Close

L’affirmation de la cyber-puissance russe

Début 2020, la Géorgie a accusé le GRU, le service de renseignement militaire russe, d’être à l’origine de la cyberattaque massive qui a touché 15 000 sites Internet géorgiens, dont celui de la présidence, en octobre 2019. Les sites touchés ont été « défigurés » : ils affichaient une photo de l’ex-président géorgien Mikhaïl Saakachvili, inculpé pour corruption en 2013, accompagnée de l’inscription « I’ll be back »[1]. Fin 2019, un rapport publié par la société Check Point Software Technologies a par ailleurs affirmé que des entités soutenues par l’État russe auraient investi dans le développement d’importantes capacités de cyber-espionnage, ce qui, selon la société, « constitue[rait] un investissement sans précédent de la Russie dans le cyberespace offensif »[2].

Ces événements récents soulèvent des questions sur la stratégie qui sous-tend les actions russes dans le cyberespace et, surtout, sur l’implication de l’État dans ces opérations. La conduite d’opérations cyber et informationnelles s’inscrit en Russie dans une conception particulière du cyberespace et de la cybersécurité, qui s’appuie sur le continuum espace informationnel et cyberespace. Si la Russie est accusée de mener des opérations offensives, les textes et doctrines officiels ne font toutefois état que d’une stratégie défensive, ce qui lui permet de présenter ses activités dans le cyberespace comme des actions de défense de ses intérêts face à un Occident agressif. Depuis le début des années 2010, la Russie opère ainsi un virage vers la professionnalisation et la structuration de ces capacités.

La Russie « cyber-ennemi » numéro un ?

Si la Chine était l’agresseur le plus redouté dans le cyberespace dans les années 2000, un basculement s’est opéré à la fin de la décennie, portant la Russie au rang de « cyber-ennemi » numéro un. Depuis, la Russie est régulièrement mise en cause dans des cyberattaques massives et parfois spectaculaires.

La première cyberattaque de grande ampleur attribuée à la Russie est l’attaque massive contre l’Estonie en 2007, visant un grand nombre d’institutions publiques et privées, dont le gouvernement et les banques, et paralysant le pays pendant 48h. Bien qu’il n’y ait aucune preuve tangible de la participation de l’État russe à l’attaque, celle-ci servait ses orientations géopolitiques et politiques puisqu’elle est intervenue après la décision du gouvernement estonien de déboulonner le soldat de bronze de Tallinn, une statue dédiée aux libérateurs soviétiques de la Seconde guerre mondiale. Le second événement cyber majeur dans lequel la Russie a été mise en cause est la guerre en Géorgie en 2008. Plusieurs sites Internet gouvernementaux ont été rendu inaccessibles dès le début du conflit. Dans les deux cas, les cyberattaquants ont utilisé un botnet (réseau de machines infectées pouvant être utilisées pour des attaques informatiques), pour mener un grand nombre d’attaques DDoS (déni de service), paralysant complètement l’accès aux sites attaqués. Autres exemples emblématiques, une cyberattaque similaire menée en 2014 contre l’Ukraine pendant l’annexion de la Crimée ou encore la cyberattaque contre la Géorgie en 2020.

Pirates, mercenaires, soutenus ou non par Moscou… l’origine des cyberattaques dont la Russie est soupçonnée est floue, bien que les motivations soient souvent ouvertement nationalistes (affirmation du nationalisme russe) et font pencher pour un soutien de l’État à ces opérations. Les cyberattaques contre l’Estonie, la Géorgie et l’Ukraine sont caractéristiques d’opérations défendant les intérêts russes dans les anciennes Républiques soviétiques et pouvant avoir été soutenues par l’État.

Plusieurs d’entre elles ont d’ailleurs été explicitement attribuées à la Russie par des pays occidentaux, posture essentiellement politique puisque l’attribution « technique » est difficile. Le 30 juillet dernier (2020), l’Union européenne a même, pour la première fois, sanctionné quatre ressortissants russes ainsi que le GRU, accusés d’avoir participé et coordonné la cyberattaque ayant visé l’OIAC (Organisation pour l’interdiction des armes chimiques) en 2018, deux cyberattaques survenues à l’encontre du réseau électrique ukrainien en 2015 et 2016, ou encore la cyberattaque du Bundestag allemand en 2015. Il s’agit de mesures restrictives à l’encore de ces individus et entités, comprenant l’interdiction de pénétrer sur le territoire de l’UE, un gel des avoirs, et l’interdiction faite aux personnes et entités de l’UE de mettre des fonds à leur disposition.

Les opérations cyber, outils de la guerre de l’information

Au cours des dernières années, la conceptualisation de la guerre en Russie a peu à peu évolué pour intégrer des moyens non militaires à côté des moyens armés traditionnels. Preuve en est l’importance croissante que la doctrine russe accorde au concept de « guerre de l’information », de plus en plus souvent présentée comme faisant partie intégrante des conflits modernes. La doctrine ne fait toutefois aucune mention des capacités cyber-offensives de la Russie, dont la posture officielle dans le cyberespace est purement défensive.

La stratégie russe sous-tendant les cyberattaques s’appuie sur la vision russe d’un continuum entre cyberespace et espace informationnel, qui constituent deux domaines poreux qui s’entremêlent : la cybersécurité est en effet perçue comme une notion occidentale, tandis que le terme dédié en russe est « sécurité de l’information » (informatsionnaya bezopastnost). Dans la Information Security Doctrine russe de 2016, le terme « cyber » n’est d’ailleurs jamais utilisé – même dans la version anglaise –, tout comme « cyberespace », auquel est préféré le terme « sphère informationnelle ».

La stratégie cyber russe est ainsi intrinsèquement liée à sa stratégie de guerre de l’information, et en est même une composante. On en retrouve des éléments explicits dans la Doctrine Gerasimov[3] de 2014 : il s’agit d’utiliser les techniques traditionnelles de subversion et de désinformation afin de désorganiser et de semer la confusion chez l’ennemi. La stratégie russe est dans ce domaine celle des vases communicants : les campagnes de désinformation menées par des trolls russes s’accompagnent souvent de cyberattaques, et vice-versa, comme cela a été le cas pendant l’élection présidentielle américaine de 2016. La Russie est en effet accusée d’avoir orchestrée une vaste campagne de désinformation (utilisation de faux comptes sur les réseaux sociaux, achat de publicités, etc.) et de cyberattaques (vol et publication d’emails de responsables démocrates) afin de perturber le scrutin.

Vers une utilisation offensive et assumée de l’arme cyber ?

Bien que la posture officielle de la Russie soit défensive, le rôle des « cyberarmes » offensives dans la vision russe du conflit est régulièrement analysé dans les revues militaires russes. Le rapport The Past, Present, and Future of Russia’s Cyber Strategy and Forces, publié par la RAND Corporation en 2020, fait le point sur les avantages que représentent les capacités offensives selon les écrits militaires théoriques russes[4] :

Des capacités polyvalentes :

  • Les opérations cyber offensives permettent d’infliger des dommages à l’adversaire en temps de paix et sans déclarer la guerre, depuis n’importe où, et en affaiblissant les capacités de défense de l’adversaire ;
  • En plus d’effets purement technologiques, les cyberattaques sont également en mesure de désorganiser les institutions étatiques et militaires, démoraliser la population et créer des mouvements de panique.

Des capacités efficaces :

  • Les opérations cyber offensives sont favorisées par le flou juridique en la matière sur le plan international (les cyberattaquants ne sont pas nécessairement poursuivis, et encore faut-il les identifier) ;
  • L’utilisation d’armes cyber offensives doit permettre d’atteindre la « suprématie informationnelle » sans pour autant avoir à traverser les frontières ou à établir une présence physique sur le territoire de l’adversaire ;
  • Les opérations cyber-offensives sont des actions asymétriques pouvant permettre à un État faible économiquement et technologiquement à neutraliser un adversaire beaucoup plus puissant ;
  • Plus le niveau d’automatisation des objets et des process cibles est élevé, plus les résultats d’une cyberattaque sont importants.

Des capacités abordables :

  • Les armes cyber offensives présentent un coût moindre pour des dommages comparables à ceux des armes traditionnelles : une étude menée en 2012 par des universitaires russes avait conclu que les infrastructures informatiques des États-Unis et de la Russie pouvaient être rendues totalement dysfonctionnelles par seulement 600 cyberattaquants entraînés pendant 2 ans pour un coût n’excédant pas $100 millions.

Le rapport de la RAND Corporation suggère que ces éléments, ainsi que des concepts tels que le « Defend forward » du Cyber Command américain (2018), pourraient inciter la Russie à s’aligner sur la stratégie américaine et à inclure un volet relatif à l’usage offensif des armes cyber dans son Information Security Doctrine. Toutefois, la posture officiellement défensive adoptée par la Russie présente l’avantage de lui permettre de nier toute responsabilité dans des cyberattaques offensives et d’utiliser le narratif d’une défense nécessaire face aux pays occidentaux agressifs.

La stratégie américaine « Defend Forward » (« arrêter la menace avant qu’elle n’atteigne sa cible ») a été conceptualisée par l’US Cyber Command en 2018 en réponse aux menaces cyber qui pèsent contre les États-Unis, notamment d’origine russes, chinoises, nord-coréennes et iraniennes.

Renforcement des capacités : monté en compétence et professionnalisation

Les acteurs et agences impliqués dans les cyberopérations russes ont évolué en même temps que la perception des menaces générées par les technologies de l’information. Dans The Past, Present, and Future of Russia’s Cyber Strategy and Forces, la RAND dresse une chronologie de la montée en puissance du rôle de l’État russe dans le recrutement des « cybercombattants » (pirates, trolls…) et dans la conduite des opérations cyber.

Au début des années 2000, le FSB (service fédéral de sécurité), principal successeur du KGB, recrutait des hackers et spécialistes indépendants pour mener des cyberattaques, ce qui lui a permis de contourner le manque de capital humain en la matière. La Russie souffre en effet depuis de nombreuses années d’une importante fuite des cerveaux, qui a conduit au manque de savoir-faire nécessaires au développement d’un écosystème numérique consistant. Cela explique entre autres la faiblesse de la Russie dans les domaines matériel et logiciel, ainsi que la nécessité de recourir à des mercenaires. A titre d’exemple, la cyberattaque emblématique contre l’Estonie en 2007 aurait été menée par un groupe hétérogène de pirates recrutés pour l’occasion et soutenus par l’État.

Dans les années 2000, la question d’un programme cyber militaire n’était pas à l’ordre du jour puisque les opérations menées discrètement par le FSB portaient leurs fruits. Un changement s’est opéré au début des années 2010, l’un des facteurs étant la création du Cyber Command de l’armée américaine en 2009, qui a commencé à creuser un fossé entre les ambitions et les capacités cybernétiques russes et américaines. En 2013, le ministre russe de la Défense, Sergueï Choïgou, a ainsi lancé une vaste campagne de recrutement de programmeurs afin de créer des « unités scientifiques militaires » (voennye nauchnye roty). La mission de ces unités est de faire progresser la recherche militaire en matière de cyberopérations et de guerre électronique. En 2014, une « force de cyber opérations » (voyska informatsionnykh operatsiy) a été créée et la doctrine militaire publiée la même année présentait le « développement des forces et des moyens de confrontation de l’information » comme une priorité pour la modernisation de l’armée russe. Le développement des capacités cyber-russes s’est donc structuré autour d’entités dédiées et de personnel recruté à cet effet.

Les 20 dernières années ont ainsi vu s’établir un nouvel équilibre dans le cyberespace avec l’affirmation de la cyber-puissance russe. La Russie assume aujourd’hui ses ambitions cybernétiques grâce à la structuration et à la militarisation progressive de ses capacités cyber aux côtés de ses capacités de guerre de l’information, qu’elle utilise souvent de concert. Si l’attribution des cyberattaques n’est pas certaine, il est évident que les opérations cyber imputées à la Russie servent aujourd’hui ses intérêts et renforcent la conflictualité entre la Russie, les États-Unis et la Chine dans le cyberespace.

 

[1] https://www.rfi.fr/fr/europe/20200220-géorgie-alliés-occidentaux-accusent-gru-russe-cyberattaque

[2] The Past, Present, and Future of Russia’s Cyber Strategy and Forces, RAND Corporation, 2020

[3] La Doctrine Gerasimov est un terme non officiel qui fait référence aux propos du général Valery Gerasimov, chef d’état-major des forces armées russes, dans lesquels il prône, en réponse à la « guerre hybride » américaine, une stratégie d’emploi coordonné des moyens de toute nature (psychologiques, informationnels, économiques, techniques, technologiques, militaires…).

[4] The Past, Present, and Future of Russia’s Cyber Strategy and Forces, RAND Corporation, 2020