L'invasion russe de l'Ukraine a marqué une grande première dans l'histoire des conflits, avec l'utilisation massive d’attaques cyber. Cette évolution a transformé le paysage de la guerre traditionnelle, soulevant de nombreuses questions. Analyse d’une cyberguerre hybride, où les forces en présence alternent entre des champs de bataille traditionnels et une nouvelle dimension numérique.
L'avant-guerre en Ukraine : quelle place pour la cyber dans les conflits armés ?
Formulée autrement, la question devient : quand est-ce que le cyberespace a commencé à devenir un domaine d'opération militaire ? Comme souvent, l’histoire fournit les ressources pour mieux cerner le contexte et, ici, le caractère inédit de cette cyberguerre. Car il faut remonter aux années 1980 et 1990 pour retrouver les premières années d’expérimentations dans le cyber espace. Mais ce qui caractérise ces années tient plutôt au décalage entre la réalité de l’impact de ces opérations et l’imaginaire qui les entoure. « À cette époque, certains analystes affirment qu’il est désormais possible de mettre à genoux des populations entières en maniant simplement l’outil cyber », s’amuse Pierre-Olivier Kaplan, Ingénieur R&D au sein de l’équipe de Cyber Threat Intelligence Stormshield. Une vision apocalyptique plutôt éloignée de la faible envergure des cyberattaques d’alors et un esprit de psychose qui se retrouve dans le narratif autour du fameux bug de l’an 2000. « Le cyber Pearl Harbor n’est toutefois jamais advenu », insiste l’expert. Par la suite toutefois, la situation évolue, jusqu’à des cyberattaques d’ampleur. Visant des infrastructures critiques et sensibles, elles ont un impact qui se mesure à l’échelle d’un pays, comme celles ayant frappé l’Estonie en 2007, l’Inde en 2009, l’Iran en 2010 avec Stuxnet, l’Ukraine (déjà) en 2015 et 2017 avec les malwares Black Energy, CrashOverride et Triton, ou encore la Corée du Sud en 2018 avec Olympic Destroyer. En dépit de faisceaux d’indices qui orientent vers certaines forces étatiques, ces attaques n’ont pas été attribuées officiellement. Mais elles ont un point commun (à l’exception d’Olympic Destroyer), comme l’explique Sébastien Viou, Directeur Cybersécurité et Management Produits Stormshield : « on connait la cible privilégiée de ces cyberattaques : l’énergie. Il s’agit donc de couper les ressources d’un pays et de fatiguer sa population. L’arme cyber ne cherche pas à tuer ici, mais à rendre la vie précaire, voire insoutenable. » Est-il alors exact de considérer une cyberattaque comme un acte de guerre ? « Dans les faits, oui, mais d’un pur point de vue sémantique, non, tranche Pierre Olivier Kaplan. Car, encore une fois, il est extrêmement difficile de déterminer de manière certaine l'origine des cyberattaques, d'autant plus qu'aucun État ne s'est ouvertement attribué la responsabilité de ces actes. »
Jeu de dupes ? Devoir de réserve ? Protection d’un équilibre international ? Pour Pierre-Olivier Kaplan, l’absence de revendication s’explique par le caractère nébuleux de ce type d’attaques, qui ne sont pas officiellement intégrées aux doctrines militaires classiques, tout en portant la marque de méthodes associées à certains États. Selon lui, c'est véritablement à partir du conflit russo-géorgien de 2008 que les cyberattaques sont utilisées en appui des opérations militaires. « Le cas de la Géorgie en 2008 est, à ce titre, emblématique. La méthode consistant à noyer les sites gouvernementaux d’attaques massives en déni de service (DDoS) porte la marque de la Russie. Mais les services russes n’ont jamais officiellement revendiqué cette intrusion qui a paralysé certains sites sensibles du pays, car cela aurait conduit à officialiser les pratiques de certains groupes hacktivistes indépendants. » Ceux-ci sont, de fait, des satellites des services russes, sans pour autant être intégrés aux institutions militaires officielles. Ils opèrent donc dans une zone grise géopolitique qui reste encore à être défrichée. Lors de son intervention au FIC 2021, la ministre de la Défense de l’époque, Florence Parly, évoquait une « Guerre froide dans le cyberespace » et ses problématiques si spécifiques : « contrairement à la Guerre froide historique, qui avait ses propres mécanismes de désescalade afin d'éviter un scénario d'apocalypse nucléaire, une nouvelle guerre froide cyber, qu'elle implique des Etats ou des acteurs non-étatiques, ne serait certainement pas régie par la même retenue. Il n'existe pas de téléphone rouge du cyber. Plus grave encore, certains acteurs restent réticents à fixer les règles du jeu de la confrontation dans le cyberespace. Nous pourrions donc être confrontés à des situations d'escalade rapides et non maîtrisées, débouchant sur des crises inédites et des effets en cascade non anticipés ».
