L’invasion à grande échelle de l’Ukraine par la Russie le 24 février 2022 a entraîné de nombreuses évolutions dans la manière dont la guerre est menée des deux côtés de la ligne du front. S’il faut d’emblée préciser que nombre de ces changements sont en fait plutôt des accélérations de tendances préexistantes, à l’image des cyberattaques menées par la Russie qui ont connu une première explosion après l’annexion de la Crimée et le début de la guerre en 2014, les transformations sont également étroitement liées à celles que connaissent tous les secteurs de la société depuis l’avènement de l’IA générative.
Cet article se propose de faire le point sur ce que nous savons aujourd’hui des capacités cybernétiques de la Russie, près de quatre ans après que ses chars ont tenté de prendre Kiev. Précisons d’abord le périmètre de cette réflexion. Il existe en effet une différence fondamentale entre les représentations de ce que signifie le terme « cyber » dans les États européens et nord – américains et en Russie. Dans le premier cas, il renvoie plutôt aux couches basses de l’Internet (c’est-à‑dire les infrastructures, les protocoles, tout ce qui est invisible pour l’utilisateur) et se distingue nettement du domaine « informationnel » qui concerne les couches hautes (les applications qui reposent sur Internet et les informations et messages qui y circulent). Une intrusion de pirates dans un système pour l’espionner ou le détruire correspondra aux représentations de ce qu’est une « cyberattaque », là où l’activité de fermes à trolls ne sera pas spontanément associée. En Russie, le préfixe « cyber » existe, mais est un emprunt à l’anglais peu utilisé. On lui préfère l’adjectif « informationnel » ; ainsi, la traduction la plus courante de « cyberespace » en russe sera « espace informationnel ». Cette logique induit de considérer ce que nous qualifions de « cyber » non pas comme un domaine séparé, mais comme une partie d’un continuum commençant avec les câbles sous – marins et se terminant avec les informations consultées par les internautes. Nous nous conformerons ici à cette représentation.
Dans le domaine offensif, les quatre années de guerre ouverte ont permis de constater une intensification des tendances déjà observables avant 2022. Les attaques cyber russes se caractérisent d’abord par une forte centralisation opérationnelle doublée d’une externalisation partielle de leur exécution, ce dernier point troublant les limites entre acteurs militaires et civils. Les attaques sont coordonnées entre elles ainsi qu’avec les actions militaires physiques et les déclarations politiques, en particulier pour les groupes directement associés aux services de renseignements, au premier rang desquels APT28 (Fancy Bear), APT29 (Cosy Bear) et APT44 (Sandworm, groupe auquel plusieurs entreprises de cybersécurité affilient Cyber Army of Russia Reborn, Xaknet et Solntsepek) (1).
Les opérations de ces derniers se caractérisent en outre par leur forte sophistication, l’utilisation récurrente de failles 0‑day (2) et de virus customisés, et des attaques à double emploi visant à la fois à occasionner des destructions et à voler des données. Ces attaques ciblent aussi bien l’Ukraine que les États alliés. On constate également que les cyberattaques à visée destructive ciblent surtout les secteurs des télécommunications et des infrastructures critiques, tandis que les opérations d’espionnage se concentrent davantage sur les entités gouvernementales et les secteurs de la défense et de la technologie. L’une des attaques les plus significatives est celle menée contre l’opérateur ukrainien Kyivstar en décembre 2023, attribuée à Sandworm. Les attaquants ont infiltré le réseau dès mai 2023 pour détruire 40 % de l’infrastructure en décembre, privant 24 millions d’utilisateurs de services pendant plusieurs jours et perturbant les systèmes d’alerte aérienne.
À ces groupes étatiques s’ajoute un grand nombre de cybercriminels ou de « hacktivistes » prorusses, dont quelques noms comme Killnet et NoName057 sont apparus dans la presse européenne. Avec les acteurs étatiques, cela porte le nombre de groupes agissant dans les intérêts de la Russie à plusieurs dizaines : rien qu’en juillet 2023, la newsletter Cyberknow en dénombrait 72, soit davantage que les 51 groupes identifiés du côté ukrainien (3). Ces acteurs possèdent un niveau de technicité beaucoup plus hétérogène : alors que certains groupes cybercriminels disposent de leurs propres virus et infrastructures, les groupes de « hacktivistes » mènent principalement des attaques par déni de service (4) et pratiquent le doxxing (5). Une partie de ces derniers recrutent d’ailleurs des volontaires sur le réseau social Telegram et mettent à leur disposition des kits permettant de participer à leurs attaques même sans connaissance technique, parfois contre une rémunération en cryptomonnaie.
