L’invasion de l’Ukraine par la Russie le 24 février 2022, précédée d’une cyber-attaque massive, a mis en lumière l’importance de la cyberguerre dans les conflits modernes. Les armées des deux belligérants alignent aux côtés de leurs divisions d’infanterie et de leurs régiments blindés des unités de cyber-combattants. Ces unités sont chargées à la fois de protéger leur cyberespace respectif et de mener des opérations offensives dans celui de l’ennemi. Cependant, des hackers ont décidé, aussi bien en Ukraine qu’en Russie, de prêter main-forte à leurs États respectifs. En Ukraine, ils sont ainsi plusieurs milliers à avoir répondu à l’appel. Rencontre avec l’un d’entre eux, Mykhailo Koltsov.

Mykhailo Koltsov, philosophe de formation, est âgé de trente-neuf ans et travaille à Kiev comme consultant pour la Banque Mondiale dans le domaine de la cybersécurité. Il est notamment chargé d’aider à protéger des cyberattaques les ONG ainsi que les sites et les services gouvernementaux. Lors de l’invasion massive du 24 février, il a décidé de passer à l’offensive, malgré la difficulté de mener des opérations complexes et efficaces seul. C’est pourquoi il agit au sein d’un collectif de cyber-combattants. « La division et la répartition des tâches nous permettent d’être plus performants[1]». Le groupe de Mykhailo est composé de neuf hackers. Il s’agit d’opposants russes, ukrainiens et d’autres nationalités. Ils ne se connaissent pas ou peu. « La plupart d’entre nous ne se rencontrent jamais. On connait nos pseudos, on sait comment travailler ensemble, mais l’anonymat prévaut ». C’est avec leur aide qu’il organise des cyberattaques contre la Russie. Leurs motivations sont idéologiques. Cependant, ces cyber-combattants restent totalement lucides sur la réalité de leurs actes. Ils ont conscience que leurs actions sont tolérées par le gouvernement ukrainien à cause de l’état de guerre et craignent qu’après le conflit celui-ci ne se retourne contre eux et ne les considère que comme de simples criminels. Mais les conditions imposées par la cyberguerre les ont forcés à revoir leur jugement quant à leur indépendance vis-à-vis du gouvernement ; « Nous sommes indépendants. Quand la guerre a commencé, on était d’accord pour se dire qu’on ne voulait pas travailler pour les services gouvernementaux. C’est toujours un problème de travailler pour le gouvernement. Mais nous avons aussi compris que nous ne pouvions pas être complètement indépendants de leurs activités alors, nous sommes rentrés en contact avec les autorités et nos actions sont sous leur supervision. » En se coordonnant avec les autorités et les forces armées ukrainiennes, le collectif décuple ses capacités offensives et son champ d’action.

Mykhailo Koltsov

Des cibles définies avec soin

Les profils des cyber-combattants sont divers. Mykhailo les divise en deux groupes. Le premier est composé de personnes militantes ne possédant que des compétences relativement limitées en informatique. Elles sont surtout chargées de créer des instabilités sur les serveurs russes avec des attaques DDoS. Selon lui, ces tactiques ne sont pas très efficaces. « Les groupes “publics” sont des juniors. En ukrainien, on les appelle les “chaynyky”, les théières. Ils utilisent la couverture médiatique pour parler de hacks qui ont fonctionné, mais d’un point de vue technique, ils sont faibles. » Mykhailo se dit appartenir, avec ses membres, au second groupe. « Le second groupe a des objectifs plus sophistiqués, des projets à long terme, un choix des cibles. On essaye de frapper à des endroits spécifiques. Mais c’est bien d’avoir ce genre d’enthousiasme, même de la part d’étudiants ! Il y a des étudiants qui nous rejoignent en tant que juniors et qui effectuent des petites tâches. Il y a donc différentes cibles, différentes logiques et différents niveaux de complexité dans notre travail. » Le groupe définit ses cibles et ses stratégies en utilisant principalement des techniques d’OSINT. Cependant, dans certains cas, ils sont obligés de rechercher des données personnelles pour essayer de trouver des informations sur des armes, des personnes sensibles ou des réseaux de soutien au gouvernement russe. Mykhailo souligne également que les opérations d’attaque et de défense dans le cyberespace s’organisent relativement de la même manière que sur un champ de bataille physique. En tant que cyber-combattant, sa mission est de cibler les services digitaux. Il estime qu’attaquer directement, par exemple, le site d’un Président ou d’un gouvernement ne serait pas très utile. Les cibles stratégiques sont les infrastructures critiques telles que les services de poste, les services publics ou le secteur bancaire, particulièrement vulnérable. Un grand nombre d’entreprises, privées comme publiques, s’appuient sur le numérique pour opérer quotidiennement. Les priver de cet outil, c’est les paralyser. Quant aux Russes, « la plupart d’entre eux ont la même logique que nos équipes. Ils choisissent les infrastructures, comme les lignes de chemin de fer et les gares. Ils essayent de déconnecter notre secteur énergétique, mais heureusement nous sommes protégés dans ce domaine. Ils attaquent donc principalement les infrastructures publiques. »

