Cyberattaques contre l'Ukraine : les États-Unis s'attendaient à pire
C'est peut-être l'un des enseignements les plus surprenants de la guerre entre l'Ukraine et la Russie, outre les difficultés manifestes de l'envahisseur russe à balayer les forces ukrainiennes.
Cet état de fait, relevé par de nombreux observateurs de la cybersécurité, est partagé également aux États-Unis par certaines des plus hautes autorités militaires. Ainsi, à l'occasion d'un échange avec les parlementaires américains, le général Paul Nakasone, qui est aux commandes de l'agence de sécurité nationale (NSA), a fait savoir le 8 mars 2022 qu'il s'attendait à pire.
Il y a eu certes des attaques informatiques ces dernières semaines, mais le niveau de piratage n'a pas atteint « ce que nous avions prévu » avant la guerre, a déclaré le haut gradé. L'attention du renseignement américain s'est toutefois focalisée « très attentivement » sur trois opérations ayant visé l'Ukraine et qui ont été attribuées aux Russes.
La nature de ces opérations n'a pas été précisée. De son poste, Paul Nakasone a une vue privilégiée de la situation. Outre la NSA, qui opère la collecte du renseignement numérique et électromagnétique, il dirige le Cyber Command, un sous-commandement militaire dédié à la sécurité de l’information de l’armée -- et qui peut mener des offensives cyber.
« Ces cyberattaques ont des impacts limités pour le moment. »
Anssi
Cette impression est confortée par les déclarations publiques d'autres agences de renseignement, dont les commentaires apparaissent mesurés. « Ces cyberattaques ont des impacts limités pour le moment », a ainsi noté l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui s’occupe de la cyberdéfense de la France, dans un point de situation du 7 mars.
D'autres agences équivalentes ne se montrent pas plus alarmistes. L'agence allemande BSI a certes classé le niveau de menace à « orange ». Au Royaume-Uni, le National Cyber Security Centre suggère de rehausser son niveau de préparation. Idem pour le Cybersecurity & Infrastructure Security Agency aux USA. La situation est sérieuse, mais on reste sur de la prévention.
Depuis le début de l'invasion ukrainienne, ont été observées des attaques par déni de service distribué (DDOS), des opérations utilisant des outils de sabotage effaçant des données (wiper), des défigurations de sites ou des tentatives d’intrusion sur les messageries électroniques par du hameçonnage ciblé (spear phishing). Et, bien sûr, de la désinformation en pagaille.
L'offensive la plus spectaculaire en apparence est celle qui a affecté dès le 24 février -- jour de l'invasion -- le réseau satellitaire ViaSat et le satellite Ka-Sat. Le général Michel Friedling, patron du commandement spatial, a confirmé un incident cyber, mais les contours de l'incident sont flous -- on sait que des Français ont été privés d'Internet.
Reste que l'on est encore assez loin, en termes de magnitude, des opérations passées ayant frappé l'Ukraine.
L'alerte cyber survenue en 2017 avec les logiciels Petya et NotPetya avait été bien plus vive : ils avaient nui à un très grand nombre d'entreprises sur place, avant de se propager ailleurs dans le monde. Deux ans avant, le piratage du système énergétique ukrainien avait aussi marqué les esprits, car des centaines de milliers de personnes avaient été plongées dans le noir des heures durant.
La relative faiblesse de l'offensive russe dans le cyber intrigue
Comment expliquer cette apparente retenue sur le front de la guerre en ligne ? Plusieurs pistes circulent aujourd'hui, sans nécessairement s'exclure.
La Russie a peut-être manqué de préparation en amont du conflit, ou elle a eu un défaut de planification, en confiant ses opérations a des unités militaires moins efficaces que des structures plus fortes, comme le FSB ou le GRU, deux agences de renseignement très réputées dans ce domaine. Les difficultés de l'armée russe sur le terrain se refléteraient alors sur le théâtre numérique.
Il est possible que le Kremlin ait été aveuglé par la croyance que la population ukrainienne accueillerait la Russie comme une puissance libératrice, ce qui a pu amoindrir les efforts à fournir. On dit de Vladimir Poutine qu'il est isolé et que plus personne n'ose émettre un avis contraire, par peur. La séquence avec le chef des renseignements est à ce titre révélatrice.
La chaine de commandement russe souffre peut-être d'un phénomène d'intoxication où les bons renseignements et la situation exacte sur le terrain ne remontent pas bien d'un supérieur à l'autre, à cause d'une culture du mensonge. « À force de cultiver le secret on finit par récolter de mauvaises surprises », relevait Michel Goya, colonel et spécialiste des questions de défense.
Une autre hypothèse qui a été émise est peut-être la volonté pour la Russie de ne pas tout casser, afin d'être en phase avec le discours selon lequel la Russie vient en fait libérer l'Ukraine -- impossible à justifier si le pays est rasé numériquement. Ou alors, Moscou a besoin de se retenir, car elle vise des données stratégiques, à des fins de purge ou d'espionnage.
À l'inverse, il y a aussi le facteur de montée en gamme de la cybersécurité de Kiev à prendre en compte. Voilà des années que l'Ukraine est à son corps défendant le laboratoire de certaines actions hostiles dans le cyber. Le pays a aussi pu compter sur une aide occidentale, notamment américaine, pour accroitre son niveau d'expertise et ses défenses.
« Washington a versé des millions de dollars pour renforcer les cyberdéfenses de l'Ukraine », rappelle CNN. En outre, peu avant le déclenchement du conflit, il a été rapporté que des experts en cyberdéfense américains et britanniques -- c'est-à-dire des agents de deux nations très compétentes sur ce terrain -- s'étaient déplacés en Ukraine pour apporter leur aide.
« Pour ce qui est de savoir pourquoi ils n'en ont pas fait plus, je pense que c'est évidemment dû à une partie du travail effectué par les Ukrainiens, à certains des défis que les Russes ont rencontrés et à une partie du travail que d'autres ont pu faire pour empêcher leurs actions », a d'ailleurs dit Paul Nakasone. Et les agences américaines n'y sont pas étrangères.
Cette assistance de l'Occident face aux périls numériques se poursuit toujours, à la fois par un appui de certaines entreprises privées, mais aussi désormais par l'OTAN : l'Ukraine a en effet été acceptée comme pays partenaire de l'Organisation du Traité de l'Atlantique Nord au sein du centre d'excellence de cyberdéfense, qui est basé à Tallinn, en Estonie.
La présence de l'OTAN en marge du conflit est une autre hypothèse pouvant justifier la retenue russe : Moscou n'ignore sans doute pas qu'une attaque mal maitrisée, si elle déborde vers les pays de l'Alliance atlantique, pourrait être considérée comme une attaque et entraîner l'OTAN dans le conflit -- le risque d'engrenage est toutefois peu probable, car tout incident serait analysé au cas par cas.
Il est vrai qu'après deux semaines de conflit, tout peut encore survenir. Les moyens russes n'ont peut-être pas été tous déployés en la matière et de très mauvaises surprises pourraient tout à fait surgir -- surtout si des menaces ont été positionnées en secret sur les réseaux ukrainiens, sans qu'ils n'aient été détectés, en prévision d'une manœuvre ultérieure.
Cette méfiance est soutenue par le fait que les mêmes agences de renseignement américaines, citées par le New York Times, estiment que Vladimir Poutine est toujours déterminé dans ses buts de guerre, même s'il ne s'attendait pas à la résistance de Kiev et à la cohésion de l'Occident. En clair, d'autres évènements sont probablement à redouter.