis le début du conflit pour guerroyer dans le cyberespace n’ont pas changé. Ils demeurent les mêmes.

« En fait, c’est peut-être ça, la tendance : on va continuer à voir un peu plus de cyberattaques, du même type que celles qu’on voyait avant. Il n’y aura peut-être pas de mouvement vers de nouvelles cybermenaces », conclut Pierre-Marc Bureau.

« Mais en même temps, on ne peut pas trop prédire de quoi sera fait l’avenir… »

Moins de rançongiciels que prévu

La division d’analyse des cybermenaces, aussi appelée Google TAG, est répartie dans quatre villes dans le monde. L’équipe de chercheurs située à Montréal se penche normalement davantage sur l’analyse de la cybercriminalité, soit les activités illicites sur Internet qui visent à produire un gain financier.

Pensons notamment aux attaques par rançongiciels, qui verrouillent et rendent inopérant le système informatique de leur victime et qui exigent une rançon pour ensuite le déverrouiller. Quelques attaques par rançongiciels survenues en 2021 ont connu un succès retentissant. En mai 2021, le réseau d’oléoducs américain Colonial Pipeline a été victime d’une telle attaque, ce qui a mis en péril l’approvisionnement pétrolier de certaines villes de l’est des États-Unis. Le prix à la pompe dans ces régions a bondi. Des automobilistes ont rapidement fait la file pour faire des réserves, craignant le pire.

Quand l’armée russe, un an plus tard, a traversé la frontière ukrainienne, une crainte largement répandue dans les sphères internationales de la cybersécurité était que l’on verrait de telles attaques cibler à répétition l’infrastructure critique des pays occidentaux s’opposant à la Russie.

Ce que révèlent les statistiques de la dernière année publiées par Google TAG est que cette menace ne s’est finalement pas concrétisée. « Nous n’avons vu aucune hausse notoire des attaques par rançongiciels en 2022 ciblant des infrastructures stratégiques aux États-Unis ou au sein des pays de l’OTAN, contrairement à ce qu’on prévoyait au début du conflit et surtout, après que des déclarations ont été faites qu’on en verrait davantage », écrivent les auteurs du rapport de Google intitulé Fog of war : how the Ukraine conflict transformed the cyber threat landscape.

L’émergence des vidéos truquées

Au-delà de leur volume, c’est dans la technique utilisée pour créer des cyberattaques ciblées que la véritable leçon cybermilitaire se trouve. De ce côté-là, on ne reviendra jamais en arrière : les services de propagande ont désormais accès à des outils aussi sophistiqués que des voix et des vidéos truquées qui leur permettent d’incarner n’importe quelle personnalité sur Terre, politique ou autre, passée ou présente.

Dans les premiers jours de l’invasion terrestre par l’armée russe, des sites médiatiques ukrainiens ont été piratés afin d’y partager de la propagande russe. Un des éléments de cette propagande était une vidéo du président Volodymyr Zelensky annonçant que l’Ukraine rendait les armes sur-le-champ.

Cette vidéo était évidemment fausse. Elle a été mise en ligne quelques heures avant que le « vrai » président Zelensky se soit présenté devant le Congrès américain pour demander l’aide des États-Unis.

Ce genre de stratégies pourrait inspirer d’autres cyberattaques à l’avenir, pense Google TAG. C’est ce que ses chercheurs appellent du « hacktivisme », une forme d’activisme en ligne qui n’hésite pas à piger dans les outils de cybercriminalité pour faire passer un message, qu’il soit vrai ou faux.

Rien de nouveau, encore là. Rien qui n’a pas été évité ou repéré par la cybersécurité déjà en place. En attendant la prochaine surprise…