Une guerre hybride, entre cyber et physique
Conflit numérique, guerre informatique, guerre de mouvement ou cyberguerre, comment qualifier la guerre en Ukraine ? Les qualificatifs varient en fonction des interlocuteurs. Officiellement, la guerre est qualifiée de cyberguerre par le général de division Aymeric Bonnemaison, commandant de la cyberdéfense française, lors d’une Commission de la défense nationale et des forces armées en décembre 2022 : « En Ukraine, la cyberguerre a bel et bien eu lieu ».
Quelle que soit la terminologie, le conflit russo-ukrainien marque une première dans l'utilisation de l'arme cyber, tant il se distingue de celui russo-géorgien par une diversification des tactiques de cyberattaques permettant de soutenir l'effort de guerre. Voire d’en financer une partie… « Nous avons assisté à une croissance exponentielle des cyberattaques par ransomware lors de ces dernières années, rappelle Sébastien Viou. Il est de notoriété publique que des groupes russes sont à l’origine d’une grande partie d’entre elles et qu’il existe des connexions entre eux et l’État russe ; de là à penser qu’il s’agissait d’une préparation financière à la guerre, il n’y a qu’une possibilité qu’on ne pourra malheureusement jamais vérifier. » « Dans ce conflit, je distingue quatre types d’opérations cyber récurrentes : la destruction, la perturbation, le renseignement et l’influence », analyse de son côté Pierre-Olivier Kaplan. La première consiste à détruire les infrastructures, des simples serveurs informatiques jusqu’aux systèmes électriques dans leur ensemble. La perturbation consiste, elle, à multiplier les attaques DDoS pour neutraliser pendant un temps donné certaines infrastructures. Le renseignement, plus classiquement, s’appuie sur la collecte d’informations sensibles. Et, enfin, l’influence joue sur la manipulation d’opinion via les réseaux sociaux, grâce à des systèmes de bots et de trolls. Quatre pôles pour autant de manières de déstabiliser un État dans le monde cyber. La guerre russo-ukrainienne marque ainsi un tournant, dans cette course au cyber arsenal.
« Dans l’esprit des stratèges du Kremlin, la guerre aurait dû être éclair et ne durer que trois semaines », rappelle également Pierre-Olivier Kaplan. À tel point qu’au début du conflit, la plupart des cyberattaques enregistrées proviennent principalement de « groupes cyber-partisans n’ayant pas tant d'interactions que ça avec les états-majors physiques côté russe ». La corrélation est à ce moment-là limitée entre la guerre physique de mouvement et celle qui se tient dans le cyberespace. Ce n’est qu’à partir de la fin de l’année 2022, et le constat d’un enlisement côté russe, que le volume de cyberattaques augmente significativement. Les opérations de brouillage d’ondes, pour perturber notamment l’utilisation des drones militaires, se multiplient. Et la coordination entre front physique et front cyber devient alors une stratégie payante. « Cette hybridation complète entre une guerre de tranchées, qui renvoie aux sombres heures de 14-18, et une guerre technologique à base de cyberattaques et d’espionnage informatique est l’un des points marquants de ce conflit », complète Sébastien Viou. En parallèle, et dès le mois d'avril 2022, un autre front s’est ouvert : la guerre informationnelle. Lors de la découverte d’un charnier dans la ville de Boutcha qui avait été occupée par les forces russes, ces massacres perpétrés sur la population civile ont été abondamment médiatisés dans la presse internationale. Les forces russes ont été acculées par la pression médiatique et pressées de produire un contre-discours mettant l'accent sur les exactions de l’armée ukrainienne. Une contre-offensive de propagande indispensable à l’heure où la sensibilité de l’opinion publique internationale peut conduire un gouvernement à faire évoluer sa stratégie militaire. En définitive, ces trois formes de guerre – militaire, cyber et informationnelle — s’articulent en permanence.