Des attaques d’envergure

Pour ce spécialiste, la plus importante cyberattaque orchestrée par le Kremlin fut celle du 23 février. Ce jour-là, les forces cyber-russes ont lancé une opération de grande ampleur qui a ciblé les infrastructures de l’Ukraine ainsi que des organes publics et le système bancaire. Cependant, l’activité cyber des Russes a aujourd’hui diminué. Selon lui, l’amélioration de la cyberdéfense ukrainienne et les sanctions internationales y sont pour beaucoup. Les États ont renforcé leur contrôle sur leur serveur de sorte à ce que les hackers russes doivent passer par des infrastructures occidentales pour pouvoir frapper les États-Unis ou l’Europe. Le 21 mars, le président américain Joe Biden a exhorté les chefs d’entreprise américains à renforcer leurs capacités de cyberdéfense.

Il souligne que l’utilisation par la Russie de l’ensemble de ses cyber-capacités constitue un risque en Ukraine et au-delà. Cependant, un autre facteur majeur rentre aussi en considération. L’organisation même du cyberespace russe freine les capacités offensives de l’armée et des hackers pro-Moscou. Pour des raisons de souveraineté, la Russie a souhaité être la plus indépendante possible du réseau Internet mondial. Elle a donc développé ses propres serveurs et infrastructures. Mais cette organisation de l’Internet russe a permis à Moscou de mieux se protéger des cyberattaques externes, ce qui complique la tâche des Ukrainiens. Même si Mykhailo reconnait les capacités cyber des Russes, il affirme que les Ukrainiens font partie des meilleurs pirates informatiques du monde et les autorités de Kiev en ont tiré parti. En réponse au 23 février, le gouvernement ukrainien a créé le 26 février la « IT Army of Ukraine ». Cette cyber-organisation a pour objectif de contrer les intrusions étrangères dans le cyberespace ukrainien et de lutter contre la propagande informationnelle. Plusieurs milliers de personnes ont répondu à l’appel. Kiev a connu des succès majeurs dans ses batailles sur le net. Les pirates ukrainiens ont ciblé le site de Rutube ainsi que les systèmes de l’aviation civile russe. Même si la discrétion est de mise dans cet environnement, Mykhailo avoue, non sans fierté, que lui et son groupe ont pris part à ces attaques. Et les opérations continuent. Début juillet, l’IT Army a lancé une attaque d’envergure contre plusieurs centaines de sites russes, dont le site de l’agence spatiale RoscoSmos. Mykhailo reste confiant sur la suite des événements en ce qui concerne le cyberespace. Selon lui, les forces ukrainiennes disposent d’effectifs humains plus que compétents. Mais une aide matérielle venant de l’ouest, comme des logiciels spécifiques ou des routeurs, pourrait faire la différence dans cette cyberguerre.

[1] Entretien accordé à inCyber en avril 2022.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.