Cyberguerre en Ukraine : les leçons du patron de la cyberdéfense française
![Image Un site du [gouvernement français] visé par des nationalistes turcs](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Le groupe pro-russe APT29 cible des [élus allemands du CDU]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-group-people-2024-885x690.jpg)
Si la prudence est de mise, tant l’arme cyber est celle du long terme, le Comcyber français souligne l’efficacité d’une stratégie défensive bien préparée. Il plaide pour l’essor rapide d’un écosystème de pépites privées françaises, capables d’épauler nos alliés au coup de sifflet.
En Ukraine, le « cyber Pearl Harbor » craint par les Occidentaux n’a pas eu lieu, concède le général Aymeric Bonnemaison. Cela ne signifie pas pour autant, s’empresse d’ajouter le commandant de la cyber défense des Armées, que l’un des scénarii les plus redoutés par les Occidentaux sera définitivement écarté des réflexions et travaux de prospective. De l’autre côté de la Terre, plaide-t-il, le Costa Rica a été paralysé pendant tout le printemps 2022 par une attaque géante à la suite d’un assaut généralisé contre les systèmes d’information vitaux du petit pays.
Si le volet cyber de l’agression de l’Ukraine a pu « décevoir », il ne « faut pas enterrer les Russes trop vite », prévient le général, dont les experts ont passé au crible les premiers mois du conflit dans le champ cybernétique. Ils les ont comparés à ce qu’ils avaient observé avant le déclenchement de l’affrontement cinétique, le 24 février 2022.
Cette « déception », reprend le général Bonnemaison, est d’abord nourrie par la méconnaissance des caractéristiques de l’arme cyber. Par sa furtivité, c’est une arme discrète par nature, voire secrète, ce qui explique qu’une partie de ses capacités – le volet offensif en particulier – soient pilotées par les services de renseignement. Dès qu’une attaque est détectée, l’ennemi cherche à y remédier, cassant ainsi l’effet de fulgurance qui confère une grande puissance à la cyberattaque. Système d’emploi du quotidien dans les opérations, rappelle au passage l’expert, ce vecteur n’a pas vocation à « dissuader » l’ennemi, mais à produire des effets sur un champ de bataille.
En même temps, c’est l’arme du temps long par excellence : il faut des mois, parfois des années, pour concevoir et mettre en place une attaque de réseaux informatiques, rappelle le responsable militaire. Pour que les Israéliens introduisent le virus Stuxnet dans le programme nucléaire iranien, rappelle-t-il, il leur a fallu détecter une faille dans des systèmes inconnus, puis concevoir une bombe logicielle sur mesure, avant de lui associer l’effet attendu – dans ce cas, la destruction plutôt que le renseignement. D’où la grande prudence dont il convient de faire preuve quant au véritable degré d’efficacité des cybercombattants russes.
Un « changement de paradigme »
Cela n’empêche pas les cybercombattants français de tirer d’ores et déjà un premier grand enseignement contre-intuitif de la guerre d’Ukraine. Une stratégie de cyberdéfense se montre efficace pour limiter les dégâts causés par une attaque massive. « Cet avantage par le défensif constitue un véritable changement de paradigme pour nous, et nous rend un peu d’espoir », a insisté le général Bonnemaison, lors de son audition devant les députés de la commission de la défense de l’Assemblée nationale, fin décembre 2022. « Nous protégeons nos réseaux en permanence en ayant parfois le sentiment d’édifier une ligne Maginot dont chacun sait ce qu’elle a donné », a-t-il précisé.
La résilience ukrainienne est le résultat « d’une véritable révolution ayant conduit à une montée en gamme », décrypte le militaire. Tirant les leçons d’attaques russes « de très haut niveau technique » ayant visé des infrastructures vitales dès 2015 et 2016, privant notamment d’électricité pendant des heures des centaines de milliers d’habitants, les autorités ont pris très tôt le problème à bras le corps. Cela s’est traduit par une série de mesures fortes. Elles adoptent une stratégie cyber et y allouent des budgets conséquents. Elles créent une agence à compétence nationale, le Centre national de cybersécurité (équivalent de l’Anssi), et promulguent une loi qui confère des pouvoirs d’enquête aux services et donne naissance à une cyberpolice.
Pour parfaire ce dispositif institutionnel, Kiev sollicite aussi un « appui occidental précoce ». Une plateforme d’échanges est ouverte avec l’Otan et l’Union européenne, où sont partagés les indices d’attaques et les remèdes techniques, permettant des réparations rapides. Plusieurs États voisins, comme la Pologne et les Pays Bas, mettent à leur disposition des centres de secours d’hébergement des données. Point important, avant la guerre, le US Cyber Command déploie sur place une quarantaine d’experts. Leur mission consiste à détecter en amont d’une éventuelle invasion des signes d’infiltration russe dans les réseaux. Cette action pour détecter les pièges pré-positionnés, dénommée le « hunting forward ».
