Ukraine : le cyber sur le pied de guerre ?
Par Alexis Rapin
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand
Dans un contexte militaire extrêmement tendu, les récentes cyberattaques ayant visé l’Ukraine ont fait craindre à certains le déclenchement d’une invasion russe. Le cyber est-il toutefois un outil éprouvé en situation de conflit armé ?
À la mi-janvier, une vague de cyberattaques s’abat sur différentes organisations ukrainiennes. Près de 70 sites internet, dont plusieurs de ministères cruciaux, sont défigurés et affichent un message menaçant, affirmant entre autres aux utilisateurs que leurs données ont été volées. Pour beaucoup d’observateurs, c’est un très mauvais présage : alors que plus de 100 000 soldats russes sont massés à la frontière avec l’Ukraine depuis décembre, certains craignent que les cyberattaques ne constituent les premiers signes d’une invasion imminente. D’autres crient à l’alarmisme : l’Ukraine a subi depuis 2014 des cyberattaques autrement plus destructrices que des défigurations (piratage du réseau électriquepar exemple), selon eux, c’est donc bien autre chose qu’il faudrait redouter si une offensive se préparait.
Deux jours plus tard, effectivement pas d’invasion russe, mais de nouvelles révélations : en marge des piratages de sites internet, une autre vague de cyberattaques a ciblé l’Ukraine. Celle-ci se révèle plus discrète, et plus inquiétante. Un logiciel malveillant a été implanté dans les systèmes de diverses agences gouvernementales ukrainiennes (qui ne sont pas identifiées), avec pour vocation de sciemment détruire les données stockées une fois activé. Bien que prenant l’apparence d’un rançongiciel — vraisemblablement pour faire croire à un acte cybercriminel — le logiciel n’est en fait programmé ni pour tracer un quelconque paiement de rançon ni pour restituer les données après versement. De tels dispositifs, appelés des wipers (« nettoyeurs »), sont connus comme des outils de cybersabotage de premier choix.
Depuis lors, les spéculations vont bon train : les défigurations et le wiper constituaient-ils une opération coordonnée ? Dans quel but au juste ? Et surtout, quel(s) acteur(s) sont derrière ces actions ? Faut-il effectivement y voir un rapport avec une potentielle invasion russe ? Alors que de nombreux éléments techniques restent jusqu’ici non publicisés, l’information sur laquelle fonder des hypothèses est encore mince. Reste un questionnement, plus général, mais de haute importance pour les spécialistes de la cyberdéfense : en contexte de tensions militaires, les cyberattaques sont-elles effectivement la première flèche qu’un belligérant décochera pour déclencher les hostilités ?
Trouver une plus-value tactique
Si les défigurations de sites internet ukrainiens ont suscité un tel émoi, c’est sans doute parce qu’elles rappelaient un scénario familier : en 2008, diverses organisations étatiques en Géorgie avaient subi précisément le même sort juste avant que la Russie ne lance une offensive en Ossétie du Sud et en Abkhazie. Une cinquantaine de sites d’organismes gouvernementaux, médiatiques ou financiers avaient été défigurés ou mis hors ligne durant quelques heures, pendant que les blindés russes franchissaient la frontière. Dans un contexte similaire, d’aucuns craignaient donc que de mêmes types de piratage n’annoncent eux aussi une invasion russe dans l’est de l’Ukraine.
Ce raisonnement, toutefois, a ses limites : les experts s’entendent aujourd’hui pour dire que les diverses cyberattaques lancées contre l’État géorgien en 2008 n’eurent qu’une modeste incidence sur le déroulement du conflit. Les défigurations, particulièrement, sont loin de constituer la cyberattaque de choix pour débuter une guerre : à la fois très visibles et peu destructrices, elles constituent un bon moyen d’humilier publiquement un adversaire, mais ne confèrent à première vue pas de réel avantage tactique à un attaquant. Si certaines cyberattaques devaient donc être annonciatrices d’opérations militaires de grande envergure, ce n’est selon toute vraisemblance pas du côté des défigurations de site internet qu’il faudrait les chercher.
L’emploi d’un wiper correspondrait sans doute davantage à ces critères. Capables de détruire très rapidement d’immenses quantités de données dans des systèmes clés, les wipers ressemblent plus à ce que l’on pourrait concevoir comme une « frappe cyber ». En 2012, la cyberattaque baptisée Shamoon lancée par l’Iran contre la pétrolière saoudienne Aramco contenait un wiper très agressif qui allait pulvériser les données de quelque 30 000 ordinateurs. Une attaque de ce type contre les systèmes informatiques de forces armées pourrait donc peser bien davantage dans la capacité de réaction d’un belligérant face à une invasion. On ne dispose toutefois d’aucun réel précédent qui permettrait de tester cette hypothèse.
