Invisible, impotent ou immature ? Premières leçons de l’usage du cyber en Ukraine

Le Rubicon en code morse
Sep 22

 

La cyberguerre serait-elle une chimère ? Après six mois d’affrontements de grande ampleur en Ukraine, nombre d’observateurs s’avouent perplexes : les prophéties de cataclysmiques cyberattaques russes ou de « cyber-blitzkrieg » contre l’Ukraine, énoncées à la veille du conflit, sont largement restées lettre morte. Si cyberattaques majeures il y a bien eu, un consensus relatif règne désormais sur le fait que celles-ci ont clairement échoué à produire l’effet stratégique de « choc et stupeur » (shock and awe) que d’aucuns leur prédisaient.

Un constat qui vient bouleverser nombre des réflexions actuelles sur l’usage militaire des outils cybernétiques : avons-nous surestimé les potentialités du cyber en contexte de guerre ? Ou mal pensé ses réelles utilités stratégiques ? Les débats, aux États-Unis et en Europe notamment, vont bon train. Alors que les canons continuent de tonner du Donbass à la Crimée, quelles premières leçons peut-on tirer du conflit ukrainien quant aux usages militaires du cyber ?

Cyberattaques à profusion…

Il importe de le souligner d’emblée : le conflit ukrainien a bel et bien été le théâtre, de part et d’autre, de cyberattaques nombreuses et parfois très sophistiquées. À la mi-septembre, l’ONG CyberPeace Institute recensait déjà près de 450 cyberattaques ou cyberopérations découlant du conflit. À la lutte « régulière » entre pirates étatiques s’ajoute, comme le décrit Benjamin Pajot dans une récente publication sur ce site, une intense cyberguérilla menée par des groupes cybercriminels ou des hacktivistes non étatiques ayant pris fait et cause pour un camp ou l’autre (précisons cependant que le degré d’indépendance de certains de ces groupes est sujet à questionnement).

Dans ce torrent de piratages, sans doute faut-il cependant distinguer bruit et signal : quelles cyberattaques semblent réellement avoir visé à peser stratégiquement dans le conflit ? Et comment ?

  • D’une part, des moyens cyber semblent avoir été mis à contribution pour géolocaliser des cibles et diriger des frappes. Bien que les informations à ce sujet restent difficiles à vérifier, il y a lieu de croire que certains hauts gradés russes tués sur la ligne de front ont par exemple été ciblés via des piratages de smartphones (l’hypothèse alternative étant l’emploi d’outils de guerre électronique). Rappelons que la méthode avait déjà été éprouvée par la Russie entre 2014 et 2016 : des hackers du GRU avaient piégé une application de calcul de tir utilisée par les unités d’artillerie ukrainiennes, permettant ainsi de les géolocaliser et les pilonner.
  • Un autre type d’opérations employées est le cybersabotage d’infrastructures critiques (certaines dans des zones de combat), notamment des fournisseurs d’électricité ou de télécommunications. Dans un rapport publié en avril, Microsoft disait voir dans ces piratages une volonté d’appuyer des actions cinétiques localisées, mais le degré de coordination entre les deux domaines reste toutefois à clarifier, tout comme les visées exactes de ces attaques : s’agissait-il de dégrader le potentiel des troupes ukrainiennes en les privant de ces infrastructures, ou plutôt de démoraliser la population dans les zones concernées ? La réponse demeure incertaine, et le rapport de Microsoft sujet à diverses critiques.
  • Plusieurs cyberattaques de grande ampleur contre des systèmes gouvernementaux ukrainiens ont également été relativement bien documentées. Dans les premières heures de l’invasion, la Russie a notamment piraté le fournisseur d’internet par satellite ViaSat, qui assurait certains canaux de communication des forces de sécurité ukrainiennes. En parallèle, diverses agences gouvernementales ukrainiennes ont été visées par des attaques par « wiper» (des virus informatiques programmés pour systématiquement détruire les données d’un système). Une méthode assidûment répétée par la suite : à la mi-mai, on dénombrait déjà neuf familles de wiper ayant été déployées contre des systèmes ukrainiens.
  • D’autres actions cyber ont quant à elles visé les appareils logistiques, de part et d’autre. Selon Microsoft, le groupe de hackers russes Sandworm (affilié au GRU) s’en est pris à une entreprise logistique et à diverses entités ferroviaires situées dans l’ouest de l’Ukraine dans le but, selon la firme américaine, de perturber l’acheminement de matériel militaire occidental. Fin février, le groupe de hacktivistes biélorusses (anti-régime) Cyber Partisans a quant à lui piraté les systèmes des chemins de fer de Biélorussie, afin de ralentir l’approvisionnement des troupes russes marchant alors vers Kiev.
  • Dans le domaine informationnel, les outils cyber ont fréquemment été mis à contribution (surtout par les hacktivistes) pour tenter d’influencer les opinions publiques ou discréditer l’adversaire, comme en attestent par exemple les piratages de différents médias d’État En avril, Anonymous s’est également targué d’avoir piraté et publié les informations personnelles de quelque 120 000 soldats russes ayant supposément pris part à l’invasion.
  • Enfin, une autre utilisation majeure des outils cyber est incontestablement la collecte de renseignement à valeur stratégique, y compris à l’extérieur de l’Ukraine : selon un second rapport de Microsoft, la Russie aurait par exemple mené des opérations de cyberespionnage contre plus de 120 entités (majoritairement gouvernementales) dans 42 Etats depuis le début de son invasion, sans doute pour scruter les faits et gestes des soutiens de Kiev. Un constat appuyé, sur le principe, par le GCHQ britannique ou le CST canadien. En Ukraine même, Moscou aurait aussi piraté diverses bases de données gouvernementales, vraisemblablement dans le but de ficher les citoyens ukrainiens susceptibles de mener des activités de résistance dans les territoires occupés.