Les forces cyber en présence
Cette guerre en Ukraine est l’occasion pour les groupes hacktivistes de déployer leurs efforts tous azimuts, qu'il s'agisse de ceux œuvrant pour le compte de l’État russe, comme de ceux défendant les efforts de défense ukrainiens. Le cyberespace faisant office de nouveau champ de bataille, plusieurs groupes hacktivistes ont ainsi assumé explicitement la marque de leurs affiliations politiques.
Et dans le cas de ce conflit, quelles sont les (principales) forces en présence ? Du côté des belligérants pro-russes, « de la cyber-destruction ciblée au cyber-harcèlement tous azimuts, les méthodes des hacktivistes prennent la forme d’attaques massives en déni de service ou DDoS », note ainsi un rapport de février 2023 de l’entreprise Thalès. Des méthodes qui « contribuent aux procédés russes de guerre informationnelle ayant pour but d’épuiser les organisations privées comme publiques ». De son côté, Sekoia.io relève des collaborations explicites de certains groupes hacktivistes avec les services de renseignement du Kremlin. Une affiliation directe qui singularise la guerre en Ukraine. Les groupes hacktivistes « ont choisi leur camp », écrivent les experts de l’ENISA, dénombrant près de 70 groupes qui se sont engagés, à l’image de la Cyber Armée de la Russie côté pro-russe, et relevant parfois un niveau inhabituel de sophistication des opérations. Le site Numerama relève quant à lui la présence du groupe d’attaquants pro-russes Conti, vite découverte et contre-attaquée par les ukrainiens. Mais aussi les puissants Killnet et NoName, considérés comme téléguidés par l’État russe. Ces groupes puissants et bien identifiés cohabitent avec des petits groupes isolés qui, par patriotisme, prennent parti et lancent des attaques de leur propre initiative. « Ce sont de véritables corsaires du cyberespace », analyse Pierre-Olivier Kaplan, qui agissent de façon indépendante. L’armée du Kremlin peut également compter sur l’appui des agences étatiques, « comme le SVR, le service de renseignement extérieur, et son bras armé cyber, qui mènent des opérations dites de perturbation et de soutien », souligne l’expert. « Le FSB, le renseignement intérieur, opère dans le secteur du renseignement militaire, quand le GRU, le service de renseignement interne à l’armée russe, se charge de mener des opérations offensives de type malwares pour détruire les systèmes de défense adverses. » La coopération de ces trois services illustre la cyberguerre menée directement par l’État russe.
Dès les débuts de l’invasion, le camp ukrainien a organisé la riposte en mettant sur pied son IT Ukrainian Army, un groupe de volontaires constitué sous supervision étatique pour lancer des cyberattaques visant des cibles russes. Robuste en matière d’attaques massives en déni de service (DDoS), ce groupe mène aussi des opérations de renseignement pour divulguer des informations susceptibles de fragiliser les assaillants russes. Ce groupe étatique peut compter sur le soutien du groupe Anonymous qui s’est déclaré « officiellement en guerre contre le gouvernement russe », par l’entremise d’un tweet le 24 février 2022. Le cabinet EY évoque le nombre de 2 500 sites russes attaqués par ce groupement international d’activistes depuis le début de l’offensive. « En Pologne, le Squad 303 a lui aussi apporté son soutien explicite au camp ukrainien. De la même manière, en Biélorussie, un groupe cyber-partisan opposé au gouvernement pro-Kremlin défend les intérêts ukrainiens dans des opérations de cyberguerre », ajoute Pierre Olivier Kaplan. Pour des raisons historiques, les États-Unis sont également rentrés très tôt dans la danse en offrant aux ukrainiens des outils, comme l’accès à des services de l’entreprise Microsoft, de manière à solidifier la cybersécurité des infrastructures critiques ukrainiennes. Une aide qui aurait permis « d’éviter le pire », selon l'expert. L’aide américaine a notamment permis de résister à l’attaque russe sous la forme du malware baptisé Hermetic Wiper. Ce dernier a ciblé les serveurs informatiques, des entreprises gouvernementales mais aussi le satellite de télécommunications KA-SAT, dès les premières heures de l’invasion russe. C’est grâce à une autre entreprise américaine, Starlink, que la liaison satellitaire a pu être maintenue en Ukraine pendant ces quelques semaines de déstabilisation.
