Attaque par effaceur contre Kyivstar

Le 12 décembre 2023, Kyivstar, le premier opérateur mobile ukrainien, a subi ce que les responsables ont qualifié de l'une des cyberattaques les plus dommageables contre les infrastructures ukrainiennes depuis l'invasion à grande échelle de la Russie. Une attaque par effaceur a détruit des milliers de serveurs virtuels et de postes de travail, privant de service mobile et Internet environ 24 millions d'abonnés et se répercutant sur les alertes aériennes, la banque et les paiements.

Ce qui s'est passé

Selon le service de sécurité ukrainien (SBU), des opérateurs de Sandworm étaient présents dans le réseau de Kyivstar depuis au moins mai 2023, probablement entrés via un compte employé compromis. En novembre, ils avaient obtenu un accès complet à l'infrastructure informatique de l'entreprise, leur offrant des mois de reconnaissance avant de frapper.

Le 12 décembre, les attaquants ont déclenché un effaceur à grande échelle, effaçant « presque tout » — des milliers de serveurs virtuels et d'ordinateurs personnels dans les systèmes centraux de Kyivstar. La destruction fut si complète que Kyivstar a dû reconstruire une grande partie de son environnement informatique à partir de sauvegardes, un processus qui a maintenu les services hors ligne pendant plusieurs jours.

Impact

• ~24 millions d'abonnés ont perdu la voix mobile, les SMS et la connectivité Internet ; pour beaucoup, le service est resté indisponible pendant plusieurs jours.
• La panne a perturbé les systèmes d'alerte aérienne dans certaines zones, les réseaux de distributeurs et de paiement par carte, ainsi que les terminaux de point de vente, les usagers faisant la queue pour acheter des cartes SIM concurrentes.
• Les services mobiles et Internet ont été en grande partie rétablis le 20 décembre, environ une semaine après l'attaque.
• VEON, la maison mère de Kyivstar, a indiqué que l'incident n'avait pas compromis les données personnelles des abonnés, mais l'impact opérationnel et financier s'est chiffré en dizaines de millions de dollars.

Attribution

Les autorités ukrainiennes ont attribué l'attaque à Sandworm, l'unité de cyber-sabotage du renseignement militaire russe (unité 74455 du GRU). Le groupe hacktiviste pro-russe Solntsepyok en a revendiqué la responsabilité, mais le SBU l'a évalué comme une façade pour Sandworm. L'Ukraine a annoncé rassembler des preuves pour éventuellement poursuivre les responsables pour crimes de guerre devant des tribunaux internationaux, compte tenu de l'impact de l'attaque sur les systèmes d'alerte des populations civiles.

Pourquoi c'est important

L'attaque de Kyivstar a démontré que les réseaux de télécommunications sont des cibles de premier plan en temps de guerre : neutraliser un seul opérateur s'est répercuté sur les alertes d'urgence, la finance et la vie quotidienne de millions de personnes. Elle a souligné le danger des intrusions à dormance longue — des mois d'accès indétecté permettant un unique événement destructeur catastrophique — et la valeur stratégique que les adversaires accordent à la connectivité civile. Les agences occidentales l'ont traitée comme un avertissement : des opérations destructrices similaires pourraient être dirigées contre des opérateurs télécoms au-delà de l'Ukraine.