Outil de, ou alternative à la guerre ?
D’où un constat de grande importance, souligné par le politologue Thomas Rid : pour toute l’encre versée ces trente dernières années sur l’idée de « cyberguerre », nous n’avons à ce jour rien observé qui s’en approche. Certes, des cyberattaques à caractère géopolitique se produisent régulièrement, mais l’emploi de moyens cyber dans le cadre d’un conflit armé ouvert demeure jusqu’ici rarissime (et, comme le montre le cas de la Géorgie en 2008, relativement insignifiant).
S’appuyant sur les cas de l’Ukraine et de la Syrie, les chercheurs de l’Université du Michigan, Nadiya Kostyuk et Yuri Zhukov, démontrent justement que les cyberattaques menées en contexte de conflit armé ne produisent que peu d’effets sur le déroulement des opérations. Diverses pistes sont avancées pour expliquer cet état de fait. Entre autres : le temps nécessaire pour monter une bonne cyberopération serait peu en phase avec le rythme d’un conflit armé conventionnel, et les effets d’une cyberattaque seraient souvent de trop courte durée pour faire une différence sur le terrain. Un autre défi de taille serait de calibrer adroitement les dommages d’une cyberattaque : lors de l’invasion de l’Irak en 2003, l’administration Bush devait par exemple renoncer à pirater les systèmes financiers du régime irakien (bien qu’ayant entièrement planifié l’opération), de peur que l’attaque ne contamine les marchés internationaux.
Autrement dit, le cyber serait — à ce jour du moins — bien loin d’être la super-arme de guerre que beaucoup s’imaginent. Tout au plus permet-il, en certaines circonstances, de livrer des escarmouches, lorsque des adversaires ne veulent pas en venir directement aux mains. C’est par exemple le cas de cyberattaques menées par les États-Unis durant la crise ayant agité le Golfe persique durant l’été 2019 : ceux-ci ont piraté divers systèmes iraniens (dont des lance-missiles) en représailles à la destruction d’un drone américain. Ce cas, cependant, milite à bien des égards en faveur de la thèse de Thomas Rid : le cyber demeure pour l’heure bien moins une arme de guerre qu’un outil stratégique alternatif, permettant justement de défendre ses intérêts en demeurant en dessous du seuil de la guerre.
Potentiel perturbateur
Est-ce à dire que les récentes vagues de cyberattaques ayant visé l’Ukraine ne doivent nullement inquiéter Kiev ? Ou que, si invasion russe il doit y avoir, le cyber n’aura aucun rôle à y jouer ? Certainement pas. L’histoire du cyber s’écrit de jour en jour, et celui-ci n’a de toute évidence pas fini de nous surprendre. Mais il importe d’observer une tendance lourde : en près de vingt ans de cyberconflictualité, relativement peu de cyberattaques ont cherché à influer sur le cours d’un conflit armé et, du nombre, aucune n’a à ce jour produit d’effets de grande envergure sur le déroulement d’opérations militaires.
Les tensions qui se déploient actuellement entre la Russie et l’Ukraine fournissent peut-être un terreau fertile à une première en la matière. Pour Dmitri Alperovitch, fondateur du Alperovitch Institute for Cybersecurity Studies de la Johns Hopkins University, en cas d’invasion les moyens cyber seront vraisemblablement utilisés par la Russie pour espionner les troupes ukrainiennes, ou pour des piratages d’infrastructures visant à décourager l’opinion publique ukrainienne. Le cyber « jouera un rôle, comme dans tout conflit moderne, mais ce ne sera pas le moyen principal », prédit-il.
Une autre facette du cyber, cependant, doit peut-être attirer notre attention : les cyberattaques étatiques sont connues pour « brouiller les cartes », pour causer temporairement la désorganisation chez la cible en laissant planer le doute sur qui a fait quoi. De telles situations de confusion mettent momentanément sous pression les acteurs visés et peuvent donner lieu à des erreurs d’appréciation, à des décisions mal informées, voire à des surréactions. Autant de gestes qui, dans un contexte d’extrêmes tensions militaires, peuvent justement initier une escalade ou donner prétexte à un adversaire pour déclencher un conflit. Moins qu’une arme de guerre, le cyber pourrait donc aussi et surtout se révéler une étincelle dans la poudrière.
En savoir plus
