Deux entités de l’administration états-uniennes, le commandement interarmées Cyber Command et la Cybersecurity and Infrastructure Security Agency (CISA), auraient cessé leurs cyberopérations contre la Russie, rapportions-nous dans un précédent article. Nous nous appuyions alors sur les révélations de trois médias : The Guardian, The Record et The Washington Post.

• [MàJ] États-Unis : le gouvernement nie suspendre ses opérations cyber contre la Russie

Mais ces deux derniers jours, les deux entités concernées, la CISA puis le Cyber Command (par la voix du ministère de la Défense des États-Unis) ont chacune nié avoir cessé leurs opérations contre la Russie. Selon Bloomberg, le Pentagone nie que son secrétaire de la Défense Pete Hegseth ait suspendu ou annulé les opérations du Cyber Command.

Lors de la première Présidence de Donald Trump, ses équipes avaient pris l’habitude de répandre de fausses informations, allant même jusqu’à qualifier leurs propres récits de « faits alternatifs », ou de qualifier les révélations journalistiques de « fausses » (« fake news ») pour les décrédibiliser. Pour comprendre les évolutions à l’œuvre dans ce cas précis, il est utile de se replonger dans l’ordre et le détail des faits rapportés.

Deux entités distinctes

L’article du Guardian relatif à la CISA a été publié vendredi 28 février, avant la conversation houleuse qui a opposé le président Volodymyr Zelensky à Donald Trump et J.D. Vance dans le bureau ovale. 90 minutes après cette première publication, The Record publiait ses propres informations au sujet du Cyber Command, bientôt suivi par le Washington Post et le New York Times.

Pris ensemble, ces différents récits semblent corroborer la thèse d’un revirement drastique de politique cyber des États-Unis vis-à-vis de la Russie. Mais la journaliste spécialiste des enjeux de cybersécurité Kim Zetter appelle à la prudence, parce que les deux entités concernées ont des missions bien différentes… mais aussi parce que le gouvernement de Trump a un intérêt à décrédibiliser les médias.

La CISA, rappelle-t-elle, a une mission domestique, purement défensive : comme son nom l’indique, elle gère la défense des infrastructures critiques aux États-Unis.

Le Cyber Command, en revanche, est une unité militaire qui réalise des missions de recherche et des opérations « à effet » (cyberattaques visant à dégrader, détruire ou perturber les systèmes de l’adversaire ou mise hors service d’infrastructures utilisées de manière malveillante contre les États-Unis ou ses alliés).

Mémo introuvable

Du côté de la CISA, The Guardian rapporte l’existence d’un mémo fournissant de nouvelles directives. Ce document définirait des priorités incluant « la Chine, et la protection des systèmes locaux », mais ne mentionnerait plus la Russie, jusqu'ici considérée comme l'une des menaces essentielles.

D’après une source du média britannique, les analystes de la CISA auraient par ailleurs été informés à l’oral de ne plus suivre ou rendre compte des menaces russes.

Quelques heures après la publication de ces informations, la CISA les a officiellement niées, sur X et auprès de divers médias. D’après l’agence, le mémo mentionné par the Guardian « ne vient pas du gouvernement Trump ».

Dans sa lettre personnelle, Kim Zetter indique entendre de sources différentes que le mémo existe, ou non. À défaut de preuves, difficile de trancher.

Négociations sur le conflit en Ukraine

Le Cyber Command, de son côté, agit différemment. Depuis le début de la guerre en Ukraine, la politique des États-Unis est de ne pas s’impliquer directement dans le conflit, ni d’opérer des actions susceptibles de faire réagir la Russie de telle manière que les États-Unis se retrouveraient entraînés dans le conflit.

En conséquence, le soutien fourni par le Cyber Command relève plus probablement de la collecte de renseignements, de la cartographie de systèmes, de la détection de vulnérabilités ou de toute autre activité permettant de préparer de futures opérations militaires.

En 2022, un ancien conseil auprès du Cyber Command expliquait à Kim Zetter que si, par exemple, le Cyber Command découvre les identifiants d’un administrateur russe d’un système utilisé pour des cyberattaques contre l’Ukraine, il peut changer le mot de passe pour en exclure l’administrateur. Il s’agirait de « disruption », mais « vous n’auriez commis aucun dommage sur le système ».

Selon The Record, le ministre de la Défense Pete Hegseth aurait ordonné au Cyber Command de mettre sur pause toutes les activités de planifications relatives à la Russie. Le Washington Post a ensuite ajouté que les opérations en cours avaient été mises en pause, mais pas celles de planification. Cette pause n’est censée durer que le temps des négociations en cours avec la Russie.

Auprès du média, l’ancien commandant adjoint Charlie « Tuna » Moore précise : « c’est plutôt courant de mettre sur pause tout ce qui pourrait faire dérailler les discussions ». Auprès de Kim Zetter, l’ancien membre du Cyber Command Jason Kikta qualifie la suspension d’opérations de procédure « pas exactement standard, mais plutôt fréquente ».

La suspension de la planification d’opérations, elle, lui semblerait plus « hors norme ». Pour quelques jours, celle-ci ne serait pas un problème, mais les suspendre pour quelques semaines, en revanche, est plus « risqué ». Comme les réseaux et les logiciels utilisés changent régulièrement et quelquefois brusquement, cesser un monitoring régulier fait courir le risque aux soldats américains de se voir expulsés des réseaux russes.

Le 3 mars, Donald Trump a ordonné la suspension de toute assistance militaire à l’Ukraine.