Enquête Cyberguerre : la Russie jusqu'à présent tenue en échec par l’Ukraine

C’était l’une des craintes majeures de certains experts au moment de l’invasion russe. "On redoutait un Pearl Harbor numérique", explique Julien Nocetti, enseignant-chercheur à l’académie militaire de Saint-Cyr Coëtquidan en Bretagne, spécialiste des stratégies numériques et cyber de la Russie, "mais il n’a pas eu lieu".

La Russie est une cyber puissance dont la capacité d’attaque n’est plus à démontrer. Depuis 2014 et l’annexion de la Crimée, l’Ukraine a été constamment pilonnée par des pirates informatiques russes. L’exemple le plus marquant est le recours au rançongiciel NotPetya qui a paralysé une partie de l’économie ukrainienne en 2018. Ses effets avaient alors largement débordé des frontières du pays. Même en France, plusieurs entreprises comme Saint-Gobain, avaient été touchées. Plus surprenant : le logiciel malveillant avait aussi eu des effets indésirables jusqu’en Russie.

Mais depuis, ses tentatives se sont soldées par des demi-échecs. Le 24 février dernier, au tout début de l’invasion en Ukraine, "un satellite américain ViaSat a été la cible d’une cyberattaque, raconte à la cellule investigation de Radio France Stéphane Duguin du CyberPeace Institute, basé à Genève. Ses modems au sol ont été victimes d’une mise à jour malveillante. Ce satellite est très utilisé par l’armée ukrainienne. Mais il avait aussi d’autres clients, et notamment des particuliers en France qui l’utilisent pour avoir accès à Internet." Résultat : “Près de 10 000 Français se sont retrouvés sans connexion, près de 40 000 personnes au total en Europe. Et en Allemagne, on a perdu le contrôle de près de 6 000 éoliennes pilotées par ce satellite."

Des effets manifestement très éloignés de ceux qui étaient recherchés par les pirates, synthétise Rayna Stamboliyska, experte en diplomatie numérique : "L’intérêt d’une telle manœuvre était d’empêcher que les Ukrainiens se coordonnent au début de l’invasion. M. Poutine et son équipe prévoyaient une invasion éclair. C’est pour ça qu’il aurait été pertinent d’interrompre les communications entre les forces armées ukrainiennes pour semer le désordre, les empêcher de réagir, et de résister." Mais cela ne s’est pas produit. Au total, une trentaine de campagnes de cyberattaques russes ont été documentées par le CyberPeace Institute, mais là encore, avec des effets assez limités.

Le deepfake comme arme dans la guerre de l'information

Dans l’incapacité de faire plier les Ukrainiens par des cyberattaques classiques, les hackers russes sont alors entrés de plain-pied dans un autre volet de la guerre numérique : une guerre de type informationnelle. Mais là encore, jusqu’ici, les Ukrainiens dominent le combat, selon Rayna Stamboliyska. Elle estime que "le contraste est saisissant entre la communication cadrée, froide, des Russes, et la communication spontanée des Ukrainiens."

"Un ancien du KGB, spécialiste de propagande, se fait doubler par un comédien devenu président avec son smartphone."

Rayna Stamboliyska

à franceinfo

Les pirates russes sont cependant allés très loin dans leurs tentatives de désinformation. Il y a quelques jours, une vidéo du président Volodymyr Zelensky est apparue sur les réseaux sociaux. Une vidéo truquée par intelligence artificielle qu’on appelle un deepfake, explique Julien Nocetti : "Il s’agissait de prêter à M. Zelensky des propos enjoignant la population à se rendre, à abandonner le combat et la résistance. Là encore, en vain. Mais on peut très bien imaginer dans quelques semaines en fonction de l’escalade, des vidéos deepfake d’Emmanuel Macron ou Joe Biden annonçant le lancement de frappes nucléaires contre la Russie. Cela pourrait avoir un impact sur les audiences, les populations et les décideurs."

Des cybermercenaires au service de la Russie

Si, pour l’instant, la Russie est tenue en échec, les experts de la question cyber restent prudents sur les potentielles suites de la guerre. "L’arme numérique peut toujours être utilisée dans la suite du conflit, estime Nicolas Arpagian spécialiste de la cybermenace, car elle est disponible. Les États peuvent l’utiliser soit directement, soit par l’intermédiaire de cybermercenaires : des gens qui vont conduire des attaques offensives sans formellement engager la responsabilité d’un État." Or dans ce domaine, la Russie est bien armée. Des liens directs entre des groupes de cybercriminels et le FSB (les services secrets russes) ont pu être documentés très récemment grâce aux “Conti Leaks”, une fuite de données géante d’un des principaux groupes de pirates d'Europe de l'Est.

Ce groupe de hackers était composé de Russes, de Biélorusses mais aussi d’Ukrainiens qui travaillaient ensemble jusqu’à l’invasion de l’Ukraine. Conti ayant pris position publiquement pour Vladimir Poutine, des Ukrainiens de Conti ont fait sécession et ont décidé de faire éclater le groupe. Mais en partant, ils ont pris soin de faire fuiter des milliers de documents internes sur le darkweb. Le public a ainsi pu découvrir pour la première fois ce qui se passait à l'intérieur d’un grand groupe de hackers. Un coup dur pour l’organisation criminelle, dont on a appris quel était son mode de fonctionnement, ses cibles, ses revenus, et ses liens avec le Kremlin.

Mais cela ne signifie pas pour autant la fin des piratages russes, avertit François Deruty, expert en cybersécurité et ex-sous-directeur Opérations de l’Agence nationale de sécurité des systèmes d’information (Anssi) : "Il y a toujours le moyen de faire revivre un groupe, ou d’en créer un nouveau, qui va utiliser les mêmes outils sous un autre nom." Cette fuite de données pourrait même constituer une aubaine, estime l’expert en cybersécurité. “Elles sont désormais disponibles pour tout l’écosystème des attaquants, et on les retrouvera utilisées sans doute dans six mois ou un an dans d’autres types d’attaques.”

La cyberarmée ukrainienne mobilise des bénévoles du monde entier

Tandis que la Russie piétine, les Ukrainiens au contraire se préparent. Ils développent depuis quelques années des capacités de défense de leurs systèmes. Et quelques jours avant la guerre, ils ont reçu l’aide précieuse des États-Unis, affirme le chercheur Julien Nocetti : "Il y a eu des coopérations denses entre Kiev, l’Otan et les États-Unis pour muscler la cyberdéfense et la résilience des infrastructures ukrainiennes en amont du conflit. On constate un resserrement des liens de coopération entre le renseignement américain, la NSA, et les Ukrainiens." Les Européens aussi ont envoyé des experts dans les premières heures du conflit.

À cela s’ajoute le soutien de bénévoles du monde entier. Deux jours après le début de l’invasion russe, le ministre ukrainien de la Transformation digitale a annoncé la création d’une armée numérique ou "IT army". Des milliers de personnes du monde entier ont alors rejoint un forum de discussion sur la messagerie Telegram, afin d’attaquer certaines cibles russes, sites gouvernementaux ou autres. Aujourd’hui, ces pirates bénévoles vont jusqu’à identifier et contacter les familles de soldats russes qui combattent en Ukraine, pour les prévenir des agissements de leurs proches. Un champ d’action très large pour tenter de perturber au mieux l’offensive russe.

Ces actions ne sont pas sans risque, prévient cependant Rayna Stamboliyska : "Les personnes qui mènent ces attaques n’ont aucun mandat officiel autre que la réponse à un tweet et la participation à un groupe Telegram. Ce sont des Ukrainiens, mais aussi des Américains, des Français, des Danois, et ils font de l’intrusion. Ils sont donc en situation d’infraction."

"Ça devient encore plus problématique quand M. Poutine dit qu’il peut considérer tous les pays où habitent ces pirates comme belligérants dans le cadre d’un conflit armé.”

Rayna Stamboliyska

à franceinfo

Bientôt des attaques cyber contre l'Europe ou les Etats-Unis ?

