Connexion
Abonnez-vous

La cyberguerre n’a pas eu lieu (1/2)

Les experts ont un peu trop biaisé

La cyberguerre n’a pas eu lieu (1/2)

Le 17 juin 2022 à 15h25

L'invasion de l'Ukraine par la Russie a remis sur le devant de la scène la question de la cyberguerre. Afin de bien juger ce qui est en train de se passer, il faut regarder en arrière et tordre le cou à certaines croyances. 

On nous a pourtant juré que la cyberguerre était déjà commencée, que nous étions entrés dans l’ère des guerres hybrides où devaient se mêler opérations militaires classiques et opérations cyber, que les Russes allaient attaquer nos infrastructures vitales et que, si ce n’est pas le cas, ça ne saurait tarder.

Or autant il est difficile de voir autre chose qu’une guerre militaire conventionnelle sur le terrain, autant le volet cyber est resté dans l’ombre avec des opérations qui, si elles sont fréquentes et continues, n’ont pas réussi à donner d’avantage stratégique à la Russie dans son affrontement avec l’Ukraine.

L’avancement de cette guerre, avec déjà plus de 100 jours d’un conflit meurtrier, nous permet de tirer quelques premiers enseignements sur le volet cyber. Plusieurs chercheurs se sont également interrogés sur la faiblesse des impacts stratégiques des attaques cyber, au point d’émettre l’hypothèse (argumentée) que les cyberguerres n’auront pas lieu de sitôt.

En effet, pour qu’une attaque (quel qu’en soit le type) puisse avoir un impact stratégique, il faut qu’elle soit suffisamment rapide et intense, mais également contrôlable, et il semble qu’aujourd’hui ce « trilemme » soit difficilement réalisable via une cyberattaque.

Annexion de la Crimée

Tentons de retracer les événements depuis l’annexion de la Crimée en 2014, du point de vue cyber. Plusieurs attaques d’importance ont été lancées par la Russie à la suite de cette invasion, dans le but évident de perturber le système économique ukrainien.

Reprenons la chronologie établie par le Center for Security Studies (CSS) de l’École Polytechnique Fédérale de Zürich, dans son document Goodbye Cyberwar: Ukraine as Reality Check, de Lennart Maschmeyer et Myriam Dunn Cavelty :

Cyberguerre Ukraine Russie
Crédits : Goodbye Cyberwar: Ukraine as Reality Check

Finalement, il n’y a eu que peu d’impacts en dehors de NotPetya, qui a touché de grosses entreprises comme le transporteur maritime danois Maersk, le laboratoire américain Merck, Saint Gobain et même le pétrolier russe Rosneft. Et là on voit poindre un premier problème pour les attaquants : il est difficile de contenir le périmètre d’une attaque cyber, quand bien même dans le cas de NotPetya les systèmes visés étaient explicitement des systèmes ukrainiens.

Le calme avant la tempête

Étonnamment, depuis 2017, aucune opération d’envergure n’a été entreprise, bien qu’il ne soit pas possible de savoir ce qui a motivé cet arrêt. Il y a bien sûr toujours eu des cyberattaques durant cette période, mais rien qui ne sorte des attaques classiques.

Ensuite, début 2022, il y a eu une série d’opérations qui semblaient préparatoires, en attente de l’assaut (cyber) principal, mais rien n’a finalement été constaté qui ne sorte de l’ordinaire.

On attendait la première cyberguerre mondiale, mais nous n’avons enregistré que des attaques classiques, produisant dégâts, désorganisation et jeu d’influence, mais pas de conséquences de niveau stratégique (à savoir de nature à changer le rapport des forces sur le terrain), à l’inverse de l’assaut militaire dévastateur. 

Cyberguerre Ukraine Russie
Crédits : Goodbye Cyberwar: Ukraine as Reality Check

Un peu trop de biais

En premier lieu, on connaissait mal la puissance de feu cyber de la Russie. On l’a sans doute surestimée, même si elle est réelle. Certains observateurs pensaient même que la Russie n’avait pas besoin d’envahir militairement l’Ukraine car il lui suffisait de la cyberattaquer pour arriver à ses objectifs.

Par ailleurs, on a souvent tenu pour acquis des idées qui s’avèrent à nuancer. Le chercheur Julien Nocetti en énonce quatre :

  • Le biais de la vulnérabilité qui serait fatalement exploitée dans un conflit. Or l’existence ou la découverte d’une vulnérabilité ne dit rien sur les attaquants potentiels, ni sur le moment où elle sera utilisée, ni même si elle sera utilisable au moment du conflit.
    Les grandes puissances disposent certainement de failles zero day ou d’implants prêts à être activés sur demande, mais dans ces deux cas, plus le temps passe et plus la probabilité d’une correction et de neutralisation augmente. La fenêtre de tir reste incertaine et difficilement prévisible.
  • Le biais du succès, qui est la croyance qu’il suffit de réussir l’attaque pour que l’objectif soit atteint. Or il ne suffit pas de compromettre un système, il faut ensuite œuvrer pour arriver à ses objectifs (effacer les fichiers, perturber le fonctionnement, etc.).
    Or, on voit que sur les grandes opérations attribuées à la Russie, presque aucune n’a abouti à des dégâts importants, malgré la réussite des intrusions et de l’exploitation (avérée) des failles.
  • Le biais de commodité, à savoir qu’il suffit d’appuyer sur un bouton pour que tout fonctionne. Ce qui est vrai pour un missile n’est pas vrai pour une cyberattaque !
    D’une part, il faut en général un grand temps de préparation pour une attaque d’ampleur (le projet ayant abouti à Stuxnet a duré plus de 3 ans), et d’autre part l’activation n’est pas certaine et n’aura pas lieu au moment où on appuie sur le bouton mais à partir du moment où on appuie sur le bouton, ce qui est fondamentalement différent.
    Le temps d’exécution ou d’infiltration n’est pas immédiat, surtout s’il faut exploiter une erreur humaine.
  • Le biais du « cheap and easy », lié à la croyance qu’une attaque informatique est simple, peu chère, et facile à mettre en œuvre. Il suffit de reprendre l’exemple de Stuxnet pour la complexité et la durée de préparation nécessaires. Et en ce qui concerne la facilité, NotPetya ou Viasat sont de bons exemples de la difficulté à maîtriser le périmètre et les impacts, au point que cela se retourne parfois contre l’attaquant.

Encore un coup du marketing ?

Le marketing a survendu le terme de cyberguerre, qui a été utilisé à tort et à travers pour un peu toutes les attaques liées ou sponsorisées par des gouvernements. À l’inverse de l’invasion de l’Ukraine, qualifiée par la Russie « d’opérations militaires spéciales » alors qu’il s’agit bel et bien d’une guerre conventionnelle, en matière de cyber il faudrait inverser les termes et parler d’opérations cybermilitaires spéciales au lieu de cyberguerre.

Or, on voit qu’une véritable cyberguerre est peu probable, en raison des incertitudes liées à sa mise en œuvre et à la complexité des opérations. En revanche, des attaques continues, importantes, ciblées et destructrices continueront d’avoir lieu, comme aujourd’hui, avec de réels impacts en termes d’image, et une certaine efficacité pour l’espionnage et la subversion, mais sans atteindre un niveau stratégique, avec une efficacité plus importante en mode opportuniste.

Alors ce sera une guerre hybride ?

Là encore, on peut douter au vu des résultats obtenus par les Russes depuis l’invasion en Ukraine : il est beaucoup plus efficace de bombarder une centrale électrique que de la pirater. C’est également plus facilement planifiable et avec une efficacité plus certaine. L’attaque de centrales électriques en 2022 avec les mêmes malwares qu’en 2016 a vite été déjouée.

Il faut aussi constater que la riposte cyber est plus accessible qu’une riposte militaire : l’Ukraine s’attendait à des attaques cyber depuis l’invasion de la Crimée, et a pu atténuer les dégâts des différentes attaques par une résilience préparée de longue date, avec une part très importante des sauvegardes, en revenant aux fondamentaux de l’informatique, finalement.

Commentaires (22)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Les attaques cyber sont un peu comme l’utilisation des gaz de combat. Si le vent tourne, ça se retourne contre vous.

votre avatar

Le biais de commodité, à savoir qu’il suffit d’appuyer sur un bouton pour que tout fonctionne. Ce qui est vrai pour un missile n’est pas vrai pour une cyberattaque !


C’est tout sauf vrai pour le missile (sauf si vous voulez l’envoyer n’importe où, “tactique” dans laquelle excellent les Russes).

votre avatar

quand on voit les dégâts, on se demande à quoi, peut bien, leur servir
leurs systèmes de visées ?
puisse qu’il tirent à l’aveuglette, je détruit tout (aucune tactique) !



*ça revient à écraser un moustique avec un marteau :reflechis:

votre avatar

Ca s’appelle “le cliché du (soviéto)russe brutasse sans cervelle qui appuie sur la gâchette selon ses bas instincts”, cela date depuis au moins la série des Rambo qui a popularisé voire surtout qui a construit ces clichés… :fumer:

votre avatar

(j’imagine les cours, pour les officiers.supérieurs, à l’École de Guerre russe)




  • tirez 60 000 obus par jour..ET envoyez l’Infanterie terminer le travail
    commencé par l’Artillerie, et basta !



  • ’ la tactique est simple…y-en-a pas’ !!! :langue:


votre avatar

(sauf si vous voulez l’envoyer n’importe où, “tactique” dans laquelle excellent les Russes)



C’est quoi cette phrase ? Personne n’envoit un missile n’importe où, ça n’existe pas

votre avatar

Le missile est l’élément le plus indépendant de Russie, les Russes l’envoient vers une cible mais ensuite il va où il veut…

votre avatar

Le missile est l le seul qui soit, vraiment, indépendant en “Russie”..



:francais:

votre avatar

Oui, du coup, il avait raison de reprendre l’article. Il ne suffit pas d’appuyer sur un bouton pour envoyer un missile. Il faut un minimum de préparation, comme pour les cyberattaques.



(A moins de vouloir taper n’importe où…)

votre avatar

Merci pr cet article de qualité 👍



Je ne sais pas s’il y a plus marketé que le domaine de la cybersécurité dans l’info ? En tout cas je trouve que c’est vraiment dans cette branche qu’on retrouve le plus d’imposteur. C’est dommage mais c’est tellement de bullshit et de gens qui croient vivre dans un film… . Et les profils vraiment qualifiés sont plus rares que les marketeux et les vendeurs de rêve dans ce domaine.



Si cet article peut remettre un peu les pendules à l’heure chez certains c’est pas un mal 🙄

votre avatar

On nous a pourtant juré


Je vais lire l’article parce que cela m’intéresse, mais, Mr Gebarowski, je fais une overdose de cette tournure de phrase. Cette manière si facile de prendre le contre-pied d’une idée reçu et sembler accuser tout les autres de la soutenir — bien qu’ici uniquement utilisé dans une pirouette introductive — est une paresse journalistique : Des gens spécifiques qualifient ces activités de cyberguerre, probablement des professionnels de la sécurité, des politiciens et des journalistes de la presses spécialisés. Honnêtement, je ne le sais pas, mais clairement je ne lis pas partout que nous sommes en cyberguerre. La presse high-tech américaine est même d’ailleurs business as usual et partages de bons plans sponsorisé comme nous le connaissons bien ces 20 dernières années, ainsi que des anecdotes a prêter le sourire vis-à-vis des conséquences inattendues sur les marchés techs de la guerre en Ukraine et des tensions de productions en Chine.



La cyberguerre est difficile a comprendre, à décrire, et globalement, c’est en fait l’inverse qui est difficile : Comment qualifier tout les actes malveillants, le piratage, les marchés noirs — qu’ils soient autonomes, milicien, militaire, financés par des états ou des entités privées, motivés par des enjeux géopolitiques ou stratégiques ; ainsi que les défenses qui se mettent en place pour protéger les entreprises et particuliers (NXI est bien derrière Cloudflare?) : Est-ce une guerre au sens premier ou une guerre au sens figuré (comme la guerre économique qui fait des morts de personnes morales)?



Et bien, je vais lâchement ne pas développer et m’en retourner lire votre article, ça donnera des raisons pour qu’on me tape sur les doigts. Bon weekend!

votre avatar

« Nous sommes en cyberguerrepropagande !! »

votre avatar

Très intéressant ! Je ne peux m’empêcher d’imaginer qu’il peut y avoir un « autre » monde, caché, secret, dans lequel une vraie cyber guerre, puissante et potentiellement destructrice a lieu en ce moment même. Il n’y a peut-être pas d’avancée significative pour le moment et c’est peut-être pour cela qu’on n’en entend pas parler, mais ce que nous pensons être finalement une successions de petites batailles est peut-être vécu comme une vraie guerre par des « cyber soldats » qui nous sont invisibles.
Ou je dis n’importe quoi et tout va bien dans le meilleur des mondes 🤣

votre avatar

Delqvs a dit:


(sauf si vous voulez l’envoyer n’importe où, “tactique” dans laquelle excellent les Russes)



C’est quoi cette phrase ? Personne n’envoit un missile n’importe où, ça n’existe pas


Soit le missile a un système de guidage au point, auquel cas il tape à qql mètres de sa cible, soit il a un système de guidage aux fraises, et les appuis au tir sont quasi inexistants (cas russe actuel) et il va tomber bcp plus loin de sa cible (pas à des kilomètres, mais entre 3-4 mètres de précision et 50 mètres, ça limite bien l’impact tactique des tirs).

votre avatar

Je ne suis pas tout à fait d’accord avec l’article, les attaques power grid de 2015 et 2016 était une répétition générale pour les Russes, heureusement que les Ukrainiens ont mis en oeuvre des moyens pour contrer ce genre d’attaque ce qui a empêché l’attaque d’avril 2022 d’être efficace.



De plus il me semble que le renseignement US a aussi contribué à prévenir les attaques russes.

votre avatar

PidH a dit:


Les attaques cyber sont un peu comme l’utilisation des gaz de combat. Si le vent tourne, ça se retourne contre vous.


Les rales d’agonies des mourant en moins…

votre avatar

Joto a dit:


Ca s’appelle “le cliché du (soviéto)russe brutasse sans cervelle qui appuie sur la gâchette selon ses bas instincts”, cela date depuis au moins la série des Rambo qui a popularisé voire surtout qui a construit ces clichés… :fumer:


Cela n’a rien à avoir avec avoir de la cervelle ou pas, c’est une tactique de guerre que la Russie a toujours utilisé.

votre avatar

Donc tu es un fasciste. CQFD.
En plus, ton avatar le montre.

votre avatar

Les points stratégiques sont probablement équipé de brouilleur de missile. Mais ça, ceux qui lançent des missiles, ne le savent pas avant de le lancer. Et une fois que le machin est en l’air et que le système de visée est désactivée, et bien il atterit là ou personne ne le voulait.



Ce n’est pas la même situation que lorsque les V2s étaient utilisée comme outil de terrorisme sur Londres, me semble-t-il.

votre avatar

La partie 2 est prévue pour quand ? J’aimerais bien lire les deux parties d’une traite :jesquate:

votre avatar

(reply:2078717:xouboudou) C’est prévu dès que je sors la tête de l’eau
:fumer:


votre avatar

C’est mieux de prendre le temps de respirer :)

La cyberguerre n’a pas eu lieu (1/2)

  • Annexion de la Crimée

  • Le calme avant la tempête

  • Un peu trop de biais

  • Encore un coup du marketing ?

  • Alors ce sera une guerre hybride ?

Fermer