« En Ukraine, la cyberguerre a bel et bien eu lieu, contrairement à ce qu'a donné à croire
l'absence de cyber Pearl Harbor », a d'emblée attaqué le général Aymeric Bonnemaison, commandant de la cyberdéfense, lors de son audition à l'Assemblée nationale début décembre. À la veille du 24 février, la Russie possède « une capacité cyber mature et éprouvée dans tous les domaines de lutte, qu'elle soit informationnelle ou offensive ». Très longtemps à l'avance, elle a entamé une opération de sape dans le cyberespace en combinant attaques informatiques et informationnelles. Une audition passionnante qui décrit à la fois tous les préparatifs nécessaires à une telle opération, puis l'attaque elle-même de la Russie contre l'Ukraine. Cette analyse du général de division repose essentiellement sur des sources ouvertes, recoupées lors de discussions avec le chef du commandement cyber américain (USCYBERCOM, United States Cyber Command) et les autres commandants cyber européens.
« L'étude de la période allant de 2014 au début de l'année 2022 permet de mettre en évidence la place de la guerre hybride dans la conception russe des conflits. Les Russes ont de longue date intégré la manœuvre cyber et la manœuvre informationnelle, en liant fortement les deux dans leur action. Ils couvrent aussi bien le contenu que le contenant dans leur approche », explique le commandant de la cyberdéfense.
Les Russes n'ont pas attendu l'attaque en Ukraine pour intégrer des cyberattaques à une attaque terrestre. Cela a été le cas en Géorgie, où la cyberattaque d'août 2008 a été lancée 48 heures avant le déclenchement de la deuxième guerre d'Ossétie du Sud, où se sont affrontées l'armée géorgienne et les troupes russes. « Les opérations terrestres étaient très bien combinées avec les attaques informatiques », confirme le général Bonnemaison. Un an auparavant, la Russie avait lancé le 27 avril 2007, la première cyberattaque visant une structure étatique. C'était en Estonie. Cette attaque avait beaucoup marqué les esprits et les gouvernements avaient alors découvert tous les enjeux de la cyberguerre et l'impact de ce nouveau type d'arme sur les défenses adverses. L'OTAN avait d'ailleurs pris le sujet très au sérieux en définissant une stratégie cyberdéfense dès janvier 2008.
Un travail de sape et de tests
Le général Aymeric Bonnemaison rappelle que de 2014 à 2022, des attaques d'un très haut niveau technique ont visé des infrastructures critiques en Ukraine, en commençant par des stations électriques en 2015. En 2016, une attaque bien plus complexe a visé un réseau électrique. « Ces attaques sont les premières menées complètement à distance sur la fourniture d'électricité. La technique très sophistiquée mise en œuvre a suscité notre intérêt, dans la mesure où nous pourrions être amenés à la contrer », souligne-t-il. La première attaque a privé 225.000 personnes d'électricité pendant plusieurs heures. La seconde a réduit d'un cinquième la consommation de la capitale ukrainienne.
À partir de 2017, les attaques se sont diversifiées, prenant la forme d'une sorte de harcèlement et présentant une certaine viralité. « Elles ont visé les réseaux ukrainiens publics et privés, et ont touché de grands groupes internationaux, tels que Saint-Gobain, précise le commandant de la cyberdéfense. Elles ont été associées à des opérations informationnelles, qui ont ajouté du commentaire aux coupures d'électricité pour exciter le mécontentement et saper la confiance de la population dans les institutions », analyse le général Aymeric Bonnemaison. Dans cette période, la Russie a également lancé des opérations de subversion, notamment dans le Donbass, « visant à la victimisation des russophones et à la surmédiatisation des grands programmes de construction russes, associées à une critique violente de l'incapacité des pouvoirs publics ukrainiens à préserver les réseaux électriques et les fonctionnalités essentielles à la vie courante ».
350 cyber-attaques lors des deux premiers mois du conflit
Dès les premières heures du conflit, les attaques cyber ont visé les ministères ukrainiens, selon un modèle appliqué en Géorgie. Les Russes voulaient empêcher les organes de gouvernement de dialoguer entre eux, voire d'empêcher le président ukrainien de dialoguer avec l'extérieur. La deuxième vague d'attaques très poussées a visé les routeurs de communication par satellite KA-SAT, et donc la chaîne Viasat, qui est très utilisée par les troupes ukrainiennes. La constellation Starlink (Elon Musk) a en partie remédié à cette situation. La troisième vague d'attaques a plus largement visé les entreprises privées pour désorganiser le fonctionnement de la société ukrainienne.
