« En Ukraine, la cyberguerre a bel et bien eu lieu », explique le Comcyber

Auditionné, à huis clos, par la Commission de la défense nationale et des forces armées le 7 décembre dernier (le compte rendu vient d'être mis en ligne), Aymeric Bonnemaison, quatrième général à prendre la tête du Commandement de la cyberdéfense, a fait part de son retour d'expérience de la cyberguerre en Ukraine.

S'il n'a été nommé à la tête du Commandement de la cyberdéfense qu'en septembre 2022, le nouveau Comcyber a une longue et riche expérience de ces questions, qu'il a eu lieu de pratiquer lors de nombreuses opérations extérieures en tant qu'officier d'unités de guerre électronique, mais également au cours de ses différents postes à responsabilités, à l'OTAN ou en tant qu'adjoint du directeur technique de la DGSE, comme nous le précisions dans notre article consacré à son curriculum vitae.

• Aymeric Bonnemaison : de la guerrelec à la cyberguerre, retour sur la carrière du nouveau Comcyber

Ce n'est pas tant à l'aune de ses trois mois passés à la tête du Comcyber qu'Aymeric Bonnemaison résumait ses missions devant la Commission de la défense nationale et des forces armées de l'Assemblée le 7 décembre 2022 :

« Notre approche, assez singulière, couvre trois domaines de lutte : la lutte informatique défensive, qui occupe une majeure partie de mon commandement, la lutte informatique offensive et la lutte informatique d’influence (L2I). »

• L’armée française fait aussi la guerre sur les réseaux sociaux

Dès lors, le fait que « des opérations de renseignement, d’entrave et d’influence » aient été menées dans le cyberespace au cours des dernières années montre qu' « en Ukraine, la cyberguerre a bel et bien eu lieu, contrairement à ce qu’a donné à croire l’absence de "cyber Pearl Harbor" » : 

« Ma présentation de notre analyse du conflit ukrainien ne débutera donc pas au 24 février dernier. Les opérations dans le cyberespace ont commencé bien avant le déclenchement des manœuvres dans les autres milieux, la terre, l’air et la mer. Elles ont exigé un haut niveau de préparation et d’anticipation. »

Évoquant l'appétence de l'armée et du renseignement russe pour la « guerre hybride », Aymeric Bonnemaison rappelle qu'ils ont, de longue date, « intégré à la manœuvre cyber et la manœuvre informationnelle, en liant fortement les deux dans leur action », et qu'elles « couvrent aussi bien le contenu que le contenant dans leur approche ».

Des attaques « d’un très haut niveau technique »

Des attaques « d’un très haut niveau technique » ont ainsi visé de nombreuses infrastructures critiques en Ukraine, en commençant par des stations électriques en 2015, puis le réseau électrique lui-même en 2016, via une attaque « bien plus complexe » : 

« Ces attaques sont les premières menées complètement à distance sur la fourniture d’électricité. La technique très sophistiquée mise en œuvre a suscité notre intérêt, dans la mesure où nous pourrions être amenés à la contrer. La première attaque a privé 225 000 personnes d’électricité pendant plusieurs heures. La seconde a réduit d’un cinquième la consommation de la capitale ukrainienne. »

• Ukraine : l'institut SANS confirme la piste d'une cyberattaque organisée
• En Ukraine, un malware lié à BlackEnergy retrouvé dans des infrastructures vitales
• Des hackers étatiques russes ont (encore) voulu couper l'électricité en Ukraine

À partir de 2017, les attaques se sont diversifiées en « prenant la forme d’une sorte de harcèlement et présentant une certaine viralité ». Elles visaient tant les réseaux ukrainiens publics que privés, mais ont également touché de grands groupes internationaux. 

La cyberattaque NotPetya, qui ciblait explicitement les entreprises ukrainiennes, mais aussi leurs partenaires et clients à l'étranger, fit ainsi des victimes dans le monde entier. On estime que 20 % des victimes de ce logiciel malveillant (qui se présentait comme un rançongiciel, mais était en fait un « wiper », effaçant les données et rendant les fichiers chiffrés irrécupérables) n'étaient pas ukrainiennes, et qu'il aurait fait plus de 10 milliards de dollars de dégâts.

Aymeric Bonnemaison souligne que ces attaques avaient été « associées à des opérations informationnelles », afin d'ajouter de l'huile sur le feu « pour exciter le mécontentement et saper la confiance de la population dans les institutions ». 

Dans le même temps, des « opérations de subversion » ciblaient notamment le Donbass, dans le but de victimiser des russophones et de « surmédiatiser » les programmes d'aide émanant de la Russie, le tout associé à « une critique violente de l’incapacité des pouvoirs publics ukrainiens à préserver les réseaux électriques et les fonctionnalités essentielles à la vie courante ».

En réaction, l'État ukrainien entreprenait de son côté « des travaux majeurs pour se réformer en profondeur dans le cyberespace », adoptant sa première stratégie de cyberdéfense en 2016, suivie de l'adoption par le Parlement d'un budget dédié puis, en 2017, d'une loi relative à la cybersécurité qui a élargi les pouvoirs d’enquête et d’interception des services ukrainiens, et créé une cyberpolice.

Il faut des mois, voire des années pour construire une cyberattaque

Cherchant à prendre un peu de hauteur, et à expliquer ce qui pourrait fausser l'analyse de la cyberguerre en Ukraine en particulier, et des cyberattaques en général, Aymeric Bonnemaison avance que « la cyberconflictualité présente deux spécificités, qui faussent parfois l’analyse ». 

La première a trait à « un paradoxe des temporalités » : « la fulgurance des attaques, affranchies de la tyrannie de la distance, ne doit pas masquer leurs délais incompressibles de conception et de planification. Il faut des mois, voire des années pour construire une cyberattaque » :

« Une attaque bien structurée en lutte informatique offensive n’est pas le fait d’un homme en capuche qui travaille seul dans une cave : c’est un vrai travail d’équipe, qui associe des compétences diverses et qui demande des conditions préalables et un tempo qui ne sont pas forcément ceux d’un pays submergé par une attaque et qui mène déjà une guerre classique. »

De plus, et « contrairement à ce que l’on peut croire – je fais cet exercice de pédagogie depuis plusieurs années, y compris au sein du ministère – il ne s’agit pas d’un fusil cyber qui peut tirer sur toutes les cibles qui se présentent » : 

« Toute attaque cyber est taillée sur mesure, même si elle recourt à quelques outils et approches génériques. Elle suppose un travail préparatoire pour bien connaître sa cible, la caractériser et trouver le chemin pour la perturber, l’espionner, la saboter ou l’entraver. »

Le plus souvent, les attaques cyber reposent dès lors sur une « stratégie de prépositionnement », qui « exige un important travail préalable de renseignement », complexe et qui peut pendre beaucoup de temps. 

En outre, une attaque « n’est pas nécessairement menée dès qu’elle est techniquement réalisable », mais peut être différée, en fonction de l'effet recherché, ou encore de la possibilité pour l'attaquant d'accumuler les vecteurs d'attaques, ou de se déplacer dans le réseau ciblé.

Dès lors, « l’attaquant peut rester positionné et attendre son heure – en veillant toutefois à agir avant une mise à jour qui peut lui faire perdre son accès ; il faut trouver la combinaison adéquate pour frapper au bon moment ».

Ensuite, le cyberespace a une « faible lisibilité », et il est d'autant plus difficile de se le représenter que « la guerre qui s’y mène est discrète, voire secrète », et qu'elle est « masquée par l’exubérance des réseaux sociaux qui, en contraste, affirment beaucoup de choses plus ou moins étayées ».

L’un des plus grands déploiements du Cyber Command américain

L’Ukraine a également bénéficié d’un appui occidental « précoce » dans le cyberespace, avance Aymeric Bonnemaison, afin de travailler sur ses vulnérabilités avec les cyberpuissances occidentales, « au premier rang desquelles les États-Unis », et des acteurs privés tels que Microsoft et Google :

« Cet appui s’est avéré décisif pour la résilience de l’Ukraine dans les domaines des télécommunications et du numérique. [...] L’Ukraine a ouvert une plateforme d’échange de données cyber qui est aux normes de l’Otan et de l’Union européenne (UE) et qui permet de partager rapidement les indices d’attaque et les premiers outils techniques permettant de s’en protéger. »

De plus, fin 2021, alors que les services de renseignement américains disposaient de plus en plus d'informations rendant crédibles une invasion militaire russe de l'Ukraine, mais donc aussi une nouvelle vague de cyberattaques, l'USCYBERCOM a déployé sur place une équipe d’experts militaires chargée d'identifier si des attaquants russes avaient d’ores et déjà infiltré des systèmes ukrainiens.

Aymeric Bonnemaison estime que « l’arrivée des Américains chargés de détecter d’éventuels logiciels prépositionnés a été capitale au cours des semaines précédant le conflit ». En deux semaines seulement, leur mission est devenue « l’un des plus grands déploiements du Cyber Command américain », mobilisant « plus de quarante personnes des services armés américains ». 

Le chiffre peut paraître faible, au vu des forces armées russes et ukrainiennes présentes sur le terrain, mais « ils étaient aux premières loges » lorsque les Russes ont intensifié leurs opérations dans le cyberespace, en janvier, pour faire du « hunting forward », à savoir à arpenter les réseaux informatiques des partenaires à la recherche de signes de prépositionnement, sur les trois couches des réseaux : 

« Le cyberespace est organisé en trois couches. La première, la couche physique, rassemble les ordinateurs, les réseaux, les fils, les antennes. La deuxième, la couche logicielle, rassemble les dispositifs de codage, de protocole et de programmation qu’utilisent les machines. La troisième, la couche sémantique, particulièrement visible sur les réseaux sociaux, est constituée des éléments discursifs et informationnels. »

Quand la poudre parle, le cyber trouve ses limites

Les Russes ont, « par des actions de guerre classique », neutralisé des câbles et des points d’accès 3G et 4G, « mais avec une certaine réserve et dans certains endroits seulement, car ils prévoyaient une guerre courte et pensaient réutiliser les infrastructures à leur profit ».

« Dès les premières heures du conflit », des attaques cyber ont par ailleurs visé les ministères ukrainiens, afin de les empêcher de pouvoir communiquer, « voire d’empêcher le président ukrainien de dialoguer avec l’extérieur ».

• Cyberattaque Viasat (KA-SAT) : enfin des explications, mais encore beaucoup de brouillard

Une deuxième vague d’attaques « très poussées » a visé dans la foulée les routeurs de communication par satellite KA-SAT de l'entreprise américaine de télécommunications par satellite Viasat, très utilisée par les troupes ukrainiennes. Une troisième vague a plus largement ciblé les entreprises privées, afin de désorganiser le fonctionnement de la société ukrainienne : 

« Au cours des deux premiers mois de conflit, 350 attaques cyber ont été recensées, dont 40 % visant des infrastructures critiques susceptibles d’être utilisées par le gouvernement, l’armée, l’économie et la population, et 30 % des incidents ont touché les organisations gouvernementales ukrainiennes à l’échelon national d’abord, puis régional et municipal. »

Des manœuvres en partie déjouées grâce aux terminaux Starlink envoyés par Elon Musk en réponse à la désormais fameuse supplique du ministre de la Transformation numérique ukrainien :

Starlink service is now active in Ukraine. More terminals en route.

— Elon Musk (@elonmusk) February 26, 2022

Pour autant, souligne Aymeric Bonnemaison, « Quand la poudre parle, la lutte informatique offensive trouve ses limites. Dans la phase préparatoire de la guerre comme dans sa phase intensive, les actions de sabotage cyber ont été atténuées au profit d’une guerre classique bien plus létale, cinétique et brutale » :

« Là où le cyber joue un rôle particulièrement important, c’est avant le conflit, grâce au renseignement qu’il permet d’obtenir et à la possibilité qu’il offre de façonner les esprits, et aussi après le conflit, car la compétition, la contestation et l’affrontement demeurent en permanence dans le cyberespace. »

Le général de division précise que « pour un militaire, même si le cyber permet de remporter des victoires, au même titre que les frappes aériennes par exemple, on ne gagne pas une guerre si on ne tient pas le terrain. Sans cyber nous sommes sûrs de perdre, mais nous ne gagnerons pas avec le cyber seul ».

Un changement de paradigme pour les commandements cyber 

Or, et contrairement à ce qu'elle avait réussi à faire en 2008 en Géorgie, « où les opérations terrestres étaient très bien combinées avec les attaques informatiques » et avaient permis de détruire « par voie navale, terrestre ou aérienne les stations de transmission de base, ce qui empêche l’ennemi de donner l’alerte ou de coordonner les moyens de secours », l'armée russe n'a pas réussi à « intégrer pleinement les capacités cyber dans la manœuvre tactique » : 

« Le deuxième enseignement de ce conflit est la capacité de la défense à prendre le dessus sur l’offensive, ce dont nous doutions. L’offensive, quand elle a le temps, cherche le maillon faible et le trouve. Toute chaîne de moyens connectés en a un, qu’il soit humain ou logiciel, ce qui permet d’y faire intrusion. Grâce à une défense en profondeur, assurée par les capacités ukrainiennes renforcées par les capacités américaines et avec l’apport significatif des Gafam, notamment de Microsoft s’agissant des analyses, l’offensive a été bien moins percutante et efficace que prévu. »

Cette prééminence de la cyberdéfense « constitue un véritable changement de paradigme pour les divers commandements cyber et nous rend un peu espoir », explique Bonnemaison, pour qui « nous protégeons nos réseaux en permanence en ayant parfois le sentiment d’édifier une ligne Maginot, dont chacun sait ce qu’elle a donné ». 

Le général n'en déplore pas moins la façon « politique américaine de "hunting forward" », qu'il qualifie de « relativement agressive, car elle ouvre aux Américains les réseaux des pays qui font appel à eux » et qui, si « elle a beaucoup aidé l'Ukraine », relève d'une « forme d'entrisme sur les réseaux concernés ».

Ce pourquoi il estime « important de développer une offre de services, une capacité à aider d’autres pays – c’est aussi une forme de diplomatie d’accompagnement et une contribution à la construction européenne –, ce qui nécessite évidemment des moyens » : 

« Les États-Unis sont en effet venus aider des pays ayant besoin d’une réassurance, notamment certains pays frontaliers de la Russie ; dès lors, il sera compliqué de les faire partir… »

Aymeric Bonnemaison précise à ce titre que lors de la présidence française de l’Union européenne, son prédécesseur avait organisé la toute « première rencontre de tous les cybercommandeurs européens », et qu'ils se réunissent désormais une à deux fois par an, notamment « pour faire émerger des solutions européennes » : 

« Nous aimerions aussi créer des capacités d’intervention européennes : lorsqu’un pays rencontrerait une difficulté, l’un de ses partenaires pourrait mobiliser un groupe d’intervention cyber (GIC) pour lui venir en aide. Cela nous permettrait d’empêcher les Américains d’occuper l’espace vide. [...] J’ai aujourd’hui une capacité comptée de GIC, qui doivent déjà traiter nos problèmes nationaux et pourraient être mobilisés pour renforcer l’Anssi en cas de crise majeure dans notre pays. »

Les Gafam ont pris une importance considérable dans la cyberguerre

« Le troisième enseignement du conflit est la faible lisibilité non seulement des actions, mais aussi des acteurs », conclut Aymeric Bonnemaison : « Ma génération, qui a connu les guerres asymétriques, sait que la distinction entre civils et militaires n’a rien d’évident, mais elle est encore plus complexe dans le cyberespace ».

L’IT Army ukrainienne, dont il a été fait grand cas dans les médias et sur les réseaux sociaux, a certes permis de « structurer dans l’urgence de fortes capacités d’agression virales contre les Russes », mais ses attaques « ont été très désordonnées et d’un niveau technique relativement faible », pour « une efficacité assez modeste » : 

« Les "hacktivistes" se mobilisent en fonction de leurs opinions, avec d’importantes capacités et une bonne maîtrise technique. Leur coordination, en revanche, est malaisée, et les effets de leur action un peu désordonnés. Hormis une forme de harcèlement, leur action n’a pas été d’une grande efficacité. »

Les activités des groupes cybercriminels effectuées pour le compte de certains services de renseignement compliquent en outre l’attribution des attaques informatiques. D'autant que ces dernières sont aussi effectuées par des entreprises privées : 

« Quant aux Gafam, ils ont pris une importance considérable dans cette affaire. Certes, ils ont largement contribué à la protection de l’Ukraine, mais en prenant un poids qui soulève des questions d’ordre politique. »

Poutine a accéléré le partage des données entre membres de l'OTAN

En réponse aux questions des députés, Aymeric Bonnemaison explique que « le métier de Comcyber pousse à une grande prudence et à une grande humilité. Quand je ne détecte pas d’attaque, cela ne signifie pas qu’il n’y en a pas, mais seulement que je ne l’ai pas vue » :

« L’attribution d’une attaque est très complexe. Tout d’abord, si je peux vous dire combien d’attaques j’ai détecté, je ne peux pas vous dire combien j’en ai subi. Il se peut que des prépositionnements aient été effectués sur nos réseaux ou dans nos entreprises, avec des opérations de sabotage ou, surtout, de récupération de données et d’espionnage. »

Si les Chinois œuvrent de manière « très discrète afin de piller notre savoir », les Russes, a contrario, pratiqueraient plutôt « une guerre informationnelle et des actions d’entrave ».

Il rappelle cela dit que, pour mener une attaque, « il n’y a rien de mieux que de se cacher derrière un profil-type d’attaque auquel recourent les cybercriminels, et d’employer les outils du dark web qu’ils utilisent », afin de brouiller les pistes et d'essayer d'entraver l'attribution : 

« À partir des éléments dont nous disposons, qu’ils soient techniques ou concernent le mode d’action, il est très difficile d’être certain de l’imputation technique d’une attaque. Certains éléments permettent néanmoins de le faire et, fort heureusement, les attaquants commettent aussi des erreurs. »

Le resserrement des liens entre les commandements de la cyberdéfense européens, notamment depuis la guerre en Ukraine, a simplifié les échanges d'informations, et donc aussi de tactiques, techniques et procédures (TTP) qui facilitent la reconnaissance, mais également l'attribution, des attaques cyber : 

« Aujourd’hui, le partage très rapide des informations dès que l’un d’entre nous est attaqué, dans le cadre otanien ou européen, assorti d’une capacité d’intégrer les données techniques de la manière plus fluide possible, est au cœur de nos préoccupations. Les Américains l’ont déjà fait en publiant des attaques russes ; or lorsque vous publiez le type de virus et les données correspondantes, cela permet de le filtrer et de le trouver. »

Si, jusqu’à présent, les nations avaient plutôt tendance à garder ces informations pour elles, « y compris pour les réutiliser ultérieurement », elles préfèrent aujourd’hui les publier « au plus vite afin d’éviter que d’autres pays soient contaminés » : 

« Ainsi, de même qu’elle a réveillé l’Otan, l’attaque de Poutine a finalement accéléré le partage des données, que nous travaillerons à poursuivre dans les années prochaines. »