Ce dispositif complet s’est révélé crucial dans les semaines ayant précédé le conflit, lorsque les Russes intensifient leurs attaques. Qu’elles proviennent des services de renseignement, des militaires, des activistes ou des réseaux de cyberpirates, leur offensive poursuit deux grands objectifs : empêcher les administrations ukrainiennes de communiquer entre elles et avec l’extérieur ; affaiblir les systèmes critiques pour l’armée, l’économie et la population. Les opérations russes infectent tous les systèmes jusqu’à l’échelon communal.
Elles sont couplées à des actions de type « rouleau compresseur » dans le champ informationnel. Les messages ne visent pas tant à convaincre qu’à semer la confusion et à discréditer « les nazis » à la tête du pays, pour reprendre la phraséologie de Moscou. Des points d’accès aux réseaux 3 et 4 G sont physiquement neutralisés, des sites internet subissent des « dénis d’accès », des routeurs de communication par le satellite KA-SAT, qu’utilisait l’armée ukrainienne, sont paralysés. Au cours des deux premiers mois du conflit, 350 attaques ont été recensées par les services occidentaux.
Soutien occidental
Dès le début, qui plus est, Kiev reçoit le renfort supplémentaire d’une série d’acteurs privés de la galaxie des GAFAM. Les plus connus sont Starlink et Microsoft, mais ils sont aujourd’hui très nombreux à agir sur place à différents échelons. S’ajoute l’IT Army des activistes et acteurs privés ukrainiens, dont les réseaux sociaux ont eu cependant tendance à exagérer l’impact. Le résultat saute aux yeux. Volodymyr Zelensky a réussi à imposer son narratif à l’Occident (dans le reste du monde, c’est moins vrai) et ses unités ont continué à pouvoir se coordonner pour face à l’offensive terrestre russe.
Et puis la cyberguerre s’est effacée progressivement derrière les opérations militaires classiques. Le général Bonnemaison explique : « Quand la guerre éclate, au niveau stratégique, il est beaucoup facile, rapide et décisif de frapper une infrastructure critique avec un missile qu’avec une bombe logicielle et, au niveau tactique, la guerre électronique reprend la main : le brouillage est plus rapide et systémique. »
Pour autant, les jeux ne sont pas faits. Le cyberespace peut encore réserver bien des surprises. La matière conduit à développer une « grande humilité », reprend le général Bonnemaison. Pour les Occidentaux, par exemple, il est impossible de savoir combien de bombes pré-positionnées les Russes auraient placé ou introduisent actuellement dans les réseaux ukrainiens ou étrangers ; difficile de rendre coups pour coups pour affaiblir les capacités de Moscou. Comme la Chine, la Russie s’est évertuée à protéger son cyberespace en développant ses propres interfaces : son internet (le « Runet »), son moteur de recherche (Yandex), ses messagerie (.ru), ses réseaux sociaux. Bien avant l’Ukraine, elle a beaucoup investi dans sa cyberdéfense.
« Grande confusion »
Un autre enseignement important est tiré pour le camp des alliés. Une « grande confusion » règne désormais dans le cyberpaysage ukrainien, où établir la distinction entre militaires, civils et entités illégales est encore plus complexe que sur les théâtres des guerres asymétriques du Proche Orient et du Sahel, où pullulent les groupes armés. En revanche, « L’importance considérable » prise par les GAFAM dans cet écosystème est indéniable, et cela soulève « des questions d’ordre politique ».
Selon le général Bonnemaison, la façon dont les Américains ont occupé le « vide » en Ukraine (pour le plus grand bénéfice des défenseurs, précise-t-il) devrait conduire les Européens à accroître leurs échanges en vue de créer une force d’intervention commune. Et, idéalement, construire l’équivalent du « parapluie cyber » qu’offre Washington à ses partenaires, en contrepartie d’incitations à signer des contrats avec les GAFAM qui affaiblissent leur souveraineté sur leurs données.
Pour l’expert français, vouloir égaler la force de frappe américaine serait illusoire, compte tenu de leur avancée technologique. En revanche, il est envisageable, au niveau national mais aussi européen, de développer des capacités d’échange et de réponse rapide. En France, les demandes d’aides formulées par des capitales amies, comme ce fut le cas récemment de Podgorica, au Monténégro, atterrissent comme cela est prévu, à l’Anssi, où elles se heurtent souvent à la contrainte des moyens étatiques disponibles. Pour dépasser ce plafond de verre, l’alternative est d’accélérer l’émergence d’un écosystème de pépites nationales en mesure d’épauler et de prendre le relais des institutionnels.