Cybersécurité et guerre en Ukraine : se méfier des Russes, mais pas de n’importe lesquels

Les bruits de bottes en Ukraine résonnent jusque dans les bureaux des RSSI de France et de Navarre. Selon nos sources, certains ne manquent pas de s’inquiéter d’éventuels risques induits par l’utilisation de solutions informatiques venues de fournisseurs russes, qu’il s’agisse de Kaspersky pour la sécurité ou de Veeam pour les sauvegardes. Les services commerciaux de certains concurrents ne seraient pas étrangers à la chose ou, à tout le moins, ne se priveraient pas pour essayer d’en profiter. Mais le véritable risque est peut-être, sinon probablement, ailleurs.

Le phénomène n’est en tout cas pas nouveau. À l’automne 2017, plusieurs éditeurs se sont empressés de chercher à exploiter les allégations de collusion de Kaspersky avec le Kremlin, au-delà même de son marché. Et cela même en l’absence de preuves concrètes – voire malgré des indications passées plutôt favorables.

Le Cert-FR vient d’ailleurs d’apporter sa voix au débat, reconnaissant que « dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie ». Toutefois, « à ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis ».

À sa note d’information, le Cert-FR joint notamment des marqueurs techniques liés aux activités du groupe appelé Nobelium. Ce n’est pas hasard et, d’une certaine manière, cela éclaire sur la direction dans laquelle regarder : Nobelium est le groupe associé à l’état russe auquel est imputée l’attaque sur la chaîne logistique du logiciel ayant touché Solarwinds et, par ricochet, ses clients. Microsoft a récemment publié une synthèse de ses travaux sur cette opération.

Peut-être les organisations occidentales devraient-elles ainsi interroger leurs fournisseurs informatiques – occidentaux – sur leurs dispositions en matière de gestion continue de la sécurité, notamment autour de leurs processus de fabrication matérielle et de développement logiciel. Et encore plus pour les fournisseurs qui ont été victimes de cyberattaques avec ransomware.

Et l’on peut ainsi penser au spécialiste du stockage ExaGrid. Fin mai 2021, nous avons découvert une négociation dans laquelle les cyberdélinquants disaient être restés plus d’un mois dans le système d’information du constructeur avant de déclencher la phase finale de leur attaque, suivie par le paiement de 2,6 millions de dollars. Les attaquants revendiquaient le vol de plus de 800 Go de données, dont du code source.

À la suite de nos révélations, le patron d’ExaGrid, Bill Andrews, s’était contenté d’indiquer à Chris Mellor, de Blocks & files, que son entreprise « ne discute pas de la sécurité de son réseau, bonne ou mauvaise ». Semblant vouloir rassurer, il avait souligné à notre confrère, à au moins deux reprises, que « l’entreprise est pleinement opérationnelle et conduit ses affaires comme d’habitude ». 

Mais rien ne garantit jamais que les cyberdélinquants tiennent parole et ne gardent pas copie de données dérobées chez leurs victimes. Surtout, les récentes fuites dont a été victime le cybergang Conti suggèrent que celui-ci stockait localement les données dérobées, en interne, et peut-être pas seulement sur des services cloud tels que mega.nz – dont les clés étaient remises à la victime après paiement de la rançon.

Les questionnements apparaissent d’autant plus légitimes que, comme le relèvent les équipes de Rapid7, une conversation tenue le 9 avril 2021 entre deux membres du gang, Mango et Johnyboy77, « indique une implication du FSB russe dans une partie de son financement » et que le service du renseignement « était intéressé par des fichiers du média Bellingcat sur “Navalny” – une référence apparente à Alexei Navalny, leader de l’opposition actuellement emprisonné en Russie ».