Daniel Ventre (CNRS) & François-Bernard Huygues (Iris) "Pour l'heure, le conflit russo-ukrainien n'a pas donné lieu à des cyberattaques majeures"
Depuis le démarrage de la guerre en Ukraine, la menace d'une guerre cybernétique plane. Daniel Ventre, ingénieur de recherche au CNRS, et François-Bernard Huygues, directeur de recherche à l'Iris, nous aident à y voir plus clair.
JDN. Où en est-on aujourd'hui dans le conflit russo-ukrainien au niveau cybernétique ?
Daniel Ventre (CNRS). Les entreprises de nombreux pays se sont retirées du net russe et, de son côté, la Russie bloque l'accès sur son territoire aux applications d'entreprises américaine, comme Facebook, Instagram, etc. Peu d'informations ont été rendues publiques au sujet de "cyberattaques" qui toucheraient, de part et d'autre, les belligérants ou qui, dans le monde, seraient directement liées à ce conflit. Derrière ce lien, je tiens une chronologie des cyberattaques, des événements cybernétiques, des décisions politiques et des publications qui ont lieu dans le contexte de la crise et des guerres entre l'Ukraine et la Russie.
Quelle grille de lecture adopter pour comprendre la dimension cybernétique du conflit russo-ukrainien ?
François-Bernard Huygues (Iris). Les cyberattaques peuvent prendre trois formes : le sabotage, l'espionnage et la propagande/désinformation/subversion. Pour le troisième volet, et par leur capacité à s'adresser à l'opinion européenne et mondiale, les Ukrainiens l'ont totalement emporté. A la fois sur les médias classiques mais également sur les médias sociaux. Difficile d'être soumis à la propagande russe. Il faut même aller chercher l'information pro-Poutine, y compris sur les réseaux sociaux ! TikTok, qui a été bloqué le 6 mars, restait un des derniers canaux de diffusion. En termes d'espionnage, on a pu entendre parler de groupes ukrainiens qui auraient obtenu des renseignements sur les mouvements de l'armée russe en infiltrant des sites de rencontre. Enfin, pour ce qui est du sabotage, au sens de détraquer des dispositifs informatiques par des logiciels malveillants, la capacité cyber de la Russie ne s'est pas encore manifestée pleinement. L'attaque contre un satellite qui aurait perturbé des systèmes dans le monde, comme les dispositifs de contrôle des éoliennes et certains abonnés d'Orange, reste encore à attribuer.
Pourquoi tant d'appréhensions quant à une cyber-offensive russe ?
"Il n'y a ni monopole, ni écrasante supériorité russe"
FBH. La doctrine de l'Otan étant celle de la guerre hybride (militaire, non-étatique et cyber), on attendait beaucoup d'une Russie qui avait démontré, au cours des dernières années, la qualité technique de ses attaques dites persistantes avancées (Advanced Persistent Threats, APT, ndlr). On pense notamment à l'attaque NotPetya qui touchait, en juin 2017, de grandes entreprises et des banques ukrainiennes, mais aussi, dans le monde entier, des sociétés allemandes comme Nivea ou, plus proche encore, comme la SNCF et Saint Gobain sur le sol français. On pense également à décembre 2016 où on observait la première opération de cyber-sabotage contre des systèmes d'approvisionnement énergétique. Près de 700 000 foyers ukrainiens se sont vus privés d'électricité pendant plusieurs heures à Kiev. De l'autre côté, les Anonymous ont déclaré la guerre cyber pour interférer avec les sites d'information russes. On parle aussi d'une armée informatique d'Ukraine. On parle d'offensives cyber contre les voies de chemin de fer biélorusses pour empêcher les soldats russes d'arriver vers l'Ukraine. Donc ni monopole, ni écrasante supériorité Russe.
L'intervention d'Anonymous peut-elle poser des problèmes ?
DV. Anonymous est avant tout une bannière, davantage qu'un groupe structuré, qui intervient depuis plusieurs années sur de multiples terrains d'affrontement et de contestation. Son action, comme toutes celles que mènent les hackers, peut perturber les systèmes et les organisations. Mais ses opérations sont généralement "revendiquées", signées "Anonymous", et ne sont pas de nature à générer des réactions fortes de la part des belligérants.
La menace cyber reste donc relativement faible en termes de sabotage pour l'instant.
FBH. Oui. Dans le conflit actuel, juste avant l'assaut du 24 février, il y a eu une attaque en déni de service (Ddos, ndlr) sur des banques et institutions ukrainiennes puis, une seconde, le 27 février par un logiciel "effaceur" qui pénètre les systèmes et détruit les données : il s'était attaqué à des institutions. Si ces attaques ont été notables et repérées, d'une part elles n'ont tué personne et, d'autre part, leur impact politique voire leur faculté à créer du désordre et du chaos ont été occultées par le caractère dramatique de l'offensive classique. Pour la première fois en Europe depuis la guerre de Yougoslavie, nous avons des tanks contre des tanks et des missiles contre des missiles. Alors oui, les attaques informatiques ont dû perturber, coûter un peu d'argent, mais tout cela semble presque dérisoire face aux pertes humaines.
Pourquoi cette faible amplitude ?
"Un "cyber Pearl Harbor" peut difficilement arriver"
FBH. Alors qu'ils disposent de missiles, d'avions et de tanks, les Russes ont-ils intérêt à parasiter complètement, voire définitivement, des infrastructures qu'ils veulent récupérer ? Autre considération, quand on commence à tuer des gens, l'attaque informatique passe au second rang. Ce n'est pas l'Armageddon cybernétique qu'on annonce depuis le début des années 90 aux USA et qui ne s'est pas encore produit. Le cybernétique semble pour l'instant limité à un rôle préparatoire ou secondaire.
Comment la France doit-elle s'organiser ?
DV. L'Anssi est une pièce maîtresse, même si bien sûr elle n'est pas la seule, de la sécurisation des systèmes étatiques et des entreprises françaises. Dans notre pays, comme dans bien d'autres d'ailleurs, la cybersécurité a été portée au rang des priorités nationales de sécurité et organisée en conséquence. Le risque d'être déstabilisé par une cyberattaque "surprise" a considérablement été réduit. Les infrastructures critiques et sensibles ont fait l'objet d'un encadrement et d'une sécurisation via des politiques et des stratégies enclenchées depuis plus de dix ans. La veille est donc assurée par l'Anssi, par les entreprises, par les CERT et autres acteurs privés de la cybersécurité. Il y a tout un écosystème qui évite l'effet de surprise. Des signaux de prudence existent actuellement en France, comme dans beaucoup d'Etats.
Pour l'heure, le conflit n'a pas donné lieu à des cyberattaques majeures. D'ailleurs, dans le monde, beaucoup d'observateurs s'en étonnent. Aucun des acteurs du conflit ne semble avoir lancé de cyberattaque majeure destructrice. La situation est tendue, il faut être vigilant, avoir une veille peut-être plus soutenue que d'habitude. Normalement, ce qui s'est passé en Estonie en 2007 ne devrait pas se reproduire. Un "cyber Pearl Harbor" peut difficilement arriver car tout le monde s'y attend et s'y est préparé depuis des années.
Faut-il se méfier de logiciels comme l'antivirus Kaspersky ?
DV. En ce qui concerne Kaspersky, en France, en Allemagne, les autorités appellent à la prudence. Mais cette situation de dépendance ou d'exposition au risque pose aussi la question de la souveraineté technologique. Ces situations rappellent qu'il est important de pouvoir disposer de solutions alternatives et, dans la mesure du possible, de solutions de cybersécurité "nationales".