Cyberattaques : l’autre échec russe de la guerre en Ukraine <!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
A travers l'invasion de l'Ukraine par la Russie, les deux cyber-puissances s’affrontent ouvertement sur le terrain informatique.
A travers l'invasion de l'Ukraine par la Russie, les deux cyber-puissances s’affrontent ouvertement sur le terrain informatique.
©Image montage Watson / DR

Assauts numériques

Les guerres sont souvent des bancs d'essai pour les nouvelles technologies. A travers l'invasion de l'Ukraine par la Russie, c’est la première fois que deux cyber-puissances s’affrontent ouvertement sur le terrain informatique. Le résultat est une leçon sur les limites de la cyber-puissance.

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » d u « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).
Voir la bio »

Atlantico : Avec le conflit de la Russie contre l’Ukraine, on a beaucoup entendu parler des cyberattaques russes mais celles-ci n’ont finalement eu que peu - voire pas - de répercussions en l’état ? Comment l’expliquer ?

Franck DeCloquement : Mis à part ce que l’on ignore encore, et cela compte tenu du brouillard de la guerre et du secret des opérations, le constat est en effet assez frappant vu de l’extérieur. Une partie de la réponse réside peut-être partiellement dans les faux pas que la Russie a pu commettre dans sa manière d’envisager initialement ce conflit. Une opération toujours qualifiée de « spéciale » à ce jour, par le chef du Kremlin en personne. Une erreur de perspective donc, ou de perception de la situation en somme. Limitant visiblement d’emblée leurs frappes initiales contre l’Ukraine, parce que les Russes supposaient que les infrastructures du pays passeraient rapidement sous leur contrôle. Il est à noter que les cyber-forces russes ont également moins d'expérience et de vélocité dans l'intégration des cyber-opérations avec leurs unités militaires classiques de combat, que leurs homologues occidentaux qui le pratiquent depuis plus de 30 ans, à l’image des Américains eux-mêmes. Le conflit entre la Russie et l’Ukraine montre également à quel point la cyber-puissance d’une nation en temps de guerre a pu être visiblement mal conduite par ses instigateurs. Les cyberattaques spectaculaires sont en définitive assez rares, car elles sont beaucoup plus exigeantes au demeurant qu'on ne le pense généralement en matière d’intégration et d’action conjointe à mener pour performer. Le sabotage russe du réseau électrique ukrainien en 2016 a – par exemple – mis plus de deux ans à se préparer en coulisses, avant d’être opéré concrètement. Les attaques de type « ViaSat » ne sont par exemple pas des vecteurs malveillants produits en série, et qui peuvent être lancés à volonté sur n'importe quel type de cible. Ils sont conçus et fabriqués sur mesure. La société ViaSat a depuis déterminé que des attaquants sont parvenus à exploiter une erreur de configuration dans un équipement VPN, et cela afin de s'introduire dans l'espace d'administration du réseau KA-SAT, du nom du satellite utilisé par ViaSat pour connecter à internet ses clients européens, et les Ukrainiens. Cette méthode a – en outre – permis de déconnecter un très grand nombre des modems du réseau Ka-Sat en l'espace de quelques heures à peine. La société n'avait avancé initialement aucun élément sur l'origine exacte de l'attaque, autrement dit : son attribution... Et si officiellement, personne n'a attribué sur le moment cette cyberattaque à un acteur précis, des sources proches du renseignement américain citées alors par le Washington Post ont laissé très tôt entendre que des acteurs liés au gouvernement russe ont été à la manœuvre sur cet « incident ». Plusieurs sociétés de cybersécurité avaient d’ailleurs mis en avant le fait que les services de ViaSat étaient très utilisés par les forces militaires ukrainiennes… L’histoire est depuis cruellement passée par là, un 24 février au matin, pour confirmer les soupçons initiaux des enquêteurs…

