Cybersécurité: comment la Russie «renifle» les vulnérabilités belges (Enquête)

Plusieurs sites, dont celui du Service du renseignement rattaché à la Défense, ont été récemment ciblés par des hackers. S’il n’y a pas de dégâts notables, ce pourrait être une façon de tester le temps de réaction des autorités, selon plusieurs experts.

Plus une semaine, ou presque, ne passe sans que des attaques informatiques touchent des sites belges. Bien souvent, un nom revient: NoName057 , un groupe de hackers prorusses, habitué des agressions par déni de service (DDoS), un type d’offensive qui inonde un site Web ou un serveur de requêtes pour entraver son fonctionnement –en général, le désagrément n’est que temporaire et le piratage inoffensif pour la sécurité des données. Les dernières frappes en date, fin mars, puis début avril, ont touché les sites du parlement de Wallonie, de la Fédération Wallonie-Bruxelles ou encore du SGRS, le renseignement militaire, sans faire de dégâts notables.

Harcèlement réel

Reste que ce harcèlement est réel, et la volonté de nuisance affichée fièrement. Sur la messagerie Telegram, entre deux visuels à la gloire du régime de Vladimir Poutine, NoName057 revendique régulièrement des opérations éclair contre les alliés de l’Ukraine. Outre la Belgique, la Finlande, le Danemark ou encore le Kosovo ont été ciblés ces dernières semaines (sans parler de l’Ukraine, harcelée presque quotidiennement).

Ces opérations ponctuelles ne sont pas nouvelles, mais elles ont tendance à se multiplier dans le temps à mesure que le conflit perdure à l’est. L’an passé, NoName057 s’était déjà illustré contre la Belgique à l’approche des élections communales, s’en prenant au portail de la Chambre des représentants, de la Région wallonne, de la Fédération Wallonie-Bruxelles et de quasi toutes les provinces. A l’époque, les pirates avaient justifié l’attaque par l’aide apportée par la Belgique à l’Ukraine. Ces derniers jours, ce sont des sites polonais qui ont été particulièrement visés. «Avant de rêver d’une grande guerre, la Pologne devrait au moins apprendre à protéger ses sites Internet», persiflait le groupe de hackers, lancé depuis de longs mois dans une croisade antioccidentale intitulée «Op» –pour Open– suivi du nom du pays visé. 

Le renseignement ciblé

Dans le cadre d’«OpBelgium», NoName057 cible des entreprises et des institutions belges tous azimuts, revendiquant encore récemment la perturbation des sites de Base, Telenet, la Cour constitutionnelle, qui toutefois n’ont été que très peu affectés. Parfois, le groupe fait alliance pour toucher une proie à plus forte valeur symbolique. Ainsi, le 6 avril, c’est le site du SGRS, le Service de renseignement et de sécurité rattaché au ministère de la Défense, qui a été ciblé, celui-ci cessant de fonctionner pendant approximativement une heure. A nouveau, c’est sur la messagerie Telegram que le groupe allié à NoName057, ServerKillers, a revendiqué cette attaque spécifique.

Le SGRS mentionne pour sa part un «incident de très petite envergure», actant toutefois qu’une «enquête plus approfondie est nécessaire» et qu’une investigation est en cours. Aucune raison  de paniquer: ce genre d’attaque par déni de service n’est évidemment pas inconnu des services de renseignement, civil comme militaire. Dans son dernier rapport annuel, rendu public le 2 avril, le SGRS avait justement observé que les promesses de livraisons d’armement à l’Ukraine avant les élections locales avaient généré une activité DDoS «sans précédent», ciblant «spécifiquement l’infrastructure belge.»

Prière d’être discret

Que ces piratages à peu de frais soient «sans précédent» ou «sans envergure», il est demandé –notamment aux journalistes– de ne pas trop ébruiter ces attaques peu sophistiquées. «Les hackers exploitent l’attention médiatique pour nourrir les campagnes de désinformation russes», prévenait déjà, dans son rapport 2024, le SGRS, s’inquiétant plutôt du développement des capacités russes en matière de cybersabotage «en vue notamment de corrompre les infrastructures critiques».

Lors de la précédente vague de hacking fin mars, le Centre pour la cybersécurité Belgique (CCB) avait bien confirmé que «les sites Web de plusieurs organisations, y compris certains services publics fédéraux, [avaient] connu des interruptions temporaires en raison de ces attaques», y voyant aussi la main «d’un groupe connu d’hacktivistes prorusses». Mais le CCB prévenait: «[…] donner trop d’attention à ce type d’attaques peut offrir aux assaillants une victoire symbolique. Leur objectif est souvent de créer de la perturbation et du chaos, plutôt qu’accéder à des informations sensibles ou de causer des dommages durables.» En l’espèce, «les conséquences pour les organisations ciblées ont varié, affirmait le CCB. Bien que ces incidents puissent entraîner des désagréments pour les utilisateurs, ils ne constituent pas des cyberattaques sophistiquées. Les organisations concernées prennent des mesures pour limiter l’impact et rétablir leurs services aussi rapidement que possible (aucune intrusion dans les systèmes ni vol de données n’ont été signalés).»

«Renifler» l’adversaire

«Les attaques par déni de service distribué sont peu élaborées, elles ne visent pas à atteindre des données», confirme Olivier Markowitch, expert en cybersécurité à l’ULB, qui pointe aussi le fait que se protéger contre des offensives de type DDoS coûte très cher. Il n’est donc par toujours aisé, souligne-t-il, d’évaluer le risque, qui ne doit être ni surestimé ni sous-estimé. Le professeur compare ces piques numériques à l’intrusion d’avions de combat russe dans l’espace aérien de l’Otan au vu et au su de tous les radars du continent, non pour attaquer mais bien pour calculer le temps de réaction de l’ennemi. Les attaques DDoS, si peu évoluées soient-elles, peuvent ainsi servir à «tester», ponctuellement, les temps de réaction.

«NoName? Ah oui, je vois…», rebondit David Criekemans,  professeur de géopolitique et relations internationales à l’UAntwerpen. Ce dernier revient d’un voyage du côté des pays Baltes, autrement plus touchés par la (cyber)menace russe. «Là-bas, les attaques sont vraiment intenses. Ils sont devenus beaucoup plus résilients notamment dans les entreprises, au gouvernement, etc., pour contrer ces piratages. Même quand il s’agit d’attaques DDoS, qui sont des tentatives pour déterminer où sont les vulnérabilités.»

«Bien sûr, poursuit-il, la Belgique est exposée, du fait de son soutien à l’Ukraine mais aussi de la volonté de solidification de sa défense sur le temps long, y compris pour le cyber. Et bien sûr, nous hébergeons aussi beaucoup d’institutions internationales: Euroclear, l’Otan, etc., ce qui fait de notre pays une cible intéressante. Cela signifie que toutes les entreprises mais aussi les institutions gouvernementales doivent investir davantage dans la cybersécurité. En octobre et novembre derniers, le gouvernement flamand a d’ailleurs créé une nouvelle cyber unit pour développer la détection de désinformation.»

Il n’empêche, malgré une meilleure conscientisation de la menace, la publicisation des attaques informatiques, y compris le «simple» déni de service, reste taboue en Belgique, fait remarquer David Criekemans: «C’est vrai, quand quelque chose de ce genre se produit, surtout si c’est sans gravité apparente, le premier réflexe est souvent de ne pas l’ébruiter, mais il est important que les autorités soient conscientes du problème et puissent aider à y remédier, de concert avec les entreprises visées.» Et l’expert de conclure: «Nous sommes dans un processus d’apprentissage sur la façon de gérer ce risque, mais comparé à l’Estonie, par exemple, nous sommes encore au début des étapes à franchir dans les prochains mois et années.»