La cyberguerre n’a pas eu lieu (1/2)

L'invasion de l'Ukraine par la Russie a remis sur le devant de la scène la question de la cyberguerre. Afin de bien juger ce qui est en train de se passer, il faut regarder en arrière et tordre le cou à certaines croyances. 

On nous a pourtant juré que la cyberguerre était déjà commencée, que nous étions entrés dans l’ère des guerres hybrides où devaient se mêler opérations militaires classiques et opérations cyber, que les Russes allaient attaquer nos infrastructures vitales et que, si ce n’est pas le cas, ça ne saurait tarder.

Or autant il est difficile de voir autre chose qu’une guerre militaire conventionnelle sur le terrain, autant le volet cyber est resté dans l’ombre avec des opérations qui, si elles sont fréquentes et continues, n’ont pas réussi à donner d’avantage stratégique à la Russie dans son affrontement avec l’Ukraine.

L’avancement de cette guerre, avec déjà plus de 100 jours d’un conflit meurtrier, nous permet de tirer quelques premiers enseignements sur le volet cyber. Plusieurs chercheurs se sont également interrogés sur la faiblesse des impacts stratégiques des attaques cyber, au point d’émettre l’hypothèse (argumentée) que les cyberguerres n’auront pas lieu de sitôt.

En effet, pour qu’une attaque (quel qu’en soit le type) puisse avoir un impact stratégique, il faut qu’elle soit suffisamment rapide et intense, mais également contrôlable, et il semble qu’aujourd’hui ce « trilemme » soit difficilement réalisable via une cyberattaque.

Annexion de la Crimée

Tentons de retracer les événements depuis l’annexion de la Crimée en 2014, du point de vue cyber. Plusieurs attaques d’importance ont été lancées par la Russie à la suite de cette invasion, dans le but évident de perturber le système économique ukrainien.

Reprenons la chronologie établie par le Center for Security Studies (CSS) de l’École Polytechnique Fédérale de Zürich, dans son document Goodbye Cyberwar: Ukraine as Reality Check, de Lennart Maschmeyer et Myriam Dunn Cavelty :

Crédits : Goodbye Cyberwar: Ukraine as Reality Check

Finalement, il n’y a eu que peu d’impacts en dehors de NotPetya, qui a touché de grosses entreprises comme le transporteur maritime danois Maersk, le laboratoire américain Merck, Saint Gobain et même le pétrolier russe Rosneft. Et là on voit poindre un premier problème pour les attaquants : il est difficile de contenir le périmètre d’une attaque cyber, quand bien même dans le cas de NotPetya les systèmes visés étaient explicitement des systèmes ukrainiens.

Le calme avant la tempête

Étonnamment, depuis 2017, aucune opération d’envergure n’a été entreprise, bien qu’il ne soit pas possible de savoir ce qui a motivé cet arrêt. Il y a bien sûr toujours eu des cyberattaques durant cette période, mais rien qui ne sorte des attaques classiques.

Ensuite, début 2022, il y a eu une série d’opérations qui semblaient préparatoires, en attente de l’assaut (cyber) principal, mais rien n’a finalement été constaté qui ne sorte de l’ordinaire.

On attendait la première cyberguerre mondiale, mais nous n’avons enregistré que des attaques classiques, produisant dégâts, désorganisation et jeu d’influence, mais pas de conséquences de niveau stratégique (à savoir de nature à changer le rapport des forces sur le terrain), à l’inverse de l’assaut militaire dévastateur. 

Crédits : Goodbye Cyberwar: Ukraine as Reality Check

Un peu trop de biais

En premier lieu, on connaissait mal la puissance de feu cyber de la Russie. On l’a sans doute surestimée, même si elle est réelle. Certains observateurs pensaient même que la Russie n’avait pas besoin d’envahir militairement l’Ukraine car il lui suffisait de la cyberattaquer pour arriver à ses objectifs.

