Et voilà comment un an de guerre en Ukraine a radicalement bouleversé l’univers des cybermenaces

Atlantico : Un an après l'invasion de l'Ukraine par la Russie, Google à travers les recherches de Mandiant mais aussi Sekoia.IO, fournissent un aperçu précis des changements survenus dans le paysage des cybermenaces engendrés par la guerre. Quels sont les principaux changements évoqués ?

Franck DeCloquement : Pour rappel, Mandiant est une entreprise américaine de cybersécurité, très proche des autorités du pays, dont le siège social est situé en Virginie. Elle est en outre une filiale de Google rachetée par la multinationale de la Tech, moyennant 5,4 milliards de dollars. Mais elle continue cependant d’opérer sous sa propre marque (ses solutions vont aussi être intégrées dans l’offre Google Cloud). Fondée en 2004, la société Mandiant est spécialisée dans le conseil en préparation aux cyberattaques et à la réponse en cas d’incidents. La firme avait très vite pris de l'importance en février 2012 en révélant qu'une unité spéciale de l'armée chinoise, basée à Shanghai, était probablement derrière le groupe de hackers chinois connu des spécialistes sous le nom « d'APT1 ». Impliquant, par la même, directement la Chine dans les actions de cyber espionnage. Son association avec Google lui a depuis permis de mettre en œuvre son expertise et ses renseignements à plus grande échelle. En ajoutant les fonctionnalités de gestion de la surface d'attaque de Mandiant au portefeuille de Google Cloud, les entreprises clientes sont en mesure de surveiller désormais en permanence les actifs pour détecter les expositions, « permettant ainsi aux équipes de renseignement et aux équipes rouges de faire passer les programmes de sécurité de réactifs à proactifs, pour comprendre ce qui est vulnérable, mal configuré et exposé » expliquait en septembre 2022 le PDG de Google Cloud, Thomas Kurian : « Une fois que la surface d'attaque d'une organisation est comprise, il est essentiel de valider les contrôles de sécurité existants. Avec Mandiant Security Validation, les entreprises pourront valider et mesurer en permanence l'efficacité de leurs contrôles de cybersécurité dans les environnements en nuage et sur site. »

Ceci posé, le rapport conjoint de Google et Mandiant (« Brouillard de guerre : comment le conflit en Ukraine a transformé le paysage des cybermenaces »), sorti la semaine dernière, livre de nouveaux éléments sur les efforts cyber et informationnels russes. De même que le très récent rapport de Sekoia.io, une société française qui partagent leurs analyses via un document qui ne répertorie cependant pas tous les « cyber-événements » liés au contexte russo-ukrainien, mais « vise plutôt à partager et prendre en compte les changements stratégiques, opérationnels ou tactiques observés et évalués depuis le début du conflit ». La production de connaissances de Sekoia.io s'appuie majoritairement sur des publications disponibles en open source, et n’intègre naturellement pas – du fait de la législation spéciale sur le « secret des affaires militaires » –, l'implication notamment discrète d'alliés et de sociétés privées étrangères. Cette recherche explore cependant les cyberopérations offensives russes visant à soutenir l'invasion militaire du Kremlin : « Qu'il s'agisse de perturber la coordination, la communication ou le récit de l'Ukraine et des pays ou entités de soutien. Une deuxième partie analyse le rôle croissant des groupes cybercriminels et des organisations nationalistes hacktivistes dans la cyber-confrontation en mettant l'accent sur les techniques utilisées par les acteurs non étatiques et la manière dont la guerre en cours a façonné leurs activités. »

Quels sont les principaux éléments clés évoqués, concernant les usages cyber offensifs dans le conflit ukrainien ? Le chercheur Alexis Rapin nous les résume assez précisément – et fort opportunément – sur son compte Tweeter le 21 février dernier, à travers quelques chiffres choisis, particulièrement évocateurs. On constate à ce titre une augmentation de 250% des tentatives Russe de phishing contre l’Ukraine en 2022, une augmentation de 300% de ces mêmes attaques contre les pays de l’OTAN. Et beaucoup plus de « Wipers » contre l’Ukraine entre février et juin 2022 que durant les 8 années précédentes.

(Tableau 1). 

Qu'est-ce qu'un malware de type « Wiper » ? Il s’agit d’un type de malware dont l'objectif prioritaire est d'effacer (« to wipe » en anglais), et de détruire le maximum de données sur le disque dur de l'ordinateur infecté / ciblé, afin qu'elles soient parfaitement irrécupérables. Par ailleurs, Google / Mandiant nous gratifient d’un « tableau de chasse » présentant les 6 groupes de hackers Russes ou pro-Russes les + actifs, leurs missions et leurs cibles privilégiées (Tableau 1, ci-dessus). On y retrouve notamment les suspects habituels (Sandworm, Fancy Bear…), mais aussi un tout nouveau venu : « FROZENVISTA ».

