Tech&Co
Cybersécurité

Lockbit, Killnet: ces pirates pro-russes qui s'en prennent aux mairies et hôpitaux français

Les infrastructures françaises sont attaquées sur tous les fronts par des groupes de pirates pro-russes. Face à la menace, la France tente de s'armer.

C'en est presque effrayant tant c'est habituel: très régulièrement, une ville, un service administratif ou un conseil départemental français est victime d'une cyberattaque.

Souvent liées à des groupes russes ou pro-russes, ces cyberattaques se font bien plus fréquentes depuis un an. Dernière attaque en date: celle de l'hôpital André-Mignot, situé au Chesnay-Rocquencourt, dans les Yvelines, 4 mois après l'attaque sur l'hôpital de Corbeil-Essonnes.

Le 8 novembre, les services administratifs de la Seine-et-Marne ont subi une cyberattaque "de grande ampleur". En octobre, les villes de Chaville (Hauts-de-Seine) et Brunoy (Essonne) qui en ont fait les frais. Fin septembre, la ville de Caen (Calvados) a été paralysée par une attaque sur les serveurs de la mairie. Et ce mardi 22 novembre, c'est la région Guadeloupe qui a vécu une cyberattaque "de grande ampleur", obligeant la fermeture de tous les réseaux informatiques. Alors qu'un diagnostic est en cours, l'attaque n'a toujours pas été revendiquée mais s'ajoute à la longue liste d'institutions locales ayant subi le même sort.

Des groupes prolifiques

Alors que les entreprises françaises font face à un taux de cyberattaques qui a explosé depuis 2021, ce sont désormais les villes de l'Hexagone qui doivent se protéger contre les malveillances numériques. Plusieurs acteurs reviennent régulièrement sur le devant de la scène, dont une majorité de groupes se revendiquant pro-russes, à l'image de LockBit, Cuba Ransomware ou encore Killnet.

Particulièrement prolifique, le groupe Lockbit - du nom du rançongiciel qu'il utilise - a mené un certain nombre d'attaques ces derniers mois, dont la plupart sur des entreprises françaises. Il est par exemple à l'origine de l'attaque sur l'hôpital de Corbeil-Essonnes, survenue fin septembre dernier.

Le 15 novembre dernier, un homme suspecté d'être membre du groupe Lockbit a d'ailleurs été arrêté en Ontario, au Canada. Auprès de l'AFP, le parquet de Paris recense au moins 115 attaques contre des victimes françaises, et 2000 dans le monde.

Lockbit fait partie des groupes les plus actifs du rançongiciel. Les malfaiteurs à l'origine des rançongiciels "louent" leur service à des pirates définis comme "afiliés", c'est-à-dire oeuvrant sous le nom Lockbit, et menant les attaques eux-mêmes.

Le groupe est souvent décrit comme pro-russe, sans qu'aucune confirmation officielle n'ait été apportée. Comme l'affirme le quotidien Le Monde, le logiciel utilisé par Lockbit est conçu de manière à ne pas affecter les ordinateurs situés en Russie ou en territoire russophone. En outre, il a été actif sur un groupe de discussion en russe populaire dans le milieu des cyberattaques, indique le journal.

Des attaques de représailles

De son côté, le groupe Killnet est à l'origine de la mise en panne du site de campagne d'Emmanuel Macron à l'occasion de l'élection présidentielle, voulant notamment "dénoncer le soutien de la France envers l'Ukraine".

Le groupe s'illustre particulièrement dans des attaques dites "DDoS", par déni de service, qui consiste à engorger un réseau avec des millions d'utilisateurs automatisés pour le faire dysfonctionner. Killnet s'en prend surtout à des institutions gouvernementales, et revendiquent les attaques comme des "revanches" en réponse à des attaques contre la Russie. Par exemple, le groupe avait revendiqué une cyberattaque contre l'infrastructure réseau lituanienne, et avait déclaré qu'il s'agissait de représailles envers l'arrêt du transit de marchandise vers le territoire russe de Kaliningrad.

Si les groupes les plus actifs sont souvent identifiés comme Russes ou pro-russes, en plus des différents indices qui le laissent à penser, c'est parce que le pays s'est illustré ces dernières années comme étant un terreau particulièrement fertile dans le milieu des cyberattaques. C'est notamment ce qui avait soulevé les craintes d'une "cyberguerre" à l'aube de l'invasion en Ukraine, amenant le pays à se doter d'une armée numérique pour contrer les éventuels assauts.

La crainte d'un hiver rude

Aujourd'hui, la menace est telle que Guillaume Poupard, directeur de l'Agence nationale de la sécurité des systèmes d'information, craint un hiver particulièrement douloureux pour le numérique français, indique-t-il dans un interview publié ce 18 novembre auprès du quotidien Le Parisien. En cause, la sollicitation saisonnière des systèmes énergetiques français, qui peuvent être vulnérables aux assauts étrangers.

Mais pourquoi ces groupes s'en prennent-ils à des mairies, des hôpitaux ou encore des conseils départementaux? Pour Guillaume Poupard, la réponse est vague. "Expliquer pourquoi nous perdons un conseil départemental par semaine, je ne saurais le faire car ce sont des victimes qui ne paient pas de rançon. Ce sont des cibles qui ont désormais conscience d’être fragiles", déclare le directeur auprès du quotidien.

Une des pistes principales réside dans la déstabilisation des systèmes de sécurité nationaux. Pourtant, ces attaques impulsent au contraire un renforcement des dispositifs de sécurité mis en place par la France, et même par la communauté internationale. Le gouvernement vient, par exemple, d'accorder une enveloppe de 30 millions d'euros aux PME et aux collectivités pour s'armer efficacement contre ces attaques.

Victoria Beurnez