…pour quels effets ?

On le voit, les cyberattaques ont donc bel et bien déferlé en Ukraine. C’est toutefois sur leurs retombées que règne la perplexité : à ce jour, aucun témoignage ne permet de conclure que l’un ou l’autre de ces piratages a substantiellement pesé sur le déroulement du conflit. On ne connaît par exemple pas l’ampleur des dégâts occasionnés ou non par les wipers russes, et dans quelle mesure ils ont handicapé les autorités ukrainiennes dans leur réponse à l’invasion. Victor Zhora, haut fonctionnaire ukrainien chargé des questions de cybersécurité, évoquait à la mi-mars une « immense perte de communications au tout début de la guerre » dû au piratage de ViaSat, mais déclarait en août que les cyberattaques russes en Ukraine reflétaient globalement une « absence de stratégie ». Si les sources actuellement disponibles apparaissent à la fois rares et partiales, force est à tout le moins de constater que le cyber n’a pas permis à la Russie d’obtenir un avantage décisif dans son invasion.

Faut-il en conclure que les moyens cyber, en dépit de nombreuses utilités stratégiques démontrées en temps de paix, ne présentent que peu d’avantages en contexte de conflit armé ? C’est précisément la question dont nombre de spécialistes du milieu débattent désormais. On peut distinguer trois grandes théories tentant actuellement de faire sens de la portée militaire à accorder ou non au cyber, en Ukraine et au-delà.

Théorie 1 : l’invisibilité

Certains spécialistes, fidèles à la formule rendue célèbre par Donald Rumsfeld, estiment en premier lieu que « l’absence de preuve ne constitue pas une preuve d’absence ». Autrement dit, le fait qu’aucune retombée du cyber ne soit publiquement observable en Ukraine ne signifie pas qu’il n’en existe pas. Thomas Rid rappelle ainsi que le cyber, domaine de furtivité par excellence, ne donne pas (ou rarement) lieu à des opérations visibles à l’œil nu, contrairement à une frappe aérienne ou une charge blindée. Ainsi, il faut envisager qu’on ne découvre qu’ultérieurement que les moyens cyber aient discrètement contribué à des actions importantes en Ukraine. Un exemple parmi d’autres de cette logique : il fallut attendre près de deux ans pour que le grand public découvre qu’un virus informatique israélo-américain (Stuxnet) avait causé la destruction de près de 1000 centrifugeuses à uranium en Iran.

Cet argument s’applique d’autant plus au phénomène du cyberespionnage, qui peut livrer des renseignements très précieux à la planification d’opérations militaires sans laisser transparaître son importance, même en cas de réussite. À cet égard, on peut d’ailleurs envisager que le succès des États-Unis à annoncer l’imminence et différents détails de l’invasion russe ait en partie découlé d’un cyberespionnage efficace (ce qui constituerait indubitablement une contribution significative du cyber au déroulement du conflit).

Par ailleurs, ajoutent David Cattler et Daniel Black, il nous est en l’occurrence difficile de distinguer la performance du cyber de celle du reste de l’armée russe en Ukraine : les cyberopérations ordonnées par Moscou pourraient dans l’absolu avoir été menées de main de maître, mais ne pas avoir produit de résultats visibles du fait que le reste du dispositif offensif a multiplié les revers. Un argument qui nous renvoie au « problème de Diagoras » décrit par David Pappalardo dans une autre publication sur ce site : « ce que nous voyons ne reflète pas nécessairement ce que nous ne voyons pas ». En définitive, nous n’aurions donc pas la visibilité suffisante pour porter un jugement avisé quant à la performance du cyber en Ukraine.

Théorie 2 : l’impotence

Pour une seconde catégorie d’experts (tels Erica Lonergan & al.), il est évident que les moyens cyber se sont révélés militairement insignifiants en Ukraine, et il n’y avait  pas lieu d’escompter autre chose : malgré 25 ans de prophéties annonçant l’imminence de la « cyberguerre », proportionnellement peu de cyberattaques ont à ce jour été déployées dans le cadre de conflits armés, et celles qui l’ont été ont largement échoué à produire des impacts dignes de ce nom sur le déroulement des opérations. La nature même de l’outil cyber le condamnerait à une impotence militaire difficilement surmontable.

D’une part, contrairement aux idées reçues, l’élaboration de cyberopérations efficaces prend beaucoup de temps (de deux à trois ans dans le cas de Stuxnet), rendant très difficile de les synchroniser au tempo d’une campagne militaire conventionnelle. D’autre part, à rebours des scénarios catastrophes fréquemment agités, les cyberopérations produisent rarement des effets concrets dans la durée : les cyberattaques russes de 2015 et 2016 contre le réseau électrique ukrainien, par exemple, n’avaient alors permis de perturber l’alimentation que quelques heures durant. Qui plus est, la gestion de ces deux contraintes donnerait essentiellement lieu à un cercle vicieux : plus une cyberattaque doit produire d’importants effets, plus sa conception sera longue, moins il y a de chances de pouvoir la déployer au moment opportun dans une guerre par définition effrénée.

Pour ces raisons notamment, le rôle du cyber sur la scène internationale se cantonnerait essentiellement au sabotage, à l’espionnage et à la subversion, et se déploierait dans l’univers de l’action indirecte et clandestine plutôt que dans le cadre de conflits armés, a fortiori de haute intensité. En conséquence, estiment Nadiya Kostyuk et Erik Gartzke, les moyens cyber ont et continuent sans surprise de jouer un rôle largement auxiliaire dans le conflit ukrainien : renseignement, guerre informationnelle et action de démoralisation, notamment. Rien qui ne s’approche d’un quelconque effet de « choc et stupeur ».

Théorie 3 : l’immaturité

Une troisième théorie, enfin, se focalise moins sur la nature des moyens cyber que sur les structures chargées de les employer. Elle postule en substance que les appareils militaires qui doivent s’en servir, les bureaucraties qui les gèrent, et les décideurs politiques qui en guident le développement et l’usage seraient à ce stade encore peu rompus aux réalités et potentialités du cyber. À la manière de l’aviation au début du 20e siècle (toutes proportions gardées), le cyber ne serait pas tant un outil condamné à l’impotence militaire qu’une arme immature en attente des bonnes innovations, technologiques certes, mais surtout organisationnelles et doctrinales. Ainsi, la relative insignifiance du cyber dans le conflit ukrainien démontrerait surtout la difficulté des appareils de défense contemporains à l’intégrer comme il se doit.

Dans un univers oscillant entre complexité technique et imaginaire de science-fiction, on observe par exemple un fossé persistant entre ce que décideurs politiques et militaires comprennent et attendent du cyber, et ce que les spécialistes et opérateurs du domaine savent voire aiment faire (les fameuses routines organisationnelles). Ces incompréhensions récurrentes entre la tête et les bras des appareils cyber resteraient un facteur significatif de frictions, de dysfonctionnements internes et de décisions suboptimales dans l’emploi de ces outils.

Sur le plan organisationnel toujours, une particularité distingue le cyber des autres domaines d’emploi de la force : pour l’heure, c’est bien souvent dans les agences de renseignement, le plus souvent civiles, que résident le gros de l’expertise et des ressources cybernétiques (NSA aux États-Unis, GCHQ au Royaume-Uni, par exemple). Sans surprise, ceci implique que l’essentiel des savoir-faire et pratiques cyber des États continuent de se structurer autour des impératifs géopolitiques de temps de paix. Des auteurs comme Benjamin Jensen et J.D. Work suggèrent que devoir mettre subitement ces ressources au service d’une force combattante représente un défi de taille, encore mal maîtrisé.

De telles dynamiques d’immaturité opérationnelle peuvent contribuer à expliquer l’inefficacité du cyber dans le conflit ukrainien (comme l’évoquait Anthony Namor dans une autre publication sur ce site). Il ne serait pas surprenant, par exemple, qu’une armée russe qui n’a guère brillé par sa maîtrise du combat interarmes classique n’ait pas davantage su coordonner efficacement l’emploi de ses moyens cyber. Il faut aussi envisager que l’appareil du renseignement russe, connu pour la féroce compétition entre ses branches et leur tendance à « pirater en vases clos », ait échoué à produire les synergies nécessaires à appuyer une entreprise de cette ampleur. Ceci étant, la théorie de l’immaturité suggère que la piètre utilisation d’un outil par un acteur donné dans un contexte précis ne laisse pas forcément présager du mérite de l’outil lui-même.

Des pièces manquantes au puzzle

D’autres théories, d’ordre plus circonstanciel, ont été avancées pour expliquer la relative insignifiance du cyber en Ukraine. L’assistance offerte à Kiev par différents pays et acteurs du secteur privé en matière de cyberdéfense aurait par exemple permis de couper l’herbe sous le pied des pirates russes. Ces derniers auraient, selon d’autres, commis de sérieuses erreurs tactiques en révélant leur jeu trop tôt. Peut-être l’appareil militaire russe, attaché à de vieilles façons de faire ou croyant que l’invasion serait facile, n’aurait-il tout simplement pas jugé bon de déployer les grands moyens sur le plan cyber.

Dans ce qui reste indubitablement un débat loin d’être conclu, toutes les théories qui précèdent ont leurs mérites et leurs faiblesses, et chacune nous fournit sans doute – une fois les nuances d’usage appliquées – quelques pièces pour assembler le puzzle. À ce stade, quels premiers enseignements peut-on tirer du conflit ukrainien quant aux usages militaires du cyber ? Et quelles questions importantes restent en suspens ? Au moins trois autres pièces manquantes doivent probablement attirer notre attention.

  • Évaluer l’efficacité d’une action exige de connaître minimalement les intentions qui l’ont guidée. Or, le cyber est un domaine dans lequel il nous est encore souvent difficile d’identifier les buts précis poursuivis à travers une opération. Rappelons par exemple qu’à ce jour, les experts ne s’accordent toujours pas sur les motivations exactes du piratage du réseau électrique ukrainien de 2015 (intimidation ? expérimentation ? signalling?). Si la théorie de l’invisibilité stipule que nous ne savons pas toujours bien ce que les États font dans le cyberespace, soulignons que nous savons encore moins souvent pourquoi, selon quelle logique, ils le font. La faiblesse du cyber dans le conflit en Ukraine reflète-t-elle des ambitions russes mesurées, une volonté assumée d’expérimentation, ou un authentique échec d’exécution ? La réponse n’est pas claire, et cette ambiguïté contraint nombre de nos réflexions.
  • La théorie de l’impotence pose en creux la question de l’intégration et de la place du cyber dans l’économie des forces. Ayant pour principal avantage leur caractère furtif et clandestin, les cyberopérations perdraient l’essentiel de leur plus-value en situation de guerre ouverte : une fois les masques tombés, il est plus efficace de bombarder une centrale électrique que de recourir à un piratage complexe aux effets de courte durée. Cette conclusion est-elle sans appel, ou peut-on lui trouver des nuances et des exceptions ? Le cas échéant, dans quelles conditions l’emploi du cyber deviendrait-il militairement profitable ? Le cas ukrainien suggère par exemple que le cyber peut servir à neutraliser temporairement, plutôt que détruire, des infrastructures jugées précieuses une fois une opération achevée. Toutefois, nous ne disposons pas encore d’une métrique bien établie permettant d’en délibérer.
  • Une troisième leçon importante, enfin, se rapporte à un des grands postulats des théories de la cyberstratégie. Des autorités ukrainiennes au Cyber Command américain en passant par Microsoft, de nombreuses voix ont insisté ces derniers mois sur leurs efforts, et plus encore leurs succès, à parer les cyberattaques lancées par Moscou. Si l’on admet que la Russie a bel et bien tenté de mener des cyberopérations importantes en Ukraine et y a échoué, doit-on continuer à considérer l’offensive comme structurellement dominante dans le domaine cyber ? Ou, au contraire, en déduire qu’il est finalement possible de s’y défendre efficacement ? Suivant les réponses qu’on apporte à ces questions, diverses idées actuellement établies en matière de cyberdéfense pourraient être à réexaminer (par exemple vis-à-vis de l’inextricable quête d’une « cyberdissuasion »).

On le voit, si la guerre met les peuples et les armées à rude épreuve, nos théories et réflexions sur l’emploi de la force ne sont pas en reste. À l’égard du cyber plus encore que d’autres domaines, nous commençons à en savoir un peu, mais ignorons encore beaucoup. Pour l’heure, en Ukraine et au-delà, le cyber reste donc une sorte de spectre planant au-dessus des conflits armés, encore trop élusif pour être adéquatement jaugé, mais trop inquiétant pour être ignoré.

 

Crédits photo : Air Force Maj. Jason Rossi

Auteurs en code morse

Alexis Rapin

Alexis Rapin (@alexis_rapin) est chercheur en résidence à la Chaire Raoul-Dandurand en études stratégiques et diplomatiques de l’Université du Québec à Montréal. Il s’intéresse notamment aux transformations de la conflictualité, à la cyberdéfense ou encore à l’essor des stratégies de désinformation.