La « cyberpolice » ukrainienne accuse la Russie d’avoir voulu « déstabiliser » le pays et évoque une attaque informatique le soir de la finale de la ligue des champions, qui se tiendra samedi au stade olympique de Kiev. / VALENTYN OGIRENKO / REUTERS

Une attaque informatique d’ampleur vient-elle d’être déjouée en Ukraine ? Des chercheurs de Talos, l’unité de recherche en cybersécurité du grand groupe états-unien Cisco, ont découvert un nouveau logiciel malveillant particulièrement virulent contre le pays d’Europe de l’Est.

Ce virus, baptisé VPNFilter, infecte principalement des petits serveurs de stockage et des routeurs, c’est-à-dire des appareils permettant une connexion à Internet, l’équivalent moins sophistiqué des box, très communes en France. Il a fait de nombreuses victimes : un demi-million d’appareils infectés ont été détectés dans une cinquantaine de pays, selon les chercheurs.

Un virus inquiétant à deux titres

Depuis quelques mois, l’infection massive et automatisée d’appareils connectés à Internet est un comportement fréquent chez les virus. Plusieurs éléments spécifiques à VPNFilter inquiètent cependant les experts.

Ses caractéristiques techniques, d’abord. Il est doté, entre autres, d’une capacité d’autodestruction qui a aussi pour conséquence, aux dires des experts de Talos, de rendre le matériel qu’il a infecté parfaitement inutilisable. La mise hors service ne serait-ce que d’une portion des appareils touchés par le virus aurait des conséquences désastreuses. « Le programme malveillant […] a le potentiel de couper l’accès à Internet de centaines de milliers de victimes dans le monde entier », avancent ainsi les experts de Talos.

Sa répartition géographique, ensuite. Alors qu’ils étudiaient son fonctionnement, les chercheurs ont remarqué, au début du mois de mai, que son activité était en train d’évoluer : soudainement, le programme malveillant a pris pour cible des milliers de machines en Ukraine. Aujourd’hui s’y trouvent « la très, très grande majorité » des appareils infectés, précise au Monde Martin Lee, directeur technique pour l’Europe de Talos. Depuis quelques années, l’Ukraine est le canari dans la mine de la cyberguerre : ses infrastructures sont régulièrement éprouvées par des pirates – pilotés, selon la plupart des experts, par son voisin russe – qui y testent leur arsenal à peu de frais. Dernier exemple marquant en date, le virus NotPetya : le foyer infectieux de ce faux « rançongiciel » destructeur qui a déboulé sur Internet l’année dernière était, déjà, situé en Ukraine. Facteur supplémentaire d’inquiétude : une partie du code informatique de VPNFilter recoupe celui de BlackEnergy, un virus qui avait mis à genou, en décembre 2015, une partie du réseau électrique… ukrainien.

Pour des raisons symboliques et pratiques, ces attaques sont fréquemment lancées lors de jours fériés en Ukraine. C’est justement l’approche du jour de la Constitution, dans un mois, qui a motivé les équipes de Talos à sonner l’alarme. « Le timing des précédentes attaques en Ukraine suggérait qu’une nouvelle attaque pouvait être imminente », écrivent les chercheurs.

Pour ce faire, ils se sont coordonnés avec le FBI américain en publiant leurs informations au moment où ce dernier annonçait la saisine du nom d’un des sites utilisés pour déployer leur virus. Ce site était utilisé par les pirates pour récupérer des données captées par le virus ou pour le piloter à distance. Sous le contrôle du FBI, ce site ne peut plus être utilisé pour envoyer des instructions à VPNFilter. Mieux, à chaque fois qu’un virus tente de se mettre en contact avec ce poste de pilotage, le FBI récupère son adresse IP (son identifiant sur Internet), ce qui va permettre, selon les autorités états-uniennes, d’identifier et d’avertir les victimes. « [Les pirates] vont revenir, mais nous avons perturbé leurs activités », veut croire Martin Lee.

Qui se trouve derrière cette infection ?

Qui se cache derrière VPNFilter ? Dans leur communiqué, les autorités américaines accusent le groupe de pirates Fancy Bear, considéré par la plupart des experts comme le bras armé du Kremlin sur Internet. Sans se prononcer sur le commanditaire, les chercheurs de Talos estiment eux aussi que VPNFilter est l’œuvre de ce groupe de pirates, dont les méthodes sont documentées depuis une dizaine d’années. C’est lui qui avait, par exemple, piraté les réseaux informatiques du comité national du Parti démocrate, aux Etats-Unis, prélude à la publication pendant la campagne des courriels par WikiLeaks.

Pour la « cyberpolice » ukrainienne en tout cas, l’affaire est entendue : la Russie est l’auteure de VPNFilter, et elle fomente un sale coup. Les policiers évoquent même la finale de la Ligue des champions, qui se tiendra samedi entre le Real Madrid et Liverpool. « Il ne peut pas être exclu que l’infection de ces équipements en Ukraine soit destinée à préparer un acte de sabotage par la Russie pour déstabiliser l’ordre public pendant la finale de la Ligue des champions », écrit l’unité sur son site Internet. Chez Talos, on explique n’avoir aucune preuve d’une éventuelle attaque prévue dès samedi ou en lien avec la compétition.