Par ailleurs, on a souvent tenu pour acquis des idées qui s’avèrent à nuancer. Le chercheur Julien Nocetti en énonce quatre :

• Le biais de la vulnérabilité qui serait fatalement exploitée dans un conflit. Or l’existence ou la découverte d’une vulnérabilité ne dit rien sur les attaquants potentiels, ni sur le moment où elle sera utilisée, ni même si elle sera utilisable au moment du conflit.
  Les grandes puissances disposent certainement de failles zero day ou d’implants prêts à être activés sur demande, mais dans ces deux cas, plus le temps passe et plus la probabilité d’une correction et de neutralisation augmente. La fenêtre de tir reste incertaine et difficilement prévisible.
• Le biais du succès, qui est la croyance qu’il suffit de réussir l’attaque pour que l’objectif soit atteint. Or il ne suffit pas de compromettre un système, il faut ensuite œuvrer pour arriver à ses objectifs (effacer les fichiers, perturber le fonctionnement, etc.).
  Or, on voit que sur les grandes opérations attribuées à la Russie, presque aucune n’a abouti à des dégâts importants, malgré la réussite des intrusions et de l’exploitation (avérée) des failles.
• Le biais de commodité, à savoir qu’il suffit d’appuyer sur un bouton pour que tout fonctionne. Ce qui est vrai pour un missile n’est pas vrai pour une cyberattaque !
  D’une part, il faut en général un grand temps de préparation pour une attaque d’ampleur (le projet ayant abouti à Stuxnet a duré plus de 3 ans), et d’autre part l’activation n’est pas certaine et n’aura pas lieu au moment où on appuie sur le bouton mais à partir du moment où on appuie sur le bouton, ce qui est fondamentalement différent.
  Le temps d’exécution ou d’infiltration n’est pas immédiat, surtout s’il faut exploiter une erreur humaine.
• Le biais du « cheap and easy », lié à la croyance qu’une attaque informatique est simple, peu chère, et facile à mettre en œuvre. Il suffit de reprendre l’exemple de Stuxnet pour la complexité et la durée de préparation nécessaires. Et en ce qui concerne la facilité, NotPetya ou Viasat sont de bons exemples de la difficulté à maîtriser le périmètre et les impacts, au point que cela se retourne parfois contre l’attaquant.

Encore un coup du marketing ?

Le marketing a survendu le terme de cyberguerre, qui a été utilisé à tort et à travers pour un peu toutes les attaques liées ou sponsorisées par des gouvernements. À l’inverse de l’invasion de l’Ukraine, qualifiée par la Russie « d’opérations militaires spéciales » alors qu’il s’agit bel et bien d’une guerre conventionnelle, en matière de cyber il faudrait inverser les termes et parler d’opérations cybermilitaires spéciales au lieu de cyberguerre.

Or, on voit qu’une véritable cyberguerre est peu probable, en raison des incertitudes liées à sa mise en œuvre et à la complexité des opérations. En revanche, des attaques continues, importantes, ciblées et destructrices continueront d’avoir lieu, comme aujourd’hui, avec de réels impacts en termes d’image, et une certaine efficacité pour l’espionnage et la subversion, mais sans atteindre un niveau stratégique, avec une efficacité plus importante en mode opportuniste.

Alors ce sera une guerre hybride ?

Là encore, on peut douter au vu des résultats obtenus par les Russes depuis l’invasion en Ukraine : il est beaucoup plus efficace de bombarder une centrale électrique que de la pirater. C’est également plus facilement planifiable et avec une efficacité plus certaine. L’attaque de centrales électriques en 2022 avec les mêmes malwares qu’en 2016 a vite été déjouée.

Il faut aussi constater que la riposte cyber est plus accessible qu’une riposte militaire : l’Ukraine s’attendait à des attaques cyber depuis l’invasion de la Crimée, et a pu atténuer les dégâts des différentes attaques par une résilience préparée de longue date, avec une part très importante des sauvegardes, en revenant aux fondamentaux de l’informatique, finalement.

• Comment l'Ukraine a appris à survivre aux cyberattaques russes