La cyberguerre russe n'a pas eu lieu ?

Deux mois après l’invasion de l’Ukraine par la Russie, la cyberguerre redoutée et attendue par les forces armées occidentales n’a pas (encore) eu lieu. Où sont les prises de contrôles à distance de PLC pour couper le courant des centrales électriques ? Où sont les attaques par déni de service distribué qui paralysent l’économie et les communications ukrainiennes ? Quid d’un NotPetya-like, dévastant les infrastructures mondiales ? La Russie est sur le terrain, mais est-elle dans le cyberespace ?

Les capacités offensives de la Russie dans le cyberespace

Car s’il y a bien une chose que la Russie n’a cessé de démontrer depuis le milieu des années 2000, c’est qu’elle dispose de capacités offensives dans le cyberespace, et qu’elle ne se prive pas de les utiliser. En 2007, les systèmes informatiques estoniens sont paralysés par des attaques DDoS. Attribuées à la Russie, elles ont constitué une prise de conscience brutale pour l’Occident et le monde : les cyberattaques sont utilisées par les États pour atteindre des objectifs politiques. La cyberguerre dont l’avènement était déjà prophétisé au milieu des années 90[1] est-elle en train d’advenir ? Ce d’autant qu’un an plus tard, en 2008, les mêmes attaques DDoS ciblent cette fois la Géorgie au début de la guerre qui l’opposera à son voisin russe pour le contrôle des régions de l’Ossétie du Sud et de l’Abkhazie.

Et la sophistication des attaques attribuées à la Russie et leurs impacts ne font que croître. En 2015, le malware Black Energy est utilisé pour couper le courant d’une centrale électrique ukrainienne. L’attaque a lieu un 23 décembre, en plein hiver. Ses effets seront limités : l’interruption de service ne durera que quelques heures. Ce qui fait dire à un certain nombre de commentateurs que cette attaque n’est « qu’une » démonstration capacitaire, un message envoyé par ses auteurs à ceux qu’ils considèrent comme des adversaires. Or, ses auteurs sont probablement russes, agissant pour le compte du Kremlin.

Suivent pêle-mêle l’ingérence dans les élections présidentielles françaises (2017)[2] et américaines (2016)[3], NotPetya en 2017 et 2018 [4] ou encore l’attaque contre SolarWind en 2020 [5]. Autant d’opérations qui témoignent d’une réalité indiscutable : la Russie dispose de réelles capacités offensives dans le cyberespace qu’elle n’hésite pas à utiliser.

Comment expliquer la faible présence russe dans le cyberespace ?

Plusieurs hypothèses peuvent être avancées.

1.     Les capacités cybernétiques russes ont été surestimées ou nous ne sommes pas en mesure de les détecter.

Si l’on ne peut s’empêcher de soulever la question, il est fort peu probable, au regard de l’histoire récente, que la Russie ait soudainement perdu ses capacités cybernétiques. Il est plus probable que l’absence de pendant cyber aux opérations militaires cinétiques relève d’un choix stratégique.

2.     L’emploi des armes cinétiques rend caduque l’utilisation des armes cybernétiques.

Des mois de préparation, une planification minutieuse, une exécution délicate… Comme les opérations militaires traditionnelles, mener une opération cybernétique de grande ampleur ne s’improvise pas. Pourquoi alors faire le choix d’une cyberattaque plutôt que celui d’une attaque cinétique ? La première raison qui vient à l’esprit procède de la caractéristique majeure des cyberattaques : l’attribution. Pour qui dispose de moyens humains et techniques suffisants, dissimuler ses traces est possible. Politiquement, la difficulté de l’attribution est un bouclier derrière lequel s’abriter pour détourner les accusations de ses victimes.

Difficile de faire de même après un tir de roquette. La Russie, en envahissant le territoire d’un État souverain, ne cherche pas à couvrir ses traces : au contraire. Dès lors, quel intérêt de couper le courant d’une centrale électrique alors qu’on peut la bombarder ou en prendre le contrôle par la force ?  Là réside une première hypothèse qui permet d’expliquer l’absence de cyberattaques d’ampleur. Quand les forces armées emploient des moyens cinétiques, les opérations cybernétiques qui produisent les mêmes effets perdent de leur intérêt.

3.     La Russie préserve ses capacités cybernétiques pour la suite du conflit.

Si le conflit s’est ouvert sur le sol ukrainien avec pour seuls belligérants la Russie et l’Ukraine, il a vu s’inviter d’autres acteurs qui ont fait le choix d’utiliser des moyens économiques et politiques plutôt que militaires. Les pays « occidentaux », l’Union européenne et les États-Unis en tête ont décidé de sanctions économiques très dures contre les intérêts russes. On pourrait tout à fait envisager une réponse russe via des moyens cybernétiques aux sanctions économiques et politiques occidentales.

Les outils cyber constitueraient alors un nouveau levier russe dans le bras de fer engagé avec l’Europe, à utiliser lorsque les autres moyens seront épuisés.

Récupération et dommages collatéraux

À l’heure de publier cet article, aucune attaque d’ampleur n’a été détectée. Les nations belligérantes s’affrontent toujours sur le territoire ukrainien, mais leurs actions cybernétiques qui leur sont attribuables restent relativement discrètes et peu nombreuses (à l’exception notable de l’attaque de l’opérateur de satellites Viasat, attribué à la Russie par l’Union européenne[7]).

On observe en revanche de nombreuses opérations menées par des groupes cybercriminels ou hacktivistes qui exploitent le contexte de la guerre, notamment dans des attaques de phishing. Si ces attaques ne sont pas attribuables à un État elles constituent néanmoins un risque actuel et tangible pour les entreprises et les institutions, particulièrement européennes.  Motivées par l’argent ou par des considérations politiques ou idéologiques, ces attaques ciblent aussi bien des entreprises ayant choisies de maintenir leurs activités avec la Russie, que des acteurs n’ayant aucun lien immédiat avec le conflit.

Si la cyberguerre russe, prophétisée et redoutée, n’a pas encore eu lieu, la guerre en Ukraine constitue néanmoins un terreau fertile pour les criminels et les hacktivistes. Reste à savoir si les États, belligérants ou non, intensifieront leurs actions dans le cyberespace. On pourrait voir dans la résurrection de REVil (démantelé par la Russie en janvier 2022[8]) et l’activité prolifique de Conti (proche des services de renseignements russes) une esquisse de la Russie en ce sens.


Sources

[1] J. Arquilla, D. Ronfeldt, « Cyberwar is Coming ! », Comparative Strategy, vol. 12, n 2, printemps 1993, p. 141-165, source : https://www.rand.org/pubs/reprints/RP223.html

[2] https://www.liberation.fr/france/2019/12/08/macronleaks-de-nouveaux-elements-accreditent-la-piste-russe_1767982/ et https://www.justice.gov/archives/sco/file/1373816/download

[3] https://s3.documentcloud.org/documents/3254237/Russia-Hack-Report.pdf

[4] http://blog.xmco.fr/info-plus-dun-milliard-de-dollars-de-degats-engendres-par-le-ransomware-goldeneye-notpetya/

[5] https://blog.xmco.fr/actusecu-56-solarwinds-callstranger-et-gitlab-juillet-2021/

[6] https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-clop

[7] https://www.consilium.europa.eu/en/press/press-releases/2022/05/10/russian-cyber-operations-against-ukraine-declaration-by-the-high-representative-on-behalf-of-the-european-union/

[8] https://www.usine-digitale.fr/article/la-russie-annonce-le-demantelement-du-gang-de-rancongiciel-revil.N1773897

CERT-XMCO

Découvrir d'autres articles