Cette cyberattaque, lancée au début de l’invasion russe de l’Ukraine, aurait affecté des dizaines de milliers de clients, mais pas les gouvernementaux. L’attaque pourrait être soutenue par la Russie, mais on ne sait pas encore dans quelle mesure elle aurait pu dégrader les efforts de la résistance ukrainienne. Eutelsat, incriminée plus ou moins directement par Viasat, se défend.
L’entreprise américaine de télécommunications par satellite Viasat vient (enfin) de communiquer sur la cyber-attaque dont elle a été victime le 24 février, alors que l’armée russe commençait à envahir l’Ukraine.
Résumé des épisodes précédents
Le général de brigade aérienne Michel Friedling, du Commandement de l’espace, avait confirmé lors du point Presse du ministère des Armées du jeudi 3 mars 2022, qu’ « un réseau satellitaire qui couvre notamment l’Europe et l’Ukraine a été victime d’une attaque cyber avec des dizaines de milliers de terminaux rendus inopérants ».
Le 12 mars, Reuters révélait que « des analystes de la NSA, de l’ANSSI et des services de renseignement ukrainiens évalu[aient] si le sabotage à distance du service d’un fournisseur d’accès Internet par satellite était l’œuvre de pirates informatiques soutenus par l’État russe préparant le champ de bataille en tentant de rompre les communications » :
« Le blitz numérique sur le service satellite a commencé le 24 février entre 5 et 9 heures du matin, juste au moment où les forces russes ont commencé à entrer et à tirer des missiles, frappant de grandes villes ukrainiennes, dont la capitale, Kiev. »
Les contrats gouvernementaux examinés par Reuters montraient que le satellite KA-SAT avait « fourni une connectivité Internet aux unités militaires et policières ukrainiennes ». Au cours des dernières années, les services militaires et de sécurité ukrainiens avaient acheté plusieurs systèmes de communication différents qui fonctionnent sur le réseau de Viasat, selon des contrats publiés sur ProZorro, une plateforme de transparence ukrainienne.
Viasat avait alors engagé la société américaine de cybersécurité Mandiant, spécialisée dans le suivi des pirates informatiques parrainés par un État pour enquêter sur l’intrusion, selon deux personnes proches du dossier.
« Ce fut une énorme perte de communications au tout début de la guerre », avait déclaré Viktor Zhora, un haut responsable de l’agence ukrainienne de cybersécurité, les Services d’État pour la protection spéciale des communications et de l’information (SSSCIP). Il avait cela dit refusé d’en dire plus, le sujet étant « hautement classifié ».
Le 16 mars, Viasat déclarait que la cyberattaque, décrite comme « délibérée, isolée et externe », n’avait pas affecté les clients du gouvernement américain. L’entreprise ne s’est pas prononcée sur ses clients du gouvernement ukrainien ni d’autres pays.
Le lendemain, la Cybersecurity and Infrastructure Security Agency (CISA) et le FBI se disaient « conscients des menaces possibles pour les réseaux de communication par satellite américains et internationaux (SATCOM) », et publiait une alerte visant à renforcer la cybersécurité des fournisseurs et clients de ces réseaux.
Reuters a depuis rapporté que 5 800 éoliennes de la société allemande Enercon, représentant une capacité totale de 11 gigawatts (GW), avaient été déconnectées, empêchant leur surveillance et contrôle à distance. Il n’y avait cela dit « aucun risque pour les turbines car elles continuaient à fonctionner en « mode automatique » », avait déclaré la société. « Nous ne pensons pas que cela nous visait ou nos clients. Il semble que nous soyons en quelque sorte des « dommages collatéraux » », avait expliqué son porte-parole à Wired.
L’organisme allemand de surveillance de la cybersécurité, le BSI, qui travaillait avec les fournisseurs concernés des réseaux de communication par satellite pour résoudre la perturbation, estimait que la cyber-attaque avait affecté « environ 30 000 terminaux satellites utilisés par des entreprises et des organisations de divers secteurs à travers l’Europe ». BigBlu, l’un des distributeurs de Viasat, a depuis expliqué que les modems devraient être remplacés, car « rendus inutilisables ».
La semaine passée, un mois tout juste après l’attaque, des analystes du renseignement américain avaient « conclu que des pirates informatiques du service d’espionnage militaire russe, le GRU, étaient à l’origine de la cyberattaque », rapportait le Washington Post.
Le spécialiste des conflits cyber Thomas Rid relève sur Twitter qu’ « il semble que la cyberattaque Viasat/KA-SAT était nettement moins sophistiquée et a nécessité moins de préparation que prévu (pas de compromission sur la chaîne d’approvisionnement, pas de micrologiciel modifié, pas de dommages irréparables) ».
L’entreprise, qui n’avait jusque-là distillé que des bribes d’information dans la presse, sans fournir de retour sur l’incident, vient en effet de publier un retour d’expérience à ce sujet, qui qualifie la cyber-attaque de « délibérée et multiforme ». Nous avons également contacté Eutelsat, qui nuance fortement certains propos de Viasat. Explications.