Tout cela a deux implications. La première est que les cyber-campagnes peuvent s'essouffler assez vite. Les troupes russes prévoyaient visiblement une guerre d'une semaine, tout au plus. Il en a été de même pour ses pirates qui n’ont, semble-t-il, pas envisagé les choses autrement. Lorsque l'invasion a commencé à s’éterniser, ils ont dû ajuster leurs ambitions initiales, puis rectifier le tir dans la foulée. Et cela, chemin faisant. Ils ont donc eu recours à des attaques techniques plus basiques qui pouvaient être lancées à un rythme plus soutenu et à une échelle élevée, sans pour autant se faire démasquer par l’adversité. Celles-ci étaient et demeurent un défi notable pour les forces ukrainiennes, mais un défi relativement absorbable et gérable en l’état. La deuxième implication est que les cyber-offensives élaborées sont souvent les plus nécessaires lorsque le recours à la violence brute est exclu d’emblée dans les affrontements entre belligérants. Si une guerre fait rage de toutes les façons, pourquoi utiliser alors un code malveillant très élaboré, lorsque par ailleurs, un simple missile ferait aussi bien l'affaire ? Les récentes attaques aériennes de la Russie montrent que les drones iraniens sont un moyen beaucoup moins cher et beaucoup plus efficace de couper le réseau électrique de l’adversaire, qu’une action cyber-offensive délicate. Les actions cyber-offensives en temps de guerre ont tendance à compléter ou à accompagner l'action militaire classique proprement dite, plutôt qu'à la remplacer stricto sensu. Les cyber-opérations les plus importantes ne sont finalement pas celles qui visent à impacter les banques et les aéroports d’un pays ciblé, mais celles qui mènent tranquillement la collecte de renseignements et la guerre psychologique – des tâches qui faisaient intégralement partie de la bataille – bien avant l'existence des ordinateurs ou de l’Internet lui-même. Lors du 3e Forum Sécurité & Résilience, l’excellent Marc Watin-Augouard, général d’armée emblématique, et fondateur en outre du Forum international de la cybersécurité, a rappelé avec la verve qu’on lui connait les grands enjeux du cyber au sujet de la guerre en Ukraine. Et ceci de manière remarquablement claire, tel que l’on peut en juger ici : « Cyberguerre ou plutôt cyber dans la guerre en Ukraine ? Ce que vivent les Ukrainiens, malheureusement pour eux, est quelque chose qui va nous permettre de tirer beaucoup d’enseignements. Mais il faut d’abord ramener le mot guerre à sa juste valeur, et à sa juste définition. Une guerre, c’est là où on meurt, où on détruit. » Pourquoi on ne peut pas parler réellement de cyberguerre en Ukraine alors ? Continuant sur sa lancée : « Est-ce qu’une cyberguerre est possible ? Pour moi, c’est non dans le contexte actuel. En revanche, ce qui est vrai, c’est qu’on a le cyber dans la guerre. Et c’est deux choses complètement différentes. La difficulté, est qu’on ne sait pas à quel moment on sort du champ de la cybercriminalité pour rentrer dans le champ de la guerre, du conflit. À quel moment la cyberattaque atteint un niveau tel que ce n’est plus de la cybercriminalité classique, qu’on n’est plus dans le droit commun du Code pénal mais dans le droit des conflits armés et de la Convention de Genève. » Et Marc Watin-Augouard de rappeler subrepticement en substance : selon le CICR (Croix-Rouge), on parle de cyberguerre quand les pertes humaines et matérielles sont au moins égales à celles d’un « conflit classique ». Et, seconde condition pour parler de cyberguerre, il faut qu’on puisse attribuer l’attaque, et désigner clairement l’agresseur. « Aujourd’hui, tout est mis en œuvre pour tromper l’adversaire, laisser des traces qui sont des leurres. Donc on utilise le cyber dans la guerre mais il ne s’agit pas de cyberguerre. » Dans le sens du droit international humanitaire (DIH), il y a des cyberattaques mais pas de cyberguerre à proprement parler. On utilise le cyber comme une arme, comme on utiliserait l’aviation, l’artillerie. » Conclusion nominale : « On ne gagne pas la guerre grâce au cyber. En revanche, on peut la perdre à cause du cyber. » Si les Ukrainiens n’avaient pas été en capacité de maîtriser l’outil numérique, de faire preuve de résilience par rapport aux cyberattaques dont ils ont été les victimes, on peut dire qu’ils auraient perdu la guerre. « Les Ukrainiens ont été capables d’être résilients par rapport au numérique », note pour conclure notre sémillant général d’armée.

Quels ont été les conséquences réelles de ces assauts numériques sur le système ukrainien ?