Certains pays occidentaux redoutent donc de possibles mesures de rétorsion sur le plan numérique ou des cyberattaques qui viseraient l’Europe ou les États-Unis. Le président américain Joe Biden a clairement mentionné ce risque il y a quelques jours : "Mon administration m’a prévenu que les Russes planifiaient des cyberattaques contre nous. Le potentiel russe est très important, et la menace se précise. Le gouvernement se tient prêt. C’est la sécurité nationale qui est en jeu."

Dans la foulée, l’agence de cyberdéfense américaine a publié deux notes accusant la Russie d’avoir déposé des implants dans des entreprises liées au secteur de l’énergie. Ces implants, sortes de bombes à retardement numériques, pourraient être déclenchés plus tard par certains pirates et avoir de graves conséquences. La France a elle-même découvert ce genre d’implants : en 2018, Guillaume Poupard, le directeur général de l’Anssi annonçait devant des sénateurs : "Nous avons détecté des cas très inquiétants, notamment une tentative d'intrusion de systèmes de cartographie liés au secteur de l'énergie, qui n'avait qu'un but : la préparation d'actions violentes futures. Imaginez les conséquences sur le fonctionnement d'un pays d'une attaque sur les réseaux de distribution d'énergie."

La France se tient prête

"Connaître l’objectif de ces attaques est toujours compliqué, précise François Deruty, l’ancien sous-directeur Opérations de l’Anssi. On trouve des codes malveillants mais tant qu’on ne sait pas s’il s’agit simplement d’espionner les communications ou de les détruire on ne se rend pas bien compte de l’effet final recherché. Et c’est compliqué de remonter jusqu’au commanditaire."

L’Anssi avait publié une note sur le sujet à l’époque, mais sans jamais mentionner la Russie. "La doctrine française consiste à ne pas désigner publiquement les coupables comme le font d’autres pays, poursuit François Deruty. On peut en discuter en bilatéral, on peut utiliser le canal diplomatique. Il y a d’autres façons de pointer du doigt ou de faire savoir qu’on est au courant de certaines choses." Selon nos informations cependant, la Russie semble bel et bien derrière ce dépôt d’implants. Un groupe criminel nommé Energetic Bear, proche de Moscou et repéré aussi aux États-Unis sous d’autres noms, serait derrière ces attaques.

Face à ces craintes, la France se prépare. L’Anssi a publié une note dès le début de la guerre pour demander aux entreprises françaises de se protéger. Sont particulièrement surveillés les opérateurs d’importance vitale (ministères, centrales nucléaires…) surtout à l’approche de grands événements comme la Coupe du monde de rugby de 2023, ou les Jeux olympiques de 2024. L’armée aussi se prépare. Elle a tenu son crash-test annuel : une simulation de cyberattaques pour faciliter le fonctionnement de la chaîne de commandement. Cette année, le thème de l’exercice était "un pays exclu des Jeux olympiques décide d’envahir une région frontalière d’un État allié de la France". Le sous-entendu est clair.

Faire "tomber" internet ?

Mais si la crainte porte principalement sur des piratages informatiques, le risque d’une attaque physique sur les infrastructures réseau existe aussi. Un État hostile pourrait très bien s’en prendre aux câbles sous-marins qui relient les pays entre eux, et perturber ainsi les communications Internet. Bernard Barbier, ancien directeur technique de la Direction générale de la Sécurité extérieure (DGSE) précise : "Ces câbles sont visibles, placés au fond de la mer. Ils ressemblent à de gros tuyaux d’arrosage, facile à couper. On peut très bien avec un sous-marin aller à 5 000 m de profondeur et les couper. Si vous en coupez un seul, il n’y a pas d’effet, mais si vous en coupez cinq ou dix, il y a un fort ralentissement de l'internet. Et s’il n’y a plus ces câbles, le numérique s’écroule."

Cette crainte relève pour l’instant du fantasme pour certains experts, mais elle se base sur un précédent : en 2015, un navire océanographique russe, le Yantar, s’était approché un peu trop près de câbles situés près de la côte est américaine. Les États-Unis l’avaient alors soupçonné de faire de l’espionnage. Mais s’il est possible d'écouter un câble, il est aussi tout à fait possible de l’endommager.