Dans les premières semaines du conflit, les attaques informatiques russes ont visé les réseaux ukrainiens dans le cadre d'opérations de déni de service, dont l'objectif est d'empêcher d'utiliser la téléphonie et d'accéder à certains sites internet, notamment ceux du gouvernement, « couplées à des coupures physiques, moins souvent évoquées », souligne le patron de la cyberdéfense. Par des actions de guerre classique, les Russes ont également neutralisé des câbles et des points d'accès 3G et 4G, « mais avec une certaine réserve et dans certains endroits seulement, car ils prévoyaient une guerre courte et pensaient réutiliser les infrastructures à leur profit ».
Lors des deux premiers mois de conflit, 350 attaques cyber ont été recensées, dont 40% visant des infrastructures critiques susceptibles d'être utilisées par le gouvernement, l'armée, l'économie et la population, et 30 % des incidents ont touché les organisations gouvernementales ukrainiennes à l'échelon national d'abord, puis régional et municipal, décrit le général Bonnemaison. Par ailleurs, la prééminence russe en matière de guerre informationnelle a été très rapidement contestée par les Ukrainiens.
L'apport significatif des GAFAM
Le général Bonnemaison tire plusieurs enseignements de ce conflit, où la composante cyber russe n'a pas été déterminante. « Quand la poudre parle, la lutte informatique offensive trouve ses limites. Dans la phase préparatoire de la guerre comme dans sa phase intensive, les actions de sabotage cyber ont été atténuées au profit d'une guerre classique bien plus létale, cinétique et brutale », note le patron de la cyberdéfense. Là où l'arme cyber a joué un rôle particulièrement important, « c'est avant le conflit, grâce au renseignement qu'il permet d'obtenir et à la possibilité qu'il offre de façonner les esprits, et aussi après le conflit, car la compétition, la contestation et l'affrontement demeurent en permanence dans le cyberespace », assure-t-il.
D'un point de vue plus strictement militaire, les Russes ont éprouvé des « difficultés à intégrer pleinement les capacités cyber dans la manœuvre tactique, alors même qu'ils y étaient parvenus en Géorgie, en détruisant par voie navale, terrestre ou aérienne les stations de transmission de base, ce qui empêche l'ennemi de donner l'alerte ou de coordonner les moyens de secours ». Pourquoi ? « Certains y voient la conséquence de la relative impréparation du conflit, due à la croyance que la victoire serait rapide et aussi au secret qui a longtemps entouré son déclenchement, y compris parmi les gens en position de commandement, qui n'étaient pas tous informés de l'intention exacte du président Poutine ».
Deuxième enseignement, la capacité de la défense à prendre le dessus sur l'offensive. « Ce dont nous doutions », indique-t-il. « Grâce à une défense en profondeur, assurée par les capacités ukrainiennes renforcées par les capacités américaines et avec l'apport significatif des GAFAM, notamment de Microsoft s'agissant des analyses, l'offensive a été bien moins percutante et efficace que prévu », note-t-il. Les GAFAM (Microsoft, Google) ont pris « une importance considérable » dans le conflit russo-ukrainien. Ils ont largement contribué à la protection de l'Ukraine, mais « en prenant un poids qui soulève des questions d'ordre politique ».
Cet avantage du défensif sur l'offensif constitue « un véritable changement de paradigme pour les divers commandements cyber et nous rend un peu espoir - nous protégeons nos réseaux en permanence en ayant parfois le sentiment d'édifier une ligne Maginot, dont chacun sait ce qu'elle a donné. Il faut des défenses permettant de protéger nativement nos réseaux, associées à une capacité de patrouille sur nos réseaux et de vérification incessante ».
Enfin, troisième enseignement, la faible lisibilité non seulement des actions, mais aussi des acteurs. Ainsi, « les hacktivistes se mobilisent en fonction de leurs opinions, avec d'importantes capacités et une bonne maîtrise technique. Leur coordination, en revanche, est malaisée, et les effets de leur action un peu désordonnés. Hormis une forme de harcèlement, leur action n'a pas été d'une grande efficacité », explique le général. Des groupes cybercriminels ont donc mené des attaques pour le compte de certains services de renseignement, dans le cadre d'une porosité accrue entre ces deux mondes. Ce qui complique l'attribution des attaques informatiques. Ce flou est entretenu par tous les acteurs. « Les modes d'action utilisés par les cybercriminels sont parfois détournés par des services étatiques, et certains cybercriminels sont parfois mandatés par eux pour conduire des opérations », affirme-t-il.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés