L'invasion de l'Ukraine par les troupes russes a été accompagnée par quelques cyberattaques. Des actes de guerre ? Pas vraiment, analyse l'experte en cybersécurité Rayna Stamboliyska.
Le ministre de la Transformation numérique ukrainien parlait d’une guerre hybride, active selon lui depuis 2014. Nombreux sont ceux à pointer une cyberguerre en pleine éclosion. Sur Twitter, vous disiez que non, nous ne vivons actuellement pas de cyberguerre. Qu’entendez-vous par là ?
Rayna Stamboliyska : Il faut faire attention. J'entends qu'on parle de « cyberguerre » , de « centaines de cyberattaques » . Mais pour l'instant, de manière avérée et visible, il s'agit « simplement » de défacement de sites web. C'est du niveau de ce que faisait Anonymous dans les années 2010. Il faut remettre un peu de discernement et de culture en matière de défense face à ceux qui souhaitent absolument entendre que l’apocalypse cyber est arrivée.
En matière de risques cyber, on ne peut juger que sur la base de ce qui est visible et de ce qu’on connaît. Oui, on observe depuis janvier une recrudescence d’activités offensives numériques. Pour l’instant, ce que l’on voit sont surtout des défigurations de sites web. Je doute qu’un ministère de la Défense stocke des informations importantes et classifiées sur son site vitrine. Même s’il y a eu la description de logiciels malveillants plus dangereux (les deux wipers), il n’y a pas pour l’instant d’impact significatif avéré. On confond la question du comment avec celle du pourquoi. L’amoncellement des troupes autrement visibles et leurs actions sur le terrain devraient nous inquiéter beaucoup plus que quelques sites défacés.
Pouvez-vous revenir sur la question de l’effacement de données, voire de sites ?
En janvier 2022, Microsoft a découvert le Whispergate, un programme malveillant déguisé en rançongiciel. (Un rapport du Microsoft Threat Intelligence Center annonçait qu’il aurait été diffusé pour nuire à différentes organisations ukrainiennes, ndlr). Puis il y a eu la découverte d’Hermetic Wiper, quelques heures avant que la Russie déploie ses forces militaires sur l’Ukraine. (Mi-janvier, les sites des ministères des affaires étrangères et de l’éducation ukrainiens sont attaqués. Microsoft communique ensuite à propos du WhisperGate. Mi-février, une nouvelle attaque via DDoS a lieu et touche cette fois des sites d’institutions financières et militaires. La semaine avant l’invasion, une nouvelle attaque a lieu. En parallèle, les éditeurs de logiciels de cybersécurité ESET et Symantec annoncent avoir détecté Hermetic Wiper sur quelques centaines d’ordinateurs en Ukraine, ndlr). Derrière chaque communication publique, il y a une réalité technique. Lorsqu’une entreprise rend compte d’une activité cyber, ça signifie qu’elle a dû déjà récupérer des « exécutables », les analyser – ce qui prend des heures. Or, avant de savoir exactement ce qu’il s’est passé, quels sont les effets, voire d’établir des intentions, l’analyse atteint des mois de traitement et n’est souvent pas complète, les motivations d’origine étant complexes à saisir. Dans le cas du HermeticWiper, les analyses indiquent qu’il a été placé chez les cibles vers novembre-décembre 2021 et on n’en parle qu’aujourd’hui, soit des mois après. Il y a une temporalité des activités – et des décisions qui mènent à leur communication – qui est totalement ignorée du grand public.
Pour l’instant, il n’y a pas d’indication que ces logiciels aient produit l’effet escompté (suppression de données par ex.). Plus récemment, des membres des Five Eyes (alliance des services de renseignement d’Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis, ndlr) ont communiqué à propos d’une infrastructure d'attaques communément attribuée au GRU, mais là encore on ne sait pas encore si et quand une activité pertinente dans le cadre de l’invasion russe en Ukraine en émane.
Mais alors, cyberguerre ou pas cyberguerre ?
Si je dis de manière un peu provocatrice que la cyberguerre n’existe pas en ce moment, c’est aussi pour appeler à plus de discernement. Nier qu’il y a effectivement une activité offensive cyber récente serait vraiment de la malhonnêteté intellectuelle. Mais de là à parler d’une action autonome cyber qui peut remplacer une action sur le terrain militaire, c’est tout aussi abusif. Plus largement, même sans tomber dans le « tout ou rien », on aura besoin de temps avant de comprendre la valeur et la portée stratégique des activités cyber récentes.
Il y a des vraies bombes qui tombent en Ukraine… Alors oui, ça peut expliquer qu'il y ait des perturbations d'infrastructures. Les Ukrainiens essaient de survivre, alors face à des défacements de sites web… Pour revenir à la question, plus que de cyberguerre, je parlerais de la composante cyber comme un complément de force, une participation à un effort de guerre coordonné. Une cyber-opération suppose une combinaison de ressources techniques et organisationnelles diverses. C’est difficilement maîtrisable notamment en termes de temporalité et d’effet direct, contrairement à un missile dont on sait le pouvoir nocif.
Mais dans toute cette discussion, on ne devrait pas perdre de vue l’effet déstabilisateur d’activités cyber. Enfin, on ne devrait pas oublier une activité aux répercussions énormes et peu visible, celle du renseignement. En temps de conflit, énormément d’informations pertinentes pour les adversaires sont apparentes ; s’en saisir est primordial pour outiller d’autres actions, en cours ou à venir. Mais encore une fois, à ce jour, on ne sait rien du rôle de l’outil cyber dans le conflit actuel.
Participer à la conversation