Le conflit Russie-Ukraine et les opérateurs de télécommunications français

La Fédération de Russie et l’Ukraine, pays situé sur le territoire de l’ex-URSS, ont connu une accentuation de leurs tensions en 2013-2014. Sur cette période, l’Ukraine a été en proie à un soulèvement interne tandis que la Russie a annexé la Crimée. Un cessez-le-feu officiel a été signé par les accords de Minsk en 2015. Toutefois, ayant amassé plus de 100 000 soldats aux frontières, la Russie envahit, occupe et bombarde l’Ukraine depuis le 24 février 2022.

Guerre militaire, guerre économique, guerre d’image, guerre cyber, le conflit entre Kiev et Moscou se joue sur tous les fronts. Alors que les différentes armées sont physiquement présentes aux points d’embrasement, les attaques sur le cyberespace ne sont pas en reste. En ce sens, le président des Etats-Unis a rappelé l’imbrication entre cybermenaces et tensions internationales, le 21 mars 2022, en citant que « L’État russe envisage différentes pistes possibles de cyberattaques ».

Ainsi, l’Ukraine a vu ses infrastructures critiques et ses services essentiels fortement impactés par les attaques de la Russie, notamment dans le secteur des télécommunications, de l’économie, de la santé et de l’énergie. La Russie pourrait utiliser le cyberespace pour de l’espionnage stratégique. Toutefois, le cyberarsenal russe est également capable de supprimer simplement les données ciblées. Cette capacité à réduire à néant, quand bien même dans le cyberespace, peut s’analyser comme un objectif militaire.

De plus, les cybercriminels profitent de l’effet d’aubaine incarné par les tensions internationales pour lancer des percées critiques dans les systèmes d’informations, à travers des campagnes de phishing, ou des escroqueries numériques (e-collectes frauduleuses de dons par exemple). En effet, il existe une certaine perméabilité entre les cybercriminels non affiliés et les cyberattaquants émanant du gouvernement Russe. En conséquence, les exactions cybercriminelles renforcent la difficile attribution étatique des attaques dématérialisées.

Les différentes organisations cybercriminelles ont d’ailleurs eu l’occasion d’affirmer leur participation, parfois intéressée, à l’affrontement entre la Fédération de Russie et l’Ukraine. Si certains groupes se disent neutres, le « cybergang » Conti a rejoint la cause russe par exemple. A contrario, les Anonymous ont déclaré une cyberguerre à la Russie le 24 février 2022, en paralysant des sites étatiques, ainsi qu’en divulguant l’identité de 120 000 soldats russes.

L’importance du secteur des télécommunications

Le secteur des télécommunications fait partie des secteurs dont le bon déroulement des missions/activités contribue au fonctionnement de notre pays. Ils se doivent d’assurer la disponibilité et la continuité 7 jours / 7 – 24h / 24 de leurs services. Les enjeux sont multiples : économies numériques, accès internet, communications vocales, télétravail… Depuis le 24 février 2022, les cyberattaques en déni de service, techniquement connues sous le nom de DoS (Denial of Service attack), se sont démultipliées. Cela se traduit par la saturation des sites par la multiplication des requêtes qui leur sont adressées, via l’utilisation de réseaux de milliers de machines compromises appelées botnets ou zombie. A ce sujet, l’ANSSI définit cette attaque comme « l’action ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu ». Les conséquences pourraient être extrêmement préjudiciables pour un opérateur télécom français : indisponibilité des services vitaux, pertes financières, atteintes à l’image…  A ce titre, des malwares bloquants ou détruisant des données sont également à redouter. Ceux-ci provoqueraient, en effet, une paralysation des systèmes des opérateurs télécoms. 

Il est évident que la période de conflit entre la Russie et l’Ukraine que l’Europe traverse ne fait qu’accroitre les risques et pousse les entreprises de réseaux de télécommunications à adopter une posture de vigilance et de mise en alerte maximale. Cependant, il n’est pour l’instant pas possible d’attribuer les cyberattaques comme une action provenant de la Russie. Même si cette dernière dispose de capacités offensives très importantes dans le domaine cyber, une attaque frontale sur les réseaux télécoms et les infrastructures françaises serait considérée comme un « acte de guerre ». A ce sujet, l’ANSSI met en garde : « l’écosystème des cybercriminels, combiné à d’éventuels effets d’aubaine, incite à la prudence en cas de cyberattaques, qui ne sauraient être interprétées trop rapidement comme une action commanditée dans le cadre du conflit ».

Il est possible de citer la récente cyberattaque du satellite KA-SAT pour perturber les services d’accès internet de l’armée Ukrainienne dont la France apparait comme une « cyber-victime collatérale ». Ce cyber événement, qui a eu lieu le même jour que l’invasion de l’Ukraine, aurait au total impacté 10 000 utilisateurs Français abonnés de l’opérateur Nordnet, une filiale d’Orange, et les auraient coupés d’accès internet. Les modems des abonnés ont été mis à jour automatiquement avec un malware causant la mise hors service du matériel. L’ANSSI et la NSA enquêtent actuellement pour déterminer l’origine de cette attaque.

Outre le risque de cyber attaques, la question des câbles sous-marin est au centre des préoccupations : plus de 400 câbles acheminent la majorité des connexions internet entre l’Europe, les Etats-Unis et la Chine. Plus précisément, 51 d’entre eux font transiter les flux de données jusqu’à l’Hexagone. Pour la France, la route qui concentre toutes les attentions est celle de l’Atlantique puisque 80% de ces échanges internet transitent par les Etats-Unis, à savoir : les échanges de mail, les appels, les espaces de stockage de données, les transactions financières…

Ces canaux physiques font donc partie des enjeux contemporain de pouvoir. Ils font l’objet de rapports de force accrus lors de tensions internationales. Depuis que les Etats occidentaux ont économiquement sanctionné la Russie en réponse au conflit ukrainien, émerge le risque que la Russie cible les câbles sous-marins. Les Etats dont les câbles sous-marins seraient atteints se verraient ainsi privés des informations qui y transitent. Cette menace du cyberespace est à priori concevable depuis que la Russie a renforcé sa souveraineté numérique en développant son propre réseau internet, indépendant et déconnecté du web mondial. En conséquence la Russie peut envisager une attaque sur le réseau internet mondial car elle dispose d’un internet souverain/alternatif lui permettant d’en être moins impactée.

Toutefois, cela semble difficilement envisageable car cela nécessiterait de rendre inutilisable l’ensemble du réseau de câbles sous-marin reliant l’Etat ciblé, lequel peut être complété par des liaisons de câbles terrestres venant de pays limitrophes. En outre, atteindre les structures physiques d’un Etat tiers à l’affrontement entre Kiev et Moscou, pourrait être perçu comme une déclaration officielle de guerre.

Russie-Ukraine : Les opérateurs de télécommunications face aux cyberattaques

Dans ce contexte de guerre entre la Russie et l’Ukraine et de menace cyber permanente, les opérateurs de télécommunications ont la volonté de renforcer la sécurité et la souveraineté de leurs infrastructures télécoms, ainsi que d’accroître leur stratégie de réponse et de protection face aux attaques. 

Concernant le volet de la souveraineté numérique et la question des câbles sous-marins, il est devenu primordial d’augmenter la résilience des infrastructures pour maintenir la circulation des informations. En ce sens, face à tous types de cyber-évènements (coupure des câbles etc.), les opérateurs télécoms doivent être en capacité de maintenir opérationnel leurs systèmes d’importance vitale. Il n’est donc pas concevable de dépendre d’une seule infrastructure. A ce titre, l’Europe a mis en place un projet pour assurer un backup à l’infrastructure terrestre : la « redondance spatiale souveraine ». Il assurera la redondance par les réseaux satellites placés en orbite basse (jusqu’à 2000 km d’altitude contre 36 000 km pour les satellites en orbite géostationnaire), comme celle de SpaceX et son projet Starlink. Opérationnel en 2024, il permettra ainsi aux Etats membres de sécuriser l’ensemble des communications sur leur territoire et d’avoir une redondance par rapports à leurs réseaux terrestres en cas de cyberattaque. Et cela sans dépendre d’une puissance étrangère.

Concernant le volet de la stratégie de réponse et de protection face aux attaques, l’ANSSI a souligné qu’ « aucune cybermenace visant les organisations françaises en lien avec les récents évènements n’a pour l’instant été détectée », mais a aussi précisé « suivre la situation de près ». Même si ces cyberattaques ont des impacts limités en France pour le moment, la menace reste élevée et les activités malveillantes relevées sur le cyber espace pourraient affecter directement ou par rebond les opérateurs télécoms. Contrairement à un missile qui n’atteint qu’une cible unique, ce type d’attaque est beaucoup moins contrôlable et peut se propager au-delà des frontières. C’est ce contexte qui pousse nos opérateurs à anticiper les éventuelles cyberattaques et à s’y préparer.

Ainsi, l’ANSSI a livré une liste de préventives et de recommandations de cyber protection dans le cadre du conflit Russie-Ukraine. Elle encourage en ce sens les entités, comme les opérateurs de télécommunications, à adopter une posture de vigilance en les incitant à :

  • Suivre les 5 mesures cyber préventives prioritaires (résumées ci-dessous) :

  1. Renforcer l’authentification par l’utilisation de MFA (multi factor authentification). Par exemple, un mot de passe ou une signature couplée à un jeton USB, RFID ou la réception d’un code par canal SMS. 
  2. Accroitre la supervision des évènements journalisés visant à détecter les éventuelles compromissions et augmenter le temps de réaction face aux incidents.
  3. Sauvegarder en hors-ligne les données des serveurs de fichiers, d’infrastructure et d’applications critiques sur des solutions de stockage totalement déconnectées des SI (exemple : disques durs externes pour prévenir toute compromission des systèmes).
  4. Etablir une liste priorisée des services numériques critiques afin de prioriser les actions de sécurisations et in fine réagir efficacement en cas d’incident.
  5. S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque dans le but d’assurer la continuité d’activité de l’organisation.

Pour voir le détail de ces mesures préventives, vous pouvez consulter la présentation de l’ANSSI.

Pour plus de détails, vous pouvez consulter les consignes de renforcement de la vigilance cyber dans ce contexte de tensions internationales.

En complément des éléments ci-dessus, il est important de noter que l’application des mesures de cybersécurité fait partie d’une démarche globale et de long terme. En effet, les opérateurs de télécommunications n’ont pas attendu l’invasion de l’Ukraine par la Russie pour entretenir des relations privilégiées et régulières avec l’ANSSI. A ce titre l’ANSSI fixe à la majorité des entreprises du secteurs des télécommunications, un certain nombre d’obligations et d’exigences à respecter. Comme par exemple, l’obligation de disposer d’un Security Operation Center (SOC). Pour rappel, le SOC permet d’être en alerte à toute heure et de détecter tous les comportements anormaux, les incidents ou les tentatives d’intrusions.

Cette surveillance permet in fine de pouvoir détecter les premiers signes d’une attaque et ainsi de se préparer contre toutes menaces.

Conclusion

Ces 5 dernières années ont été marquées par la prise de conscience de la vulnérabilité des entités dans le cyberespace. En effet, la crise sanitaire de la Covid-19, puis la crise diplomatique ayant mené à la guerre entre l’Ukraine et la Russie, ont accru les besoins en sécurité numérique, notamment pour les acteurs des télécommunications. La réponse à apporter doit non seulement être technique, mais également économique, politique et juridique. Ces enjeux pluridisciplinaires de sécurité dans le cyberespace renforcent la nécessité de coopération entre acteurs publics et acteurs privés, ces derniers étant incarnés ici par le secteur des télécommunications. Finalement, la cyberconflictualité internationale ne fait que rappeler l’exigence accrue d’investissement matériel, financier et humain en cybersécurité.

Ecrit par Claire et William.