FAQ sur les cyberattaques liées à l’invasion de l’Ukraine
Q : Des cyberattaques sont-elles menées dans le cadre de l’invasion de l’Ukraine ?
Oui. Il existe des preuves tangibles de cyberopérations en cours contre des cibles ukrainiennes.
Q : De quels types d’attaques s’agit-il ?
La situation évolue en permanence. Il est difficile de fournir une liste complète d’activités, de cibles ou d’incidents spécifiques. Cependant, nous avons confirmé les résultats publiés par d’autres entreprises qui indiquent l’utilisation du malware HermeticWiper contre diverses cibles ukrainiennes. Ce malware a été déployé contre une infrastructure ukrainienne stratégique il y a quelques jours. Plusieurs rapports font également état d’attaques DDoS menées contre diverses cibles.
D’après les premières analyses, HermeticWiper est un MBR wiper. Il exploite les pilotes légitimes d’EaseUS Partition Manager pour mener des actions destructrices. Les objectifs sont analogues à ceux du malware Whispergate, déployé plus tôt cette année contre des cibles ukrainiennes. Mais HermeticWiper est nettement plus complexe.
Le vecteur d’attaque d’HermeticWiper est actuellement inconnu. Dans la mesure où ce malware a fait son apparition presque 12 heures avant le début de l’invasion physique de l’Ukraine, il s’agit sans doute d’un effort coordonné de la Russie. Il est tout à fait possible que les attaques d’HermeticWiper détectées au cours des dernières 24 heures concernent des réseaux piratés il y a déjà plusieurs jours ou semaines.
Q : Ces cyberattaques toucheront-elles des individus ou entreprises hors Ukraine ?
Oui et de telles cyberattaques ont déjà été signalées. Plusieurs organisations ont été touchées par des cyberattaques similaires à celles menées en Ukraine. Le malware HermeticWiper a notamment été détecté hors d’Ukraine.
Rappelons qu’internet relie les individus et entreprises du monde entier. Les cyberattaques visant des cibles ukrainiennes peuvent donc très facilement affecter des entités d’autres pays. En 2017, l’attaque NotPetya de 2017 est partie d’Ukraine et s’est propagée à des entreprises du monde entier. Elle est ainsi devenue, selon plusieurs déclarations, la cyberattaque la plus coûteuse et la plus destructrice de l’histoire. Cet exemple montre à quel point des cyberincidents peuvent rapidement devenir incontrôlables.
Selon un site web du ministère ukrainien des affaires étrangères, le secteur informatique ukrainien fournit des services à des entreprises du monde entier, et notamment à plus d’un cinquième des entreprises du Fortune 500. Toutes les entreprises doivent donc évaluer leur degré d’exposition aux cyberattaques liées à l’invasion.
Q : Que doivent faire particuliers et entreprises pour se protéger contre les cyberattaques liées à l’invasion ?
L’invasion, de par sa gravité, est source d’inquiétude. Pour autant, la population ne doit pas céder à la panique face à ces cyberattaques potentielles. Il existe de nombreuses mesures que les organisations peuvent prendre pour se protéger.
Si elles ne l’ont pas encore fait, elles doivent d’abord évaluer leur degré d’exposition. Les dirigeants d’entreprise doivent examiner leur infrastructure et leurs opérations pour rechercher les zones pouvant constituer des cibles potentielles. Ils doivent, par exemple, répondre aux questions suivantes : Leur entreprise est-elle présente en Ukraine ? Dans les pays baltes ? Ils peuvent aussi faire preuve de prudence et partir du principe que leur entreprise peut constituer une cible potentielle. Dans cette optique, ils peuvent commencer à rechercher des failles, pour ensuite les corriger activement.
Les entreprises qui appliquent déjà les mesures de sécurité de base ont l’avantage.
Ces mesures sont les suivantes :
- Installez des patchs de sécurité sur tous vos serveurs
- Veillez à ce que tous vos serveurs soient équipés d’un système de protection des endpoints et d’un système MDR.
- White-listez le trafic sortant (si vous le pouvez, faites un géoblocage).
- Sécurisez Active Directory (Pour des recommandations spécifiques, cliquez ici : https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory)
- Mettez en place un processus de filtrage des e-mails de phishing
- Limitez l’utilisation des macros office
- Utilisez l’authentification multifactorielle lorsque cela est possible
- Sauvegardez vos données stratégiques (de préférence des sauvegardes en lecture seule, qui ne peuvent être ni supprimées ni écrasées).
Q : Je suis un client F-Secure. Suis-je protégé ?
F-Secure s’engage à protéger ses clients. Depuis plus de 30 ans, nos différents produits et services protègent avec succès les individus et organisations contre les cyberattaques menées par les cybercriminels et les États-nations. Nos différents produits et services bloquent le malware HermeticWiper (détecté sous les noms TR/KillDisk.BG et TR/KillDisk.EZ) actuellement utilisé en Ukraine.
Q : Où puis-je trouver davantage d’informations à ce sujet ?
Plusieurs pays ont publié des bulletins d’information afin que les entreprises puissent se préparer à d’éventuelles cyberattaques liées à cette invasion. En se basant sur ces informations, les entreprises peuvent mieux déterminer si elles doivent ou non s’inquiéter. Soyez attentifs aux instructions fournies par vos autorités locales.
- France : https://www.ssi.gouv.fr/actualite/tensions-internationales-renforcement-de-la-vigilance-cyber/
- Finlande : https://www.kyberturvallisuuskeskus.fi/.
- États-Unis : https://www.cisa.gov/shields-up
- Royaume-Uni : https://www.ncsc.gov.uk/news/organisations-urged-to-bolster-defences
- Japon : https://www.meti.go.jp/press/2021/02/20220221003/20220221003.html
- Pologne : https://cert.pl/posts/2022/02/rekomendacje-cyberprzestrzen-ukraina/