Franck DeCloquement : Au demeurant, et malgré l’armée de cyber-guerriers Russes, le système de distribution d’eau, les éclairages et l'électricité de l'Ukraine sont restés très longtemps opérationnels, et cela bien après le début des affrontements armés. Même les banques du pays sont demeurées relativement opérationnelles, et cela malgré les destructions ciblées de très nombreuses infrastructures physiques. A ce titre, rappelons que Volodymyr Zelensky, le président ukrainien, a par exemple pu continuer à se filmer dans des émissions de télévision nocturnes à destination de la nation et de la presse internationale. C’est toujours le cas aujourd’hui. Mais si le cyber-conflit a été relativement décevant du point de vu des observateurs que nous sommes, c'est finalement l'Ukraine qui mérite le plus de crédit dans ce registre des cyber-opérations. La Russie a traité l'Ukraine comme une zone d’affrontement et de « cyber-test » dans les années qui ont suivi sa première invasion en 2014. L'Ukraine était donc préparée à toute éventualité en la matière, et n’a finalement pas été trop surpris, in fine... Aidé naturellement en cela, et très en amont, par ses alliés occidentaux. Américains en tête. Le jeudi 24 février dernier à l’aube, ses cyber-équipes de spécialistes se sont déployées à travers tout le pays, si bien qu'elles ont été dispersées immédiatement. Une grande partie de l'infrastructure numérique de l'Ukraine a très vite migré vers des serveurs à l'étranger prévus à cet effet, et totalement hors de portée des salves meurtrières de missiles russes. Les gouvernements des pays occidentaux coalisés et leurs cyber-agences ont également joué un rôle majeur, partageant des renseignements à très haute valeur ajoutée, renforçant les réseaux ukrainiens et extirpant préalablement les intrus russes infiltrés, en décembre 2021 et janvier 2022. Il en a été de même pour des entreprises privées comme la firme américaine Microsoft ou la société ESET, une société de cybersécurité slovaque, qui surveillent le trafic sur les réseaux ukrainiens. Cette dernière ayant utilisé très souvent le recours à l'intelligence artificielle (IA) pour parcourir d'énormes volumes de ligne de code potentiellement compromises ou infectées. « La cyberdéfense de l'Ukraine repose essentiellement sur une coalition de pays, d'entreprises et d'ONG », a écrit Microsoft dans un rapport sur les leçons apprises durant ce conflit, sorti en juin dernier. Microsoft avait d’ailleurs détecté, avec son centre de renseignement et de supervision des menaces (Le Threat Intelligence Center – MSTIC), des cyberattaques russes lancées contre l’infrastructure numérique de l’Ukraine (le virus Hermetic Wiper détruisit en l’état quelque 300 systèmes ukrainiens), et cela, quelques heures à peine avant que les blindés et les missiles russes ne déferlent sur le pays…

Qu’est-ce que ces échecs révèlent de la Russie et de l’état du conflit ?

Franck DeCloquement : Il est encore beaucoup trop tôt pour tirer des conclusions véritablement étayées et solides. Mais ce temps d’analyse et d’exploitation du renseignement viendra. La guerre fait actuellement rage en Ukraine, et de nouveaux malwares apparaissent continuellement dans le cyberspace, à flux continu. La Russie garde sans aucun doute en réserve certaines de ses cybercapacités les plus puissantes et les plus malveillantes. Tapis dans l’ombre des millions de lignes de code, et prêtes à être activées à la moindre sollicitation belliqueuse de l’ennemi. Pourtant, les premiers signes sont encourageants. On a souvent supposé que l’écosystème cyber était le terrain de jeu favori des attaquants, et que leurs logiciels malveillants passeraient toujours les barrières de protection et causeraient d’incalculables ravages dans les systèmes complexes interconnectés. L'Ukraine a défié tous les pronostics envisagés à ce jour, et montré par ailleurs que même l'une des grandes puissances informatiques les mieux dotées de la planète peut être tenue à distance –  et parfois même en échec – grâce à une défense disciplinée et méticuleusement, organisée très en amont. Gageons que cela puisse durer aussi longtemps que possible.

Le cyber dans la guerre en Ukraine touche toutes les couches considérées : la couche matérielle (infrastructure physique), la couche des protocoles (DNS, IP), la couche logicielle (intelligence d’une machine) et sémantique (propagande et autres actions délétères). « Tout a été sollicité selon Marc Watin Augouard. Les Ukrainiens sont même allés ressouder des réseaux de fibres optiques touchés par des bombes pour qu’Internet puisse par exemple continuer à fonctionner correctement malgré la guerre, sur le territoire ukrainien. Les Russes ont détourné des flux d’Internet. De Kherson vers Kiev ils sont ensuite allés de Kherson vers Moscou. Il y a eu aussi des attaques par déni de service, par saturation des réseaux pour les rendre inutilisables. » Concernant les actions sur la couche sémantique du Web, on peut citer certaines actions ukrainiennes : des hackers ukrainiens ou pro ukrainiens ont demandé à des taxis moscovites de se rendre au même endroit et au même moment pour obtenir un EFR (Etat Final Recherché) spécifique : la capitale russe a été complètement embouteillée à l’issue de cette opération. Et le général Watin-Augourad de nous rapporter avec sa faconde légendaire : « On a aussi le cas d’une charmante soldate avec un uniforme russe qui a aguiché des soldats russes sur un réseau social. Elle leur a demandé de se prendre en photo. Immédiatement avec l’intelligence artificielle, ces soldats ont été localisés. Dans la foulée, sa base a été victime de tirs d’artillerie pour la détruire. » Autrement dit : « Qui ose gagne ! »

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !