La cyberguerre n’a pas eu lieu (1/2)
Les experts ont un peu trop biaisé
Le 17 juin 2022 à 15h25
7 min
Internet
Internet
L'invasion de l'Ukraine par la Russie a remis sur le devant de la scène la question de la cyberguerre. Afin de bien juger ce qui est en train de se passer, il faut regarder en arrière et tordre le cou à certaines croyances.
On nous a pourtant juré que la cyberguerre était déjà commencée, que nous étions entrés dans l’ère des guerres hybrides où devaient se mêler opérations militaires classiques et opérations cyber, que les Russes allaient attaquer nos infrastructures vitales et que, si ce n’est pas le cas, ça ne saurait tarder.
Or autant il est difficile de voir autre chose qu’une guerre militaire conventionnelle sur le terrain, autant le volet cyber est resté dans l’ombre avec des opérations qui, si elles sont fréquentes et continues, n’ont pas réussi à donner d’avantage stratégique à la Russie dans son affrontement avec l’Ukraine.
L’avancement de cette guerre, avec déjà plus de 100 jours d’un conflit meurtrier, nous permet de tirer quelques premiers enseignements sur le volet cyber. Plusieurs chercheurs se sont également interrogés sur la faiblesse des impacts stratégiques des attaques cyber, au point d’émettre l’hypothèse (argumentée) que les cyberguerres n’auront pas lieu de sitôt.
En effet, pour qu’une attaque (quel qu’en soit le type) puisse avoir un impact stratégique, il faut qu’elle soit suffisamment rapide et intense, mais également contrôlable, et il semble qu’aujourd’hui ce « trilemme » soit difficilement réalisable via une cyberattaque.
Annexion de la Crimée
Tentons de retracer les événements depuis l’annexion de la Crimée en 2014, du point de vue cyber. Plusieurs attaques d’importance ont été lancées par la Russie à la suite de cette invasion, dans le but évident de perturber le système économique ukrainien.
Reprenons la chronologie établie par le Center for Security Studies (CSS) de l’École Polytechnique Fédérale de Zürich, dans son document Goodbye Cyberwar: Ukraine as Reality Check, de Lennart Maschmeyer et Myriam Dunn Cavelty :
Crédits : Goodbye Cyberwar: Ukraine as Reality Check
Finalement, il n’y a eu que peu d’impacts en dehors de NotPetya, qui a touché de grosses entreprises comme le transporteur maritime danois Maersk, le laboratoire américain Merck, Saint Gobain et même le pétrolier russe Rosneft. Et là on voit poindre un premier problème pour les attaquants : il est difficile de contenir le périmètre d’une attaque cyber, quand bien même dans le cas de NotPetya les systèmes visés étaient explicitement des systèmes ukrainiens.
Le calme avant la tempête
Étonnamment, depuis 2017, aucune opération d’envergure n’a été entreprise, bien qu’il ne soit pas possible de savoir ce qui a motivé cet arrêt. Il y a bien sûr toujours eu des cyberattaques durant cette période, mais rien qui ne sorte des attaques classiques.
Ensuite, début 2022, il y a eu une série d’opérations qui semblaient préparatoires, en attente de l’assaut (cyber) principal, mais rien n’a finalement été constaté qui ne sorte de l’ordinaire.
On attendait la première cyberguerre mondiale, mais nous n’avons enregistré que des attaques classiques, produisant dégâts, désorganisation et jeu d’influence, mais pas de conséquences de niveau stratégique (à savoir de nature à changer le rapport des forces sur le terrain), à l’inverse de l’assaut militaire dévastateur.
Crédits : Goodbye Cyberwar: Ukraine as Reality Check
Un peu trop de biais
En premier lieu, on connaissait mal la puissance de feu cyber de la Russie. On l’a sans doute surestimée, même si elle est réelle. Certains observateurs pensaient même que la Russie n’avait pas besoin d’envahir militairement l’Ukraine car il lui suffisait de la cyberattaquer pour arriver à ses objectifs.
Par ailleurs, on a souvent tenu pour acquis des idées qui s’avèrent à nuancer. Le chercheur Julien Nocetti en énonce quatre :
- Le biais de la vulnérabilité qui serait fatalement exploitée dans un conflit. Or l’existence ou la découverte d’une vulnérabilité ne dit rien sur les attaquants potentiels, ni sur le moment où elle sera utilisée, ni même si elle sera utilisable au moment du conflit.
Les grandes puissances disposent certainement de failles zero day ou d’implants prêts à être activés sur demande, mais dans ces deux cas, plus le temps passe et plus la probabilité d’une correction et de neutralisation augmente. La fenêtre de tir reste incertaine et difficilement prévisible. - Le biais du succès, qui est la croyance qu’il suffit de réussir l’attaque pour que l’objectif soit atteint. Or il ne suffit pas de compromettre un système, il faut ensuite œuvrer pour arriver à ses objectifs (effacer les fichiers, perturber le fonctionnement, etc.).
Or, on voit que sur les grandes opérations attribuées à la Russie, presque aucune n’a abouti à des dégâts importants, malgré la réussite des intrusions et de l’exploitation (avérée) des failles. - Le biais de commodité, à savoir qu’il suffit d’appuyer sur un bouton pour que tout fonctionne. Ce qui est vrai pour un missile n’est pas vrai pour une cyberattaque !
D’une part, il faut en général un grand temps de préparation pour une attaque d’ampleur (le projet ayant abouti à Stuxnet a duré plus de 3 ans), et d’autre part l’activation n’est pas certaine et n’aura pas lieu au moment où on appuie sur le bouton mais à partir du moment où on appuie sur le bouton, ce qui est fondamentalement différent.
Le temps d’exécution ou d’infiltration n’est pas immédiat, surtout s’il faut exploiter une erreur humaine. - Le biais du « cheap and easy », lié à la croyance qu’une attaque informatique est simple, peu chère, et facile à mettre en œuvre. Il suffit de reprendre l’exemple de Stuxnet pour la complexité et la durée de préparation nécessaires. Et en ce qui concerne la facilité, NotPetya ou Viasat sont de bons exemples de la difficulté à maîtriser le périmètre et les impacts, au point que cela se retourne parfois contre l’attaquant.
Encore un coup du marketing ?
Le marketing a survendu le terme de cyberguerre, qui a été utilisé à tort et à travers pour un peu toutes les attaques liées ou sponsorisées par des gouvernements. À l’inverse de l’invasion de l’Ukraine, qualifiée par la Russie « d’opérations militaires spéciales » alors qu’il s’agit bel et bien d’une guerre conventionnelle, en matière de cyber il faudrait inverser les termes et parler d’opérations cybermilitaires spéciales au lieu de cyberguerre.
Or, on voit qu’une véritable cyberguerre est peu probable, en raison des incertitudes liées à sa mise en œuvre et à la complexité des opérations. En revanche, des attaques continues, importantes, ciblées et destructrices continueront d’avoir lieu, comme aujourd’hui, avec de réels impacts en termes d’image, et une certaine efficacité pour l’espionnage et la subversion, mais sans atteindre un niveau stratégique, avec une efficacité plus importante en mode opportuniste.
Alors ce sera une guerre hybride ?
Là encore, on peut douter au vu des résultats obtenus par les Russes depuis l’invasion en Ukraine : il est beaucoup plus efficace de bombarder une centrale électrique que de la pirater. C’est également plus facilement planifiable et avec une efficacité plus certaine. L’attaque de centrales électriques en 2022 avec les mêmes malwares qu’en 2016 a vite été déjouée.
Il faut aussi constater que la riposte cyber est plus accessible qu’une riposte militaire : l’Ukraine s’attendait à des attaques cyber depuis l’invasion de la Crimée, et a pu atténuer les dégâts des différentes attaques par une résilience préparée de longue date, avec une part très importante des sauvegardes, en revenant aux fondamentaux de l’informatique, finalement.
La cyberguerre n’a pas eu lieu (1/2)
-
Annexion de la Crimée
-
Le calme avant la tempête
-
Un peu trop de biais
-
Encore un coup du marketing ?
-
Alors ce sera une guerre hybride ?
Commentaires (22)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/06/2022 à 17h03
Les attaques cyber sont un peu comme l’utilisation des gaz de combat. Si le vent tourne, ça se retourne contre vous.
Le 17/06/2022 à 17h29
C’est tout sauf vrai pour le missile (sauf si vous voulez l’envoyer n’importe où, “tactique” dans laquelle excellent les Russes).
Le 19/06/2022 à 08h45
quand on voit les dégâts, on se demande à quoi, peut bien, leur servir
leurs systèmes de visées ?
puisse qu’il tirent à l’aveuglette, je détruit tout (aucune tactique) !
*ça revient à écraser un moustique avec un marteau
Le 19/06/2022 à 20h57
Ca s’appelle “le cliché du (soviéto)russe brutasse sans cervelle qui appuie sur la gâchette selon ses bas instincts”, cela date depuis au moins la série des Rambo qui a popularisé voire surtout qui a construit ces clichés…
Le 20/06/2022 à 07h39
(j’imagine les cours, pour les officiers.supérieurs, à l’École de Guerre russe)
tirez 60 000 obus par jour..ET envoyez l’Infanterie terminer le travail
commencé par l’Artillerie, et basta !
’ la tactique est simple…y-en-a pas’ !!!
Le 19/06/2022 à 16h04
(sauf si vous voulez l’envoyer n’importe où, “tactique” dans laquelle excellent les Russes)
C’est quoi cette phrase ? Personne n’envoit un missile n’importe où, ça n’existe pas
Le 20/06/2022 à 07h21
Le missile est l’élément le plus indépendant de Russie, les Russes l’envoient vers une cible mais ensuite il va où il veut…
Le 20/06/2022 à 07h47
Le 20/06/2022 à 14h11
Oui, du coup, il avait raison de reprendre l’article. Il ne suffit pas d’appuyer sur un bouton pour envoyer un missile. Il faut un minimum de préparation, comme pour les cyberattaques.
(A moins de vouloir taper n’importe où…)
Le 17/06/2022 à 19h49
Merci pr cet article de qualité 👍
Je ne sais pas s’il y a plus marketé que le domaine de la cybersécurité dans l’info ? En tout cas je trouve que c’est vraiment dans cette branche qu’on retrouve le plus d’imposteur. C’est dommage mais c’est tellement de bullshit et de gens qui croient vivre dans un film… . Et les profils vraiment qualifiés sont plus rares que les marketeux et les vendeurs de rêve dans ce domaine.
Si cet article peut remettre un peu les pendules à l’heure chez certains c’est pas un mal 🙄
Le 17/06/2022 à 22h51
Je vais lire l’article parce que cela m’intéresse, mais, Mr Gebarowski, je fais une overdose de cette tournure de phrase. Cette manière si facile de prendre le contre-pied d’une idée reçu et sembler accuser tout les autres de la soutenir — bien qu’ici uniquement utilisé dans une pirouette introductive — est une paresse journalistique : Des gens spécifiques qualifient ces activités de cyberguerre, probablement des professionnels de la sécurité, des politiciens et des journalistes de la presses spécialisés. Honnêtement, je ne le sais pas, mais clairement je ne lis pas partout que nous sommes en cyberguerre. La presse high-tech américaine est même d’ailleurs business as usual et partages de bons plans sponsorisé comme nous le connaissons bien ces 20 dernières années, ainsi que des anecdotes a prêter le sourire vis-à-vis des conséquences inattendues sur les marchés techs de la guerre en Ukraine et des tensions de productions en Chine.
La cyberguerre est difficile a comprendre, à décrire, et globalement, c’est en fait l’inverse qui est difficile : Comment qualifier tout les actes malveillants, le piratage, les marchés noirs — qu’ils soient autonomes, milicien, militaire, financés par des états ou des entités privées, motivés par des enjeux géopolitiques ou stratégiques ; ainsi que les défenses qui se mettent en place pour protéger les entreprises et particuliers (NXI est bien derrière Cloudflare?) : Est-ce une guerre au sens premier ou une guerre au sens figuré (comme la guerre économique qui fait des morts de personnes morales)?
Et bien, je vais lâchement ne pas développer et m’en retourner lire votre article, ça donnera des raisons pour qu’on me tape sur les doigts. Bon weekend!
Le 18/06/2022 à 06h21
« Nous sommes en cyber
guerrepropagande !! »Le 19/06/2022 à 06h45
Très intéressant ! Je ne peux m’empêcher d’imaginer qu’il peut y avoir un « autre » monde, caché, secret, dans lequel une vraie cyber guerre, puissante et potentiellement destructrice a lieu en ce moment même. Il n’y a peut-être pas d’avancée significative pour le moment et c’est peut-être pour cela qu’on n’en entend pas parler, mais ce que nous pensons être finalement une successions de petites batailles est peut-être vécu comme une vraie guerre par des « cyber soldats » qui nous sont invisibles.
Ou je dis n’importe quoi et tout va bien dans le meilleur des mondes 🤣
Le 20/06/2022 à 07h22
Soit le missile a un système de guidage au point, auquel cas il tape à qql mètres de sa cible, soit il a un système de guidage aux fraises, et les appuis au tir sont quasi inexistants (cas russe actuel) et il va tomber bcp plus loin de sa cible (pas à des kilomètres, mais entre 3-4 mètres de précision et 50 mètres, ça limite bien l’impact tactique des tirs).
Le 20/06/2022 à 13h53
Je ne suis pas tout à fait d’accord avec l’article, les attaques power grid de 2015 et 2016 était une répétition générale pour les Russes, heureusement que les Ukrainiens ont mis en oeuvre des moyens pour contrer ce genre d’attaque ce qui a empêché l’attaque d’avril 2022 d’être efficace.
De plus il me semble que le renseignement US a aussi contribué à prévenir les attaques russes.
Le 21/06/2022 à 06h35
Les rales d’agonies des mourant en moins…
Le 21/06/2022 à 13h22
Cela n’a rien à avoir avec avoir de la cervelle ou pas, c’est une tactique de guerre que la Russie a toujours utilisé.
Le 21/06/2022 à 17h18
Donc tu es un fasciste. CQFD.
En plus, ton avatar le montre.
Le 21/06/2022 à 16h38
Les points stratégiques sont probablement équipé de brouilleur de missile. Mais ça, ceux qui lançent des missiles, ne le savent pas avant de le lancer. Et une fois que le machin est en l’air et que le système de visée est désactivée, et bien il atterit là ou personne ne le voulait.
Ce n’est pas la même situation que lorsque les V2s étaient utilisée comme outil de terrorisme sur Londres, me semble-t-il.
Le 23/06/2022 à 11h46
La partie 2 est prévue pour quand ? J’aimerais bien lire les deux parties d’une traite
Le 23/06/2022 à 12h21
Le 23/06/2022 à 18h13
C’est mieux de prendre le temps de respirer :)