Guerre Ukraine-Russie : une cyberattaque mal maitrisée pourrait-elle obliger l’OTAN à riposter ?

C’est sans doute le scénario du pire, celui de l’escalade qui pourrait entraîner involontairement les pays européens, et donc l’OTAN et les États-Unis dans un conflit plus direct avec la Russie. Et c’est un scénario qui est redouté par des officiels américains, qui craignent un engrenage malheureux avec une action cyber contre l’Ukraine qui serait mal maitrisée par Moscou.

On sait que des attaques informatiques se développent contre l’Ukraine, dans le cadre d’une guerre hybride menée par la Russie — des attaques par déni de service distribuées pour submerger les sites officiels ont été observées, tout comme la présence d’un logiciel malveillant capable de supprimer des données sur des PC. Or, c’est ce type d’opération qui inquiète.

La crainte d’une attaque cyber qui déborde

La spécificité des manœuvres offensives cyber c’est qu’elles sont susceptibles de déborder du théâtre d’opération dans lequel elles sont déployées : utiliser un malware sur des postes informatiques n’offre pas de garantie absolue qu’il ne se propagera pas ailleurs. Par le passé, des programmes de ce type ont été retrouvés dans d’autres pays, très loin de la cible initiale.

Le sénateur démocrate Mark Warner, par ailleurs président de la commission parlementaire sur le renseignement, a justement développé le scénario du pire dans une interview à Axios le 24 février, en constatant l’escalade militaire entre la Russie et l’Ukraine et en observant l’éventail large de ses capacités que Moscou met en branle pour neutraliser Kiev.

La Russie est réputée pour avoir des moyens cyber très élaborés, qui ont été mis en place notamment pour faire la guerre. Et quand la guerre vient, les unités qui sont justement spécialisées dans le combat cyber ne restent justement pas l’arme au pied. Elles sont employées, car la désorganisation d’un adversaire passe aussi par ses réseaux, ses télécoms, ses systèmes.

Mais d’autres pays, côté occidental, sont aussi fortement pourvus, comme les États-Unis ou le Royaume-Uni. Certains ont pu employer des actions similaires pour des opérations de sabotage — Stuxnet est un exemple : il s’agit d’un ver informatique qui aurait été développé par les USA et Israël pour entraver le programme nucléaire clandestin de l’Iran.

« Les États ont conservé ces outils malveillants. Ils les ont stockés, tout comme nous, pendant des années. Si vous en lancez non pas un, mais cinq, ou 10, ou 50, ou 1 000 contre l’Ukraine, les chances que cela reste à l’intérieur de la frontière géographique ukrainienne sont assez faibles », a prévenu Mark Warner dans son échange avec les journalistes d’Axios

cette menace « pourrait se propager aux États-Unis, au Royaume-Uni, mais l’effet le plus probable sera la propagation à un territoire géographique adjacent comme la Pologne. On entre soudain dans une zone grise : quelle serait la réaction du peuple polonais ? Quelle serait la réaction de l’OTAN ? Quelle serait la réaction de l’Amérique ? »

Il s’avère que des pays membres de l’Organisation du traité de l’Atlantique Nord bordent la frontière ukrainienne, avec la Pologne, la Roumanie, la Slovaque et la Hongrie. Or les pays de l’OTAN ont pour particularité d’être liés les uns aux autres par une clause de solidarité militaire, le fameux article 5. La France pourrait être concernée par exemple. Les États-Unis aussi.

Une cyberattaque nécessite-t-elle riposte ?

Se pose alors une question : même si personne n’a littéralement fait feu sur des troupes de l’OTAN, même si aucun soldat américain, polonais ou roumain n’a été tué, est-ce qu’une cyberattaque sévère touchant l’Ukraine, mais se répercutant en Pologne ou ailleurs, ne serait pas considérée comme une attaque nécessitant une riposte, cyber ou conventionnelle ?

En filigrane, c’est l’enjeu du seuil de déclenchement de la solidarité entre alliés de l’OTAN qui est en débat en cas de cyberattaque. Est-ce que l’article 5 s’applique si un logiciel malveillant affecte fortement un pays de l’OTAN, alors qu’il n’en était pas la cible initiale ? On voit ici le risque d’engrenage que cela peut provoquer sur tout le Vieux Continent, et au-delà.

L’OTAN analysera au cas par cas

La problématique n’est pas nouvelle. En 2014, l’alliance militaire déclarait qu’une cyberattaque visant l’un des pays membres constituerait une agression dirigée contre tous les autres et, par conséquent, ouvrirait la perspective d’une réaction militaire. Mais cela ne vaut que s’il est avéré que l’attaque visait spécifiquement un allié de l’OTAN.

Un an avant, le centre d’excellence responsable des questions de cyberdéfense au sein de l’OTAN publiait un manuel sur le droit applicable à la cyberguerre et ouvert la réflexion sur une riposte militaire visant les auteurs de cyberattaques. Il s’agissait alors juste d’un travail de réflexion et non pas une actualisation officielle de la doctrine de l’Alliance atlantique.

Depuis, les travaux se sont poursuivis ; entretemps, un centre otanien a vu le jour, en tant que centre de réaction contre les cyberattaques (un autre a été ouvert en 2008). La France est membre de cette structure. D’autres initiatives ont eu lieu depuis, avec en 2018 l’installation d’un centre des cyber-opérations, et la mise au point d’outils pour gérer les cybermenaces.

Le fait est que l’Ukraine n’est justement pas membre de cette alliance militaire, bien que le gouvernement en place désire la rejoindre. Il existe toutefois un autre risque, qui est celui de l’assistance indirecte que fournissent plusieurs membres de l’OTAN à Kiev, en fournissant des équipements et des armes. Cet appui pourrait finir par susciter une réaction plus virulente de Moscou.

On sait que Vladimir Poutine a mis en garde la communauté internationale de ne pas se mettre en travers de l’opération russe en Ukraine, sous peine de subir des représailles sans précédent. Cette assistance pourrait recevoir une réponse des autorités russes sous la forme d’une campagne de cyberattaques plus directe, qui cette fois pourrait provoquer le déclenchement de l’article 5.

Cela étant, la doctrine de l’OTAN en la matière privilégie l’analyse au cas par cas. C’est ce qui ressort d’un communiqué datant du 21 juin 2021. « Il reviendrait au Conseil de l’Atlantique Nord de décider, au cas par cas, des circonstances d’une invocation de l’article 5 à la suite d’une cyberattaque », d’autant que toute opération cyber n’est pas toujours de l’intensité d’une vraie attaque.

C’est une manière de retenir l’usage automatique d’un bras armé et d’avoir une voie de sortie pour éviter l’escalade. Car au-delà de la question sensible de l’attribution d’une opération dans le cyber, il faut garder en tête un élément déterminant : on est dans un scénario où une puissance nucléaire se retrouverait face à d’autres puissances nucléaires. Ce n’est plus le même monde.

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !