Comment peut-on définir exactement les cyberattaques ?
C’est une question à laquelle il n’est pas si simplede répondre que l’on pourraitle croire, tant les représentations peuventdifférer d’un milieu à un autre. Dans la conception qui nous est familière enEurope de l’Ouest, une attaque cybernétique porte essentiellement sur deséléments techniques : une intrusion sur un système, une attaque par déni deservice pour rendre un site web inaccessible ou l’infection d’un réseau par unrançongiciel sont autant d’incidents que nous semble recouvrir cetteexpression. Cependant, si l’on regarde du côté de l’Europe de l’Est, enparticulier dans les pays de l’espace post-soviétique, la définition peut êtrebeaucoup plus large et comprendre les opérations de désinformation etd’influence en ligne. Cela s’explique par la conception du cyberespace que l’ona dans cette région. En russe, langue encore très répandue dans les anciennesrépubliques soviétiques, on parle plus volontiers d’espace informationnel. Il ya donc une opposition entre une définition du cyberespace basée sur lecontenant et une autre sur le contenu, qui impacte nécessairement la définitionde ce qu’est une cyberattaque.
Par ailleurs, certaines sources parlent decyberattaque dès qu’une action est entreprise à l’encontre d’un réseau à l’insude ses administrateurs, tandis que d’autres font la distinction entre attaquescybernétiques, qui ont généralement des effets bien visibles et sur le courtterme, et l’espionnage cybernétique, pour lequel les actions sont discrètes etont des visées à long terme. Cette opposition est intéressante car, en dehorsdu cyberespace, une agression militaire et une action d’espionnage n’appellentpas le même type de réponses. C’est la raison pour laquelle il peut être pluspertinent de parler d’actions cybernétiques actives, expression qui permet à lafois de recouvrir ces deux réalités et d’opérer la distinction lorsquenécessaire.
À partir de quand peut-on parler de cyberattaque russe?
Là encore, les avis divergent d’un pays à l’autre etd’un secteur à l’autre. L’attribution formelle d’une cyberattaque est quelquechose d’extrêmement difficile, sinon impossible, d’un point de vue technique.Pour reprendre une métaphore souvent utilisée dans les pays anglophones, onpeut avoir la détonation, la fumée du canon, les douilles et la victime, maisil manque toujours l’arme du crime. Les firmes de cybersécurité s’appuient surdes faisceaux d’indices qui permettent de déterminer qu’une attaque a de trèsgrandes chances de provenir de tel ou tel groupe, mais il n’y a jamais decertitude absolue, et certains éléments pouvant être découverts des années plustard viennent parfois remettre en cause les conclusions. L’attribution est donctrès souvent un acte politique, et il est donc plus fréquent d’en voir de lapart de représentants du gouvernement que des experts techniques.
Les différents États ont tous une politiqued’attribution différente. En France, on est en général très prudent sur laquestion, là où les États-Unis sont beaucoup plus partisans d’une approche deshame and blame. Et si l’on regarde du côté de la Chine, c’est encore différent: Beijing s’entend tout simplement avec Moscou pour éviter de parlerpubliquement de ce genre d’incidents lorsque l’un attaque l’autre. À celas’ajoute le fait que la Russie brouille les frontières entre actions étatiqueset non-étatiques. Beaucoup d’experts de ce pays décrivent un système danslequel on constate une certaine porosité entre organismes gouvernementaux etmonde criminel, et le domaine cyber n’y fait pas exception. On a en plus decela des acteurs « patriotes » qui peuvent chercher à plaire au Kremlin pourobtenir ses faveurs, ce dont l’État russe est parfaitement conscient etprofite. Il est donc réellement difficile de déterminer avec précision si unecyberattaque provient des organes gouvernementaux russes ou non, ce quiconstitue un autre avantage pour l’État puisqu’il peut aisément nier touteresponsabilité sans forcément mentir. C’est ce qu’on appelle le déni plausible.
Cependant, depuis l’arrivée de Joe Biden à laprésidence des États-Unis, on constate une évolution dans la manière deconsidérer les « cyberattaques russes». Étant donné que le pays se garde biend’engager des poursuites contre les cybercriminels russophones ne s’attaquantpas à ses intérêts, de plus en plus d’États affirment ouvertement que Moscouest responsable pour toute attaque commise depuis son territoire, même cellesrelevant de la cybercriminalité. Cela permet une meilleure prise en compte decet écosystème complexe dans lequel de nombreux acteurs évoluent en dehors dela chaîne de commandement, parfois même sans volonté d’aider spécifiquementl’État russe, mais dont les actions bénéficient globalement à celui-ci. Endéfinitive, l’expression « cyberattaque russe » est peu pertinente tant ellerenvoie à des réalités différentes sans en refléter aucune. En plus de tout ceque l’on a évoqué, il y manque aussi la rivalité qui existe entre lesdifférents services de renseignement russes qui, si l’on a des exemples decoopération, travaillent parfois en totale contradiction.
Quelles cyberattaques russes l’Europe a-t-elle subi ?
Les exemples sont très nombreux et se complexifientavec le temps. En 2007, il y a eu la vague d’attaques par déni de servicecontre l’Estonie, qui a rendu plusieurs sites gouvernementaux et financiersinaccessibles pendant une période prolongée. Cette attaque a d’ailleurs étérevendiquée par le groupe « Nashi » («Les Nôtres »), qui faisait justementpartie de ces acteurs cherchant les faveurs du pouvoir en entreprenait des actionsde sa propre initiative avant la dissolution du mouvement. L’année suivante, laGéorgie a subi le même type d’attaques en marge du conflit armé en Ossétie duSud, menées cette fois depuis des infrastructures connues pour appartenir à ungroupe cybercriminel. Il y a aussi l’exemple de l’Ukraine, qui a subi descampagnes beaucoup plus sophistiquées, notamment contre son réseau électrique.
Ces attaques purement techniques ne représentent toutefois pas la majorité des actions cybernétiques russes. Rappelons-le encore unefois, pour les Russes, le cyberespace est avant tout un espace informationnel.Beaucoup d’attaques ne sont ainsi qu’un élément parmi d’autres d’une campagneplus vaste poursuivant un objectif d’influence. On peut citer les opérations dehack and leak, qui consistent à voler des données pour les mettre en ligne etembarrasser un adversaire, mais aussi les fuites manipulées, qui reposent surle même principe mais dont une partie des données volées sont, au préalable,modifiées avant d’être révélées. Le cas des Macron Leaks en 2017, qui devaitpersuader les Français qu’Emmanuel Macron s’était rendu coupable d’actesillégaux pendant sa campagne, en est un exemple d’autant plus emblématiquequ’il n’a pas du tout fonctionné. L’équipe d’En marche !, prévenue des attaquesmenées à son encontre, avait volontairement fait circuler de faux e-mails et defaux mots depasse sur son réseau pour déjouer l’opération. La période desilence médiatique avant le vote, prévu par la loi française, a de plus complètementenrayé la diffusion de la fuite.
Enfin, on peut aussi citer l’emploi de l’image de lacyberattaque en tant qu’objet informationnel. Une illustration concrète a eulieu au début de la crise du COVID-19 : l’Agence européenne du médicament asubi un piratage et des données sur les vaccins ont été consultés. On a trèsvite vu fleurir des narratifs en ligne selon lesquels l’absence de réactiondevait être un signe que l’on cherchait à étouffer l’affaire et que leslaboratoires avaient quelque chose à cacher. Or, il s’est avéré que les piratesn’avaient rien consulté d’autre que les données sur les pays ayant commandé lesvaccins AstraZeneca et Pfizer, et que celles ayant une portée médicale avaientcomplètement été ignorées.
À quelles attaques peut-on s’attendre à l’avenir ?
À en juger par les évolutions constatées par lesfirmes de cybersécurité et la nature des campagnes russes les plus récentes, ily a fort à parier que les attaques futures vont devenir de plus en plussophistiquées et viser avant tout l’esprit des populations. On parle là autantdes Européens que des Russes, car une partie des opérations de l’État russe apour objectif de se légitimer auprès de sa population, notamment en luiinculquant une représentation selon laquelle l’Occident serait en train de sedégrader et de se désagréger en cherchant à l’entraîner dans sa chute. L’Étatrusse serait ainsi le seul rempart face aux attaques visant la destruction del’identité et des valeurs de son peuple. Celles-ci prendraient la forme de « falsificationsde l’Histoire », d’opérations d’influence pernicieuses menées par les « agentsde l’étranger » (statut légal octroyé de plus en plus fréquemment aux opposantspolitiques et aux médias indépendants), et de cyberattaques menées à l’aide del’intelligence artificielle pour créer des vidéos de « fausses fraudes » lorsdes élections en Russie.
Ainsi, les cyberattaques russes du futur vontcertainement suivre la direction que prend déjà le groupe baptisé Ghostwriterdécouvert en 2020. Ses premières opérations connues ont consisté à pirater desmédias réels pour ajouter de faux articles sur leurs sites. De manièregénérale, les opérations russes devraient ainsi se concentrer sur une diffusionméthodique d’informations volontairement orientées ou erronées de telle manièrequ’il devienne impossible de les distinguer des informations authentiques. Cetype d’attaques est d’autant plus dangereux sur le long terme qu’elles floutentla frontière entre réalité et mensonge. À force de confronter une population à desinformations fausses et contradictoires, elles attisent sa méfiance envers sesreprésentants, ses médias et globalement toute source d’information. Cela peutamener certains à se retirer complètement du processus démocratique, puisqu’ilsne savent plus qui croire ni quoi penser, et envenimer artificiellement desconflits qui occupent alors un espace surdimensionné dans le débat public etpeuvent déboucher sur des oppositions violentes. Cette déstabilisation de lasociété constitue d’ailleurs un objectif assumé de l’armée russe lors de sesconflits.
Peut-on tirer un parallèle entre les agissementsrusses et hongrois ?
Il s’agit d’un parallèle délicat, même si l’on peuteffectivement constater une convergence de méthodes. Victor Orbán ne cache plusl’admiration qu’il a pour Vladimir Poutine, ce qui est ironique quand onconnaît les positions qu’il revendiquait à son sujet au début du millénaire. Etquand on regarde les lois qui sont adoptées en Hongrie, on ne peut queremarquer une certaine similitude avec des lois russes, par exemple pour le casde la loi anti-LGBT dont l’objectif officiel est la « protection de l’enfance», un élément souvent invoqué en Russie pour faire passer des loisliberticides. L’emprise du Fidesz sur les médias nationaux n’est également passans rappeler la situation des médias russes.
Le gouvernement hongrois n’en est toutefois pas encorearrivé au même point que le gouvernement russe. Ses intérêts sont différents,et même s’il défie de plus en plus régulièrement l’autorité de Bruxelles, ilcontinue néanmoins de faire partie de l’Union européenne et en retire certainsavantages. De plus, même s’il est de nos jours communément admis que tous lesÉtats disposent de leurs propres capacités cybernétiques, les capacités de cesdeux États sont très différentes, et il n’y a pour l’instant aucunecyberattaque hongroise qui serait comparable aux opérations cybernétiquesrusses, même si l’Union européenne a déjà émis des inquiétudes quant à unepossible campagne d’espionnage cybernétique en provenance de Budapest. À cestade, il est probable que la Russie ne serve d’inspiration que pour unensemble limité de domaines. La Hongrie semble notamment adhérer au modèle desouveraineté nationale promu par Moscou à l’internationale, et l’on peut donc émettrel’hypothèse d’une imitation de la législation introduite en Russie autour de lasouveraineté numérique.
EuropaNova 