En Ukraine, le « cyber Pearl Harbor » n’a pas eu lieu
![Image Un site du [gouvernement français] visé par des nationalistes turcs](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Le groupe pro-russe APT29 cible des [élus allemands du CDU]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-group-people-2024-885x690.jpg)
Malgré les prospectives de nombreux experts, les attaques informatiques n’ont pas eu de rôle décisif majeur dans la conduite des opérations. Cependant, un an après l’invasion de l’Ukraine par la Russie, l’arme cyber s’est bel et bien intégrée dans les dispositifs militaires des deux belligérants.
Kiev, comme Moscou, usent de l’outil cyber pour s’en prendre aux capacités de l’adversaire, militaires comme civils. Après un an de guerre, les deux acteurs ont développé des infrastructures et des doctrines propres à l’utilisation d’Internet et de l’arme cyber.
Le Conseil de sécurité économique de l’Ukraine a publié une étude de 48 pages intitulée « Cyber, artillery and propaganda ». Ce document démontre que le conflit russo-ukrainien est la première cyberguerre à grande échelle du monde. Les modes opératoires russes y sont analysés avec méthode.
Ceux-ci révèlent de nombreuses tendances des Russes dans leur emploi de l’arme cyber. Selon le rapport, les cyberattaques systématiques visant les bureaux de l’État, les médias et les organes de communication, les secteurs de l’énergie et les infrastructures essentielles sont quelques-unes des tactiques utilisées avec succès par les Russes. Avec pour objectif d’affaiblir la population civile ukrainienne avant de lancer leur invasion conventionnelle à grande échelle.
Ces attaques, le plus souvent coordonnées par l’État russe, sont menées à la fois par des hacktivistes motivés par leur idéologie, par des groupes criminels (attirés par l’appât du gain) et des unités conventionnelles de l’appareil militaire russe (armée, services spéciaux, groupes privés).
L’armée russe a bien entendu lancer des attaques informatiques d’ampleur comme le piratage, en février 2022, d’un réseau satellitaire Viasat qui a paralysé les communications militaires des forces ukrainiennes stationnées près de la frontière avec la Biélorussie. Mais fortes de leurs précédentes expériences, comme en 2008 en Géorgie, les forces armées russes ont mis au point différentes doctrines sur l’emploi de l’arme cyber, dont certaines combinant le hacking et d’autres modes opératoires plus classiques.
Interopérabilité des attaques
Les cyberattaques du Kremlin sont souvent coordonnées avec d’autres attaques : attaques conventionnelles sur le champ de bataille et opérations d’information, de psychologie et de propagande. Cette interopérabilité peut notamment être illustrée avec les attaques qui ont ciblé les infrastructures énergétiques ukrainiennes à l’automne et à l’hiver 2022. Après une série de cyberattaques, la Russie a bombardé plusieurs fois, à l’aide de missiles, les infrastructures ukrainiennes.
Tout en lançant simultanément une campagne de propagande ayant pour but d’incriminer l’État ukrainien ou les entreprises ukrainiennes pour le manque d’approvisionnement en énergie ou pour les coupures de courant. Elle aussi notamment détruit, par des tirs de missiles, les data centers Ukrainiens dans la ville de Kharkiv. De ce fait, les Ukrainiens sont obligés de s’appuyer sur des infrastructures situées en dehors de leur pays. Cependant, malgré ses innovations dans l’emploi de l’arme cyber, il semblerait que l’ours russe soit en train de perdre la bataille cyber.
Face aux attaques informatiques provenant de la Russie, les forces armées ukrainiennes doivent protéger leurs infrastructures, leurs réseaux et leurs moyens de communication.
« Nous sommes confrontés à des dizaines de cyberincidents par jour. Cela signifie qu’ils disposent de beaucoup de ressources et qu’ils recherchent chaque jour des opportunités », explique Victor Zohra, chef adjoint du service d’État ukrainien des communications spéciales et de la protection de l’information, au Wall Street Journal.
La stratégie des cybercombattants russes consiste à rechercher quotidiennement des vulnérabilités, à tenter d’obtenir une persistance dans les réseaux, à tenter d’exfiltrer des données, de perturber les services étatiques, d’infliger des dégâts aux infrastructures de télécommunications et de l’information. Une stratégie opportuniste qui révèle les limites des doctrines russes et de leurs capacités.
La (cyber)résilience Ukrainienne
Face à cette stratégie, l’Ukraine a su s’adapter et faire preuve d’une réelle résilience. Les forces cyber-ukrainiennes se reposent sur trois catégories de combattants. La première se fonde sur l’IT Army des forces armées et sur des pirates informatiques volontaires de très bon niveau. Ils sont appuyés par toutes les institutions d’État ainsi que par les renseignements issus de partenaires étrangers. Elle a aussi été renforcée par des spécialistes venus de l’étranger, notamment des États-Unis.
L’Ukrainian IT Army est forte de plusieurs dizaines de milliers de combattants. Cette armée est composée de pirates informatiques volontaires internationaux et ukrainiens. Ceux-ci travaillent en collaboration avec des fonctionnaires du ministère de la Défense ukrainien pour cibler les infrastructures et les sites web russes. La seconde catégorie est constituée de hackers volontaires regroupés en « cyber squad ».
Leurs moyens sont moindres que les premiers mais ils possèdent d’excellentes compétences techniques. Mikhail Kolstov, pirate informatique ukrainien et membre de l’une des cyber squad, explique à que « cette nouvelle organisation, sans commandement central, est très efficace. Les Russes ne peuvent pas tous nous faire tomber à la fois ». Afin d’obtenir de meilleurs résultats, certaines de ces escouades se coordonnent et communiquent beaucoup entre elles. Mikhail Kolstov insiste sur le fait « que cette nouvelle organisation obtient de meilleurs résultats qu’au début du conflit ».
Il évoque notamment le piratage de l’escouade ukrainienne « Cyber Resistance ». Le groupe a piraté le courrier électronique du lieutenant-colonel Sergey Aleksandrovich Morgachev, officier du GRU, la direction principale des renseignements de l’état-major général de l’armée russe. Il est aussi le chef du groupe de pirates informatiques russes APT28, composé d’officiers du 85e centre des services spéciaux du GRU. Ces officiers font partie de l’unité militaire n° 26165, chargée des opérations cyber.
Ces escouades ont des effets non négligeables sur les infrastructures et les capacités russes. La dernière catégorie de pirates informatiques pro-ukrainiens est composée de volontaires ayant des capacités limitées. Ces pirates informatiques emploient des techniques peu sophistiquées, comme les attaques DDoS. C’est par le biais d’un canal Telegram que de nouvelles cibles russes sont répertoriées pour que ces volontaires les attaquent.
Face à ces offensives tous azimuts, le Kremlin a dû attribuer des ressources et des effectifs supplémentaires afin de lutter contre ces attaques, mineurs soient-elles. Après plus d’un an de guerre, les faits sont là. Les forces armées ukrainiennes, appuyées par l’étranger et par des pirates informatiques volontaires, ont su s’adapter et devenir extrêmement résilientes face aux cyberattaques lancées par le Kremlin et ses partenaires