(Tableau 2).

Rapin note ce point fort intéressant du rapport sur les attaques par « Wiper » : Mandiant dit avoir identifié à ce titre 6 familles de Wipers distincts, tous déployés contre l’Ukraine jusqu’ici. Le creux constaté entre juin et octobre 2022 témoignerait de la difficulté des Russes à régénérer leur « arsenal cyber » au terme de leur 1ère salve selon le chercheur (tableau 2). 

Alexis Rapin note également que se loge au détour d'une page de ce rapport, ce qu’il qualifie d’« énorme pavé dans la marre », lancé « comme si de rien n’était » ! Explications : en mars-avril 2022, « Sandworm » (GRU) aurait hacké le fabricant Turc des drones TB2 Bayraktar, et réussi par la même occasion à temporairement neutraliser les drones ukrainiens... Par ailleurs, selon le chercheur, un autre élément fort selon lui attise son intérêt : « Google a observé 2 groupes étatiques chinois épiant de près des entités ukrainiennes, otaniennes... et russes » elles-mêmes ! Le régime de « Pékin cherchant peut-être à voir […] de lui-même  […] ce qui se passe réellement dans cette guerre pour son partenaire » Russe interroge le spécialiste ? La question est posée dans tous les cas.

 (Tableau 3). 

Un chapitre entier est aussi consacré aux opérations informationnelles : « L'IRA de Prigojine est toujours en première ligne, mais un nouvel acteur (« KRYMSKYBRIDGE ») aurait aussi fait son apparition (Tableau 3). Il s'agirait d'une firme de consulting enrôlée par le Kremlin pour viser l'opinion domestique ». Mais le rapport Mandiant recèle un autre petit scoop : certains groupes hacktivistes pro-Russie dont le fameux « XakNet » semblent avoir coordonné quelques-unes de leurs opérations hack & leak avec les pirates de « Fancy Bear ».  Autrement dit le « GRU », soit la direction générale des renseignements de l'État-Major des Forces armées de la fédération de Russie. Le dernier chapitre traite des impacts du conflit sur l'écosystème cybercriminel, et entérine un constat selon le chercheur Alexis Rapin : « le tant annoncé torrent de ransomwares punitifs contre les pays de l'OTAN n'a pas eu lieu. On observe ni plus, ni moins de ransomwares qu'avant ». Et parmi les grandes leçons tirées selon lui, la confirmation que les Russes n'ont pas retenu leurs coups, mais auraient bien « échoué à produire des effets significatifs ». Un constat qui se discute toutefois. Car rappelons que les cyberattaques peuvent aussi passer inaperçu, avant de montrer leurs effets ou parce qu’elles peuvent être déjouées à temps dans le plus grand secret des opérations. Fin décembre, le chef du département de cybersécurité au Service de sécurité de l’Ukraine (SSU), Ilya Vitiuk, affirmait à cet effet que son pays avait subi pas moins de 4500 cyberattaques depuis le début de l’année. « Le pays agresseur lance en moyenne plus de dix cyber-attaques par jour. Heureusement, la société ukrainienne n’est même pas au courant de la plupart d’entre elles », a-t-il déclaré. « Le cyber joue un rôle important avant le conflit », indiquait récemment le général Bonnemaison, en estimant que depuis l’automne l’intensité des cyber-opérations destructrices avait diminué. Durant le printemps, la Russie cherchait sans doute encore à combiner attaque numérique et bombardement. Mais les cyberopérations offensives requièrent une longue préparation pour identifier les failles et être en mesure de forger les outils adaptés. Les lacunes du commandement russe et les difficultés à intégrer l’arme cyber dans une opération d’ensemble interrogent les spécialistes sur la capacité de Moscou à exploiter le cyber dans le tempo du champ de bataille. Et Rapin de conclure que si l'affaire des drones « Bayraktar TB2 » turc se confirmait, on tiendrait alors ici le premier cas de système d'arme Ukrainien visé par une action cyber offensive.

La publication du rapport de la société Sekoia.io sortie le 22 février dernier, nous livre également de nombreux éléments éclairants sur les efforts cyber opérés par la Russie en Ukraine, et quelques leçons majeures à tirer. A cet effet, le chercheur Alexis Rapin note dans ses tweet qu’il y aurait été constaté une division du travail entre les différentes centrales du renseignement Russe : le SVR (Cozy Bear) se chargerait d’épier les diplomaties de l’OTