« En Ukraine, la cyberguerre a bel et bien eu lieu », explique le Comcyber

Poutine 1.0 - Cyber 2.0
Droit 6 min
« En Ukraine, la cyberguerre a bel et bien eu lieu », explique le Comcyber
Crédits : Comcyber

Auditionné, à huis clos, par la Commission de la défense nationale et des forces armées le 7 décembre dernier (le compte rendu vient d'être mis en ligne), Aymeric Bonnemaison, quatrième général à prendre la tête du Commandement de la cyberdéfense, a fait part de son retour d'expérience de la cyberguerre en Ukraine.

S'il n'a été nommé à la tête du Commandement de la cyberdéfense qu'en septembre 2022, le nouveau Comcyber a une longue et riche expérience de ces questions, qu'il a eu lieu de pratiquer lors de nombreuses opérations extérieures en tant qu'officier d'unités de guerre électronique, mais également au cours de ses différents postes à responsabilités, à l'OTAN ou en tant qu'adjoint du directeur technique de la DGSE, comme nous le précisions dans notre article consacré à son curriculum vitae.

Ce n'est pas tant à l'aune de ses trois mois passés à la tête du Comcyber qu'Aymeric Bonnemaison résumait ses missions devant la Commission de la défense nationale et des forces armées de l'Assemblée le 7 décembre 2022 :

« Notre approche, assez singulière, couvre trois domaines de lutte : la lutte informatique défensive, qui occupe une majeure partie de mon commandement, la lutte informatique offensive et la lutte informatique d’influence (L2I). »

Dès lors, le fait que « des opérations de renseignement, d’entrave et d’influence » aient été menées dans le cyberespace au cours des dernières années montre qu' « en Ukraine, la cyberguerre a bel et bien eu lieu, contrairement à ce qu’a donné à croire l’absence de "cyber Pearl Harbor" » : 

« Ma présentation de notre analyse du conflit ukrainien ne débutera donc pas au 24 février dernier. Les opérations dans le cyberespace ont commencé bien avant le déclenchement des manœuvres dans les autres milieux, la terre, l’air et la mer. Elles ont exigé un haut niveau de préparation et d’anticipation. »

Évoquant l'appétence de l'armée et du renseignement russe pour la « guerre hybride », Aymeric Bonnemaison rappelle qu'ils ont, de longue date, « intégré à la manœuvre cyber et la manœuvre informationnelle, en liant fortement les deux dans leur action », et qu'elles « couvrent aussi bien le contenu que le contenant dans leur approche ».

Des attaques « d’un très haut niveau technique »

Des attaques « d’un très haut niveau technique » ont ainsi visé de nombreuses infrastructures critiques en Ukraine, en commençant par des stations électriques en 2015, puis le réseau électrique lui-même en 2016, via une attaque « bien plus complexe » : 

« Ces attaques sont les premières menées complètement à distance sur la fourniture d’électricité. La technique très sophistiquée mise en œuvre a suscité notre intérêt, dans la mesure où nous pourrions être amenés à la contrer. La première attaque a privé 225 000 personnes d’électricité pendant plusieurs heures. La seconde a réduit d’un cinquième la consommation de la capitale ukrainienne. »

À partir de 2017, les attaques se sont diversifiées en « prenant la forme d’une sorte de harcèlement et présentant une certaine viralité ». Elles visaient tant les réseaux ukrainiens publics que privés, mais ont également touché de grands groupes internationaux. 

La cyberattaque NotPetya, qui ciblait explicitement les entreprises ukrainiennes, mais aussi leurs partenaires et clients à l'étranger, fit ainsi des victimes dans le monde entier. On estime que 20 % des victimes de ce logiciel malveillant (qui se présentait comme un rançongiciel, mais était en fait un « wiper », effaçant les données et rendant les fichiers chiffrés irrécupérables) n'étaient pas ukrainiennes, et qu'il aurait fait plus de 10 milliards de dollars de dégâts.

Aymeric Bonnemaison souligne que ces attaques avaient été « associées à des opérations informationnelles », afin d'ajouter de l'huile sur le feu « pour exciter le mécontentement et saper la confiance de la population dans les institutions ». 

Dans le même temps, des « opérations de subversion » ciblaient notamment le Donbass, dans le but de victimiser des russophones et de « surmédiatiser » les programmes d'aide émanant de la Russie, le tout associé à « une critique violente de l’incapacité des pouvoirs publics ukrainiens à préserver les réseaux électriques et les fonctionnalités essentielles à la vie courante ».

En réaction, l'État ukrainien entreprenait de son côté « des travaux majeurs pour se réformer en profondeur dans le cyberespace », adoptant sa première stratégie de cyberdéfense en 2016, suivie de l'adoption par le Parlement d'un budget dédié puis, en 2017, d'une loi relative à la cybersécurité qui a élargi les pouvoirs d’enquête et d’interception des services ukrainiens, et créé une cyberpolice.

Il faut des mois, voire des années pour construire une cyberattaque

Cherchant à prendre un peu de hauteur, et à expliquer ce qui pourrait fausser l'analyse de la cyberguerre en Ukraine en particulier, et des cyberattaques en général, Aymeric Bonnemaison avance que « la cyberconflictualité présente deux spécificités, qui faussent parfois l’analyse ». 

La première a trait à « un paradoxe des temporalités » : « la fulgurance des attaques, affranchies de la tyrannie de la distance, ne doit pas masquer leurs délais incompressibles de conception et de planification. Il faut des mois, voire des années pour construire une cyberattaque » :

« Une attaque bien structurée en lutte informatique offensive n’est pas le fait d’un homme en capuche qui travaille seul dans une cave : c’est un vrai travail d’équipe, qui associe des compétences diverses et qui demande des conditions préalables et un tempo qui ne sont pas forcément ceux d’un pays submergé par une attaque et qui mène déjà une guerre classique. »

De plus, et « contrairement à ce que l’on peut croire – je fais cet exercice de pédagogie depuis plusieurs années, y compris au sein du ministère – il ne s’agit pas d’un fusil cyber qui peut tirer sur toutes les cibles qui se présentent » : 

« Toute attaque cyber est taillée sur mesure, même si elle recourt à quelques outils et approches génériques. Elle suppose un travail préparatoire pour bien connaître sa cible, la caractériser et trouver le chemin pour la perturber, l’espionner, la saboter ou l’entraver. »

Le plus souvent, les attaques cyber reposent dès lors sur une « stratégie de prépositionnement », qui « exige un important travail préalable de renseignement », complexe et qui peut pendre beaucoup de temps. 

En outre, une attaque « n’est pas nécessairement menée dès qu’elle est techniquement réalisable », mais peut être différée, en fonction de l'effet recherché, ou encore de la possibilité pour l'attaquant d'accumuler les vecteurs d'attaques, ou de se déplacer dans le réseau ciblé.

Dès lors, « l’attaquant peut rester positionné et attendre son heure – en veillant toutefois à agir avant une mise à jour qui peut lui faire perdre son accès ; il faut trouver la combinaison adéquate pour frapper au bon moment ».

Ensuite, le cyberespace a une « faible lisibilité », et il est d'autant plus difficile de se le représenter que « la guerre qui s’y mène est discrète, voire secrète », et qu'elle est « masquée par l’exubérance des réseaux sociaux qui, en contraste, affirment beaucoup de choses plus ou moins étayées ».

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !