Source : european-security.com – Par le général de division (2s) Jean-Marc Wasielewski * – L’emploi de la Cyber-électronique en Ukraine

Cet article, initialement publié dans son integralité le 14 février 2023, est rediffusé ici en quatre parties avec l’accord de European-security.com.  

 

2. De l’emploi de la cyberguerre

[Si] l’emploi des armes cyber-électroniques a densifié le brouillard de la guerre hybride que mènent les armées russes en Ukraine depuis un an, il n’a pas été aussi épais qu’elles l’auraient souhaité. En effet, s’il est possible d’analyser les conséquences des diverses cyber-actions menées avant le déclenchement des hostilités, il est difficile d’en mesurer leur efficacité réelle depuis le début de l’offensive – tant pour la destruction d’objectifs que pour la qualité de leur appui d’ensemble.

« Bien que la cyberguerre ait été une partie importante et âprement disputée d’un conflit qui a servi de terrain d’essai pour cette forme de bataille encore inédite, elle ne semble pas avoir été l’application tueuse, pour ainsi dire, que certains attendaient. »[8]

« Nous militaires, tendons à attribuer à la cyberguerre un rôle majeur dans les conflits du futur. Or, dans ce conflit-là, le cyber n’a pas tout fait, malgré la domination russe initiale. Quand la poudre parle, la lutte informatique offensive trouve ses limites. Dans la phase préparatoire de la guerre comme dans sa phase intensive, les actions de sabotage cyber ont été atténuées au profit d’une guerre classique bien plus létale, cinétique et brutale. On peut être tenté de développer une vision un peu romantique selon laquelle tout se fera à l’avenir dans un monde virtuel, mais la réalité est qu’il est nécessaire de prendre en compte tous les aspects d’un conflit. »[9]

Plusieurs explications sont données à ce qui apparaît comme une contre-performance des forces armées russes.[10]

          a) La surestimation des capacités des armées russes  (…)

En 2017, Nicolas Mazzuchi s’interrogeait déjà sur le potentiel réel de la Russie dans le domaine cyber : « Comment ce pays qui semblait, il y a peu, loin du niveau des Etats-Unis et de la Chine serait-il devenu en quelques années le principal cyber agresseur mondial ? Cette vision d’un éveil du cyber-ours russe, utilisant le Net pour mener des actions à visée géopolitique, doit être mise en balance avec la réalité des potentiels techniques et économiques nationaux autant qu’avec les visées stratégiques d’un pays dont les priorités demeurent orientées vers son « étranger proche (…) »

Et plus loin :

« Les hackers russes apparaissaient, avant 2013-2014, comme étant d’un bon niveau, mais incapables d’atteindre la masse critique nécessaire à la formation d’un bloc unifié et organisé, brique de base d’une force cyber respectable. Que s’est-il donc passé en l’espace de quelques années pour arriver à un tel renversement, suscitant des craintes parfois exagérées pendant les élections présidentielles américaines et françaises ou au moment du référendum britannique sur le Brexit ? »[11]

« La plupart des attaques (2022) ont été attribuées par des sources ukrainiennes et occidentales à des entités gouvernementales russes – principalement le GRU, le service de renseignement militaire russe, qui a l’habitude de recourir à des cyberattaques perturbatrices. Dans quelques cas, des groupes mandataires (tels que le principal groupe de ransomware Conti) ont également été impliqués, et il a été signalé qu’un groupe de pirates brésiliens soutenant la Russie a attaqué des universités ukrainiennes. Tous ces initiatives de piratage, qu’elles soient le fait du GRU ou non, semblent avoir été mal coordonnées avec les actions militaires russes en Ukraine.»[12]

« Certains espions occidentaux disent donc que la guerre révèle le gouffre qu’il existe entre la compétence américaine et russe dans les cyber-opérations de haut niveau contre le matériel militaire. Mais d’autres avertissent qu’il est trop tôt pour tirer des conclusions catégoriques. La cyber-campagne de la Russie a peut-être été limitée moins par son incapacité que par l’orgueil démesuré qui a également affecté ses forces armées conventionnelles. »[13]

Ainsi la Russie aurait pêché à la fois par orgueil et par excès d’optimisme en ses compétences, ce qui l’aurait amené à sous-évaluer les capacités de résistance de son adversaire et, partant, à négliger la planification d’un plan élaboré de cyber-attaques d’envergure, vorace en temps de préparation et en mobilisation de ressources.

La conduite et la coordination d’actions tactiques combinées sur terre et dans le cyberespace se révèle être particulièrement complexe, notamment lorsqu’il y a friction.

« Faire coïncider la vitesse des lignes d’opérations dans le cyberespace avec celle du terrain est une gageure. Or, dans le plan russe, la foudroyance de l’action conventionnelle – quelques jours pour faire tomber Kiev – devait permettre aux forces terrestres de capitaliser sur les effets générés dans le cyberespace. Ainsi, au 24 février, les principaux objectifs géographiques russes voient leur degré de connectivité baisser. C’est également à ce moment que le malware/wiper AcidRain paralyse les modems du réseau de communication satellitaire Viasat, utilisé notamment par les armées ukrainiennes. Cependant, la lenteur de la progression terrestre ne permettra pas de capitaliser convenablement sur cet avantage et permettra aux forces ukrainiennes de trouver des solutions palliatives, de rétablir une connectivité suffisante et d’empêcher le black-out. »[14]

« Les responsables américains, européens et ukrainiens affirment tous qu’il existe de nombreux exemples de cyber-attaques russes synchronisées avec des attaques physiques, ce qui suggère un certain degré de coordination entre les deux secteurs. Mais il y a aussi eu des maladresses. Dans certains cas, les frappes cinétiques ont mis hors service les mêmes réseaux que les cyber-forces russes tentaient d’infecter – obligeant paradoxalement les Ukrainiens à revenir à des moyens de communication plus sûrs.»[15]

« L’incapacité (jusqu’à présent) à perturber les opérations, la logistique et les communications ukrainiennes reflète probablement la nature désordonnée de la planification russe, des prévisions erronées sur l’accueil que recevraient leurs troupes et la force des cyberdéfenses ukrainiennes.»[16]

La même remarque s’applique aux actions de guerre électronique offensive, certes efficaces contre les drones ukrainiens et les smartphones, mais pour lesquelles on a pu observer de nombreux cas de brouillages fratricides (dans les deux camps d’ailleurs) du fait de l’imbrication d’unités fortement numérisées, que ce soit avec du matériel militaire ou civil, et dépendantes du même spectre électromagnétique.

« Alors que les troupes russes auraient également utilisé des téléphones portables et même volé des cartes SIM, ce qui signifie que les Russes sont probablement dépendants de l’infrastructure de communication ukrainienne, donc qu’ils ne disposent pas de leurs propres moyens de communication résilients ou redondants.

Par conséquent, une autre explication possible est que les Russes n’utilisent pas de brouilleurs pour ne pas perturber leurs communications sur le champ de bataille, car même si le brouillage peut être efficace contre les communications ennemies, il peut également interférer avec les communications amies s’il n’est pas effectué correctement, ce qui indique que les forces russes n’ont pas de tactiques appropriées pour mener la guerre dans le domaine du spectre électromagnétique qui nécessite une gestion rigoureuse.

Cela a été observé non seulement pour les réseaux de communication, mais aussi pour les signaux de navigation par satellite où les forces armées russes ont été confrontés à un « fratricide électronique » à cause de leurs actions de brouillage[17]

Cette observation vaut pour les équipements de GE [ndlr : guerre électronique], dont sont dotés certains aéronefs.

« (…) Le fratricide est un problème systémique russe. Par exemple, le pod GE Khibiny, monté sur un certain nombre d’avions russes, détecte automatiquement les radars et les perturbe. Malheureusement pour eux, il a tendance à faire de même avec les autres avions. Les tandems d’avions d’attaque russes équipés de ce système ont donc dû choisir entre un radar fonctionnel et une protection contre la GE. Ils ont souvent reçu l’ordre de donner la priorité à leur radar. (…) »[18]

Par ailleurs les écoutes et la localisation font peser une menace permanente.

« Les écoutes électroniques étaient omniprésentes sur la ligne de front au Donbass, et les unités ukrainiennes et séparatistes/russes utilisaient les équipements appropriés. Les talkies-walkies, les téléphones portables et même les stations de radio étaient surveillés, et les chefs avaient tendance à discuter des questions importantes en personne lorsque cela était possible. »[19]

« Les communications russes étaient insuffisamment sécurisées (…) Alors que les forces spéciales russes avaient accès à des équipements de communication tactiques sophistiqués utilisant un système de chiffrement performant (à en juger par les opérations précédentes en Ukraine), ces équipements étaient en nombre insuffisant pour les autres unités lors de cette invasion. Certaines unités russes ont employé des équipements chinois de grande diffusion insuffisamment sécurisés. D’autres se sont appuyées sur l’infrastructure civile. Cette dépendance crée deux difficultés majeures. Premièrement, lorsque les Russes ont détruit l’infrastructure de télécommunications ukrainienne, par inadvertance ou intentionnellement, cela a entravé leurs propres communications. Deuxièmement, le fait de s’appuyer sur le système de communication d’un adversaire a pour conséquence de faciliter les écoutes. Nombreux sont ceux qui supposent que l’une des raisons du taux élevé de pertes parmi les officiers supérieurs russes était que les moyens de communication qu’ils utilisaient permettaient de les localiser.»[20]

Enfin, des cyber-attaques majeures auraient pu avoir pour effet de neutraliser des infrastructures ou de détruire des bases de données que les Russes pensaient pouvoir utiliser à brève échéance.

« Les responsables occidentaux affirment que la Russie n’a pas réussi à planifier et à lancer des cyberattaques hautement destructrices sur les réseaux électriques, l’énergie et les transports, non pas parce qu’elle en était incapable, mais parce qu’elle supposait qu’elle occuperait bientôt l’Ukraine et prendrait possession de ces infrastructures. Pourquoi détruire ce dont vous aurez bientôt besoin ? Lorsque la guerre s’est prolongée, la Russie a dû s’adapter. Mais les cyber-armes ne sont pas comme les armes physiques qu’il suffit de réorienter vers une autre cible et les réapprovisionner en munitions. Elles doivent au contraire être adaptées à chaque cible.»[21]

En décembre 2022, Jon Bateman tirait les leçons suivantes des opérations de cyberguerre russes :

  • « Les « feux » cybernétiques russes (attaques perturbatrices ou destructrices) ont sans doute appuyé modestement les opérations au début de l’invasion, mais depuis, ils n’ont infligé que des dommages négligeables aux cibles ukrainiennes.
  • Les cyber-feux n’ont rien ajouté de significatif à la puissance de feu cinétique de la Russie, ni rempli des missions distinctes de celles des armes cinétiques. Plutôt que de jouer un rôle spécifique, de nombreux cyber-feux russes ont visé les mêmes catégories de systèmes ukrainiens que les armes cinétiques, à savoir les infrastructures de communication, d’énergie et de transport. Pour presque toutes ces catégories de cibles, les feux cinétiques semblent avoir causé des dommages bien supérieurs.
  • La collecte de renseignements – et non les feux – a probablement été le principal objectif des cyber-opérations russes, mais cela n’a pas non plus donné beaucoup d’avantages militaires.
  • Si de nombreux facteurs ont limité l’efficacité cybernétique de Moscou, les plus importants sont peut-être l’insuffisance de la capacité cybernétique russe, les faiblesses des institutions non cybernétiques de la Russie et les efforts défensifs exceptionnels de l’Ukraine et de ses partenaires. »[22]

   

          b. L’efficacité de la défense cybernétique ukrainienne

« Réputée pour ses formations d’ingénieurs, l’Ukraine était devenue ces dernières décennies l’une des places fortes de l’informatique offshore mondiale. Certains y voyaient la capitale européenne du métier, rebaptisée « near-shore » compte tenu de la proximité culturelle et horaire avec les clients finaux. (…) Le pays emploie des dizaines de milliers d’informaticiens pour le compte d’entreprises de services elles-mêmes mandatées par des groupes comme Deutsch Bank, IBM ou l’opérateur télécoms international Lebara. »[23]

L’invasion de 2014 et la qualité des cyber-attaques russes avaient conduit l’Ukraine à renforcer la protection de ses systèmes informatiques, à développer des plans de sauvegarde des données en développant le cloud computing et en généralisant dispersion des données sensibles, en particulier hors des frontières.

Entre 2014 et 2022, l’Ukraine a mis en place une solide politique en matière de cyberdéfense. « L’Ukraine a publié une stratégie nationale de cybersécurité en 2016 et a défini un degré de redondance et de résilience pour les données et a généralisé l’utilisation du chiffrement avant l’invasion. Elle a mis en œuvre certaines mesures élémentaires de cyber « hygiène » après 2015. La cyber-hygiène avant une attaque est importante, mais l’élément primordial de la défense est la capacité d’identifier et de réagir rapidement.»

« L’Ukraine (avec une assistance extérieure) a entrepris de surveiller en temps réel les réseaux et systèmes critiques afin de détecter rapidement les intrusions, puis d’agir sans tarder pour les contrer (…) L’Ukraine aurait fait appel à des tierces parties pour héberger certaines données et services en dehors des limites géographiques du conflit. Cela n’a fait que compliquer et contraindre la planification russe.»[24]

Les services ukrainiens ont joué le rôle principal dans la défense, mais les seuls moyens nationaux ne seraient pas parvenus à contenir les 4.500 cyber-attaques dont ils ont été victimes.[25]

L’Ukraine disposait d’un réseau de partenaires (gouvernements et entreprises) qui ont pu fournir une formation et une assistance, y compris la surveillance à distance et les moyens pour réduire les conséquences des attaques, avant et après l’invasion.

« L’arrivée des Américains chargés de détecter d’éventuels logiciels prépositionnés a été capitale au cours des semaines précédant le conflit. En deux semaines, leur mission est devenue l’un des plus grands déploiements du Cyber Command américain, mobilisant plus de quarante personnes des services armés américains. Ils étaient aux premières loges lorsque la Russie a intensifié ses opérations dans le cyberespace, en janvier, éprouvant les systèmes ukrainiens de façon inédite. Ces équipes se sont engagées dans une mission de hunting forward, qui consiste à arpenter les réseaux informatiques des partenaires à la recherche de signes de prépositionnement.»[26]

Les entreprises de la tech ont fourni une aide précieuse. Une action collective mêlant national et étranger, gouvernemental et privé, a donné à l’Ukraine un avantage en matière de surveillance et de réaction rapide pour bloquer les attaques et réparer ou éliminer les vulnérabilités.

L’aide occidentale a également été cruciale. En prélude à la guerre, l’OTAN a notamment renforcé sa coopération avec l’Ukraine en lui donnant accès à sa bibliothèque de cybermenaces, un répertoire de logiciels malveillants connus. La Grande-Bretagne a fourni un soutien de 6 millions de livres (7,3 millions de dollars), y compris des pare-feu pour bloquer les attaques et des moyens d’analyse technique des intrusions. La coopération était réciproque. « Il est probable que les Ukrainiens ont enseigné aux États-Unis et au Royaume-Uni plus de choses sur les cyber-tactiques russes qu’ils n’en ont appris d’eux », note Marcus Willett, ancien responsable des questions de cybercriminalité au sein du Government Communications Headquarters (GCHQ). La capacité de résilience de l’Ukraine a paradoxalement été confortée par la nature primitive de nombre de ses systèmes de contrôle industriel, hérités de l’époque soviétique et non encore modernisés.

Les entreprises privées de cybersécurité ont également joué un rôle de premier plan. M. Zhora (chef de l’agence ukrainienne de cyber-sécurité défensive) considère que Microsoft et ESET, une entreprise slovaque, occupent une place de premier plan en raison de leur forte présence sur les réseaux ukrainiens et de la « télémétrie », ou données réseau, qu’elles y collectent.

Microsoft affirme que l’intelligence artificielle, qui analyse les codes plus rapidement qu’un être humain, a facilité la détection des attaques. Le 3 novembre, Brad Smith, le président de Microsoft, a annoncé que sa firme étendrait gratuitement son assistance technique à l’Ukraine jusqu’à la fin de 2023. Cette promesse a porté à plus de 400 millions de dollars le soutien apporté par Microsoft à l’Ukraine depuis février.»[27]

 

—-

Notes et références

[8] Lessons from Russia’s cyber war in Ukraine, The Economist, 30 novembre 2022.

[9] Général Bonnemaison, op. cit.

[10] The surprising ineffectiveness of Russia’s cyber-war, Podcast sur la science et la technologie diffusé par The Economist qui s’interroge : « pourquoi la cyber-campagne contre l’Ukraine semble être tombée à plat et nous nous demandons si les prouesses numériques de la Russie ont été surestimées », 6 décembre 2022.

[11] Nicolas Mazzuchi, « La Russie et le cyberespace, mythes et réalités d’une stratégie d’Etat » in Revue Défense Nationale N° 802, été 2017.

[12] James A. Lewis, Cyber war and Ukraine, Center for Strategic and International Studies (CSIS), Juin 2022.

[13] The Economist, op. cit.

[14] Aspirant Pierre Vallée, in La Note du Centre d’Études Stratégiques Aérospatiales (CESA), 06/2022.

[15] The Economist, op. cit.

[16] James A. Lewis, op. cit.

[17] https://www.businessinsider.com/(null)/russian-ew-campaign-in-ukraine-undermined-by-electronic-?IR=T

[18] Royal United Services Institute (RUSI), Preliminary lessons in conventional warfighting from Russia’s invasion of Ukraine : (février-juillet 2022) par Mykhaylo Zabrodskyi, Dr Jack Watling, Oleksandr V Danylyuk et Nick Reynolds, 30 novembre 2022.

[19] Roman Horbyk, The war phone mobile communication on the frontline in Eastern Ukraine, in Digital War, 21 octobre 2022.

[20] James A. Lewis, op. cit.

[21] The Economist, op. cit.

[22] Jon Bateman, Russia’s wartime cyber operations in Ukraine : military impacts, influences, and implications, Carnegie Endowment for International Peace, Decembre 2022.

[23] L’étonnant flegme des développeurs informatiques ukrainiens, Les Échos, 8 mars 2022.

[24] James A. Lewis, op. cit.

[25] Guerre en Ukraine : les cyber-attaquants, l’autre armée de Vladimir Poutine, La Tribune, 27 décembre 2022.

[26] Audition du général Bonnemaison, op. cit.

[27] The Economist, op. cit.

 

Voir l’article en entier >>> https://european-security.com/lemploi-de-la-cyber-electronique-en-ukraine/ 

Et sa version anglaise >>>  :  The Use of Cyber Electronics in Ukraine, 15 February 2023 >>> https://european-security.com/the-use-of-cyber-electronics-in-ukraine/

Photo © « Kropyva » (« Nettles ») Ukrainian digital tool for fire support — Photo SOS Army, telle que publiée dans >>> https://european-security.com/lemploi-de-la-cyber-electronique-en-ukraine/