L’apport des groupes auxiliaires partisans a donc été déterminant pour soutenir l’effort cyber des deux parties en présence. « Attention toutefois à tenir la fiabilité de tous ces groupes auxiliaires sous caution, insiste Pierre-Olivier Kaplan. Car du côté pro-russe, la mutinerie menée par Evgueny Prigogine, leader défunt du groupe Wagner, a montré à quel point ces entités satellites ont la capacité de se rebeller. »
L'après-guerre en Ukraine : un impact sur les guerres de demain ?
La notion de résilience est plus que jamais au cœur de ces deux années d’offensives russes en Ukraine. Jusqu’ici, l’armée ukrainienne a tenu bon, même si les dernières informations du renseignement militaire norvégien évoquent une escalade du conflit. Mais l’impact le plus marquant est bien l’intégration de cyber-opérations et cyberattaques dans les doctrines militaires, à l’image de la cyberattaque américaine contre un navire militaire iranien soupçonné d'espionnage en ce début d’année 2024.
L’utilisation de l’arme cyber dans ce conflit met en avant les contours juridiques opaques de la cyberguerre. Car la menace peut entraîner des dommages considérables pour les populations civiles, notamment dans le cadre de cyberattaques ciblées contre des infrastructures critiques. De l’autre côté, les cyber-attaquants civils perdent leur protection de civil alors même qu’ils ne disposent pas du statut de militaire. Quant à la catégorisation de leurs actes, elle reste floue : terrorisme ? crimes de guerre ? crimes contre l’Humanité ? Sans répondre à cette dernière question, le comité international de la Croix-Rouge (CICR) a ainsi émis au début du mois d’octobre 2022 une liste de règles visant à mieux encadrer les cyber-conflits. Le mot d’ordre : limiter l’impact sur les populations civiles. Au total, ce sont huit règles ou recommandations à destination des cyber-attaquants : ne dirigez pas de cyberattaques contre des biens civils ; n'utilisez pas de logiciels malveillants ou d'autres outils ou techniques qui se propagent automatiquement et endommagent sans discernement les objectifs militaires et les biens civils ; lorsque vous planifiez une cyberattaque contre un objectif militaire, faites tout ce qui est en votre pouvoir pour éviter ou minimiser les effets que votre opération pourrait avoir sur les civils ; ne menez aucune cyber-opération contre des installations médicales et humanitaires ; ne menez aucune cyberattaque contre des objets indispensables à la survie de la population ou pouvant libérer des forces dangereuses ; ne proférez pas de menaces de violence pour semer la terreur parmi la population civile ; n’incitez pas aux violations du droit international humanitaire ; respectez ces règles même si l'ennemi ne le fait pas. Ces règles prudentielles peuvent s’appliquer dès aujourd’hui dans le cadre des multiples conflits armés qui agitent la planète, et dont la plupart ont des répercussions dans l’espace cyber, comme c’est également le cas avec le conflit israélo-palestinien.
Il y a donc un avant et un après le conflit russo-ukrainien. L’utilisation officielle de la cyber comme arme de guerre a ouvert la porte à un renforcement et durcissement des arsenaux étatiques en matière de cybersécurité. Et soulève la question d’une possible coopération internationale renforcée dans la lutte contre la cybercriminalité en temps de guerre. À nouvelle guerre, nouveaux outils : après les conseillers diplomatiques, bientôt les conseillers cyber diplomatiques ?