La nature de l’hacktivisme, qui utilise les cyber-attaques pour promouvoir des intérêts socio- politiques, a considérablement évolué ces dernières années. Originellement organisé par des militants et des groupes peu structurés, il a progressivement basculé vers une implication substantielle des pouvoirs nationaux.
L’hacktivisme et les wipers associés à des États : nouvelle réalité ou simple bruit de fonds ?
Par
Publié le 22 octobre 2024 à 5h00
82%82 % des employés craignent que les pirates utilisent l'IA générative pour créer des e-mails frauduleux.
Dans sa forme actuelle, une part importante des activités cyber est menée par des groupes d’hacktivistes affiliés à des États. Ces groupes servent de vitrines et médiatisent les résultats des activités des groupes APT (Advanced Persistant Threat) des États-nations. C'est aussi sous couvert de ces groupes hacktivistes que les États-nations peuvent faire croire à un soutien du peuple, se dissocier des attaques et éviter les ripostes. L'utilisation croissante de wipers, des logiciels malveillants dont l’objectif est de rendre des données inutilisables lors de l’intrusion, fait d’ailleurs partie de ce nouveau modus operandi. Faisant planner des risques sur les acteurs privés comme publics, et jusqu’à fragiliser nos démocraties.
Malgré l'intensité de ces activités et les importantes ressources investies, leur véritable impact fait pourtant débat, y compris sur la dynamique de la guerre. Et si c’est une réalité qui compte dans le paysage des cybermenaces mondiales, quelle résonance pour les acteurs économiques privés ou publics, et la sécurité des Etats ? Faisons le point.
L’hacktivisme d’Etat – une stratégie avérée
Nous l’observons chaque jour, si l’hacktivisme d’Etat a marqué la guerre entre la Russie et l'Ukraine, il se poursuit dans le conflit entre Israël et le Hamas et son extension au sud Liban.
Anonymous Sudan, un groupe apparu début 2023 et souvent associé à la Russie, s'est activement attaqué à des entités occidentales au prétexte qu'elles soutenaient des idées anti-islamiques. En une seule année d'existence, ce groupe est à l’origine d’attaques par déni de service (DDoS) les plus impactantes jamais enregistrées, notamment contre Microsoft, X ou encore Scandinavian Airlines. Le groupe collabore avec des organisations affiliées à la Russie, comme Killnet, ainsi qu'avec des entités anti-occidentales actives dans la guerre entre la Russie et l'Ukraine.
De même, fin 2023, une attaque destructrice par le groupe d'hacktivistes Solntsepyok, a détruit le cœur du plus grand opérateur de réseau mobile d'Ukraine, Kyivstar. Cette activité hacktiviste est attribuée au groupe APT Sandworm, dirigé par les services de renseignement militaire russes.
Sur un autre pan régional, l'Iran a considérablement développé ses cyber compétences, et s'est investi dans des opérations d'influence cybernétiques notamment par le déploiement de cyber forces « hacktivistes » soutenant le Hamas : le groupe KarMa, affilié à l'Iran, a ouvert sa chaîne Telegram en anglais le 8 octobre 2023 et y a diffusé, via un cyber personnage, des informations collectées lors d'intrusions dans des entités israéliennes. Parfois accompagnées d'attaques par wiper, ces intrusions ont causé des dommages dans les infrastructures des entreprises touchées.
Le même modus operandi a été utilisé par des acteurs affiliés à l'Iran contre des entités du gouvernement albanais entre 2022 et fin 2023. Là encore, un cyber personnage surnommé « Homeland Justice » a exploité un canal Telegram et un site internet pour faire fuiter des contenus de ces entités dont les SI ont subi des attaques par wiper.
Ce schéma d'utilisation croissante de cyber personnages et de canaux de communication spécifiques pour lancer des attaques par wipers et divulguer conjointement les contenus correspond à une stratégie employée par des groupes affiliés à des Etats.
De la communication à la désinformation
On le voit bien, une grande partie de ces cyber-opérations se concentre sur la guerre de l'information et la guerre psychologique. Leur objectif principal est de faire connaître des cyberattaques soi-disant réussies et de montrer ainsi les vulnérabilités des victimes ciblées.
Les auteurs de ces menaces exagèrent pourtant la portée réelle de ces opérations de destruction et publient même de fausses informations ou données. Cyber Av3ngers, un groupe servant de couverture à des activités associées à l'Iran, a publié des détails sur des attaques remontant à 2022, dont certaines avaient été perpétrées par d'autres groupes.
Vers l’hacktivisme d’Etat « sans frontière »
À l'instar des cyber opérations russes lors du conflit en Ukraine qui se sont étendues aux autres pays occidentaux, et aux États membres de l'OTAN, les cyber activités iraniennes ont elles aussi ouvert leur champ d'action vers l'ouest.
Cyber Av3ngers a par exemple ciblé des écrans de contrôle numériques de fabrication israélienne, et a pu infiltrer plusieurs installations de distribution d'eau aux États-Unis et en Irlande. Ce faisant, les groupes hacktivistes pro-russes sont eux-aussi rentrés dans le tableau du proche Orient. Le groupe Anonymous Sudan a revendiqué plusieurs cyber-attaques contre Israël, dont celle qui a frappé l'application officielle utilisée pour les alertes de missiles pour la population civile, et celle qui a mis hors service le site du Jerusalem Post, l'un des principaux journaux israéliens anglophones.
Une réalité oui, mais quel impact ?
Certes, l'hacktivisme a évolué à un point tel que les groupes associés à des États dominent désormais une grande partie des cyber activités d’importance. Pourtant, malgré ce regain d'implication de la part de gouvernements hostiles et l'accent plus marqué sur la destruction et la perturbation des activités, la réelle efficacité de ces cyber opérations interroge. Une part importante de ces activités passe en effet souvent inaperçue dans les médias grand public, éclipsée par les informations conventionnelles sur les conflits armés.
Ces cyber actions ne provoquent donc souvent qu'une réaction très limitée de la part de l'opinion publique.
Compte tenu de leur impact peu visible, on peut se demander si les ressources allouées à ces cyber-actions valent la peine. En revanche, pour déterminer le rôle qu'elles joueront à l'avenir dans les stratégies militaires modernes, il reste essentiel d'évaluer en permanence l'efficacité de ces cyber-opérations qui ont le soutien d'un État.
« Connaitre son ennemi » en particulier dans un contexte de cyberguerre, est devenu incroyablement difficile, les attaquants cachant bien souvent leurs réelles motivations, et redoublant d’ingéniosité pour tromper leur cible. Les gouvernements et les entreprises restent tous deux vulnérables aux attaques, qu’elles viennent des hacktivistes comme des cybercriminels motivés par l’appât du gain.
Face à des stratégies qui consistent à mélanger le vrai du faux, amplifiées demain par les deepfakes, poursuivre les efforts en matière de résilience et de définition claire de cybersécurité reste clé pour les entreprises comme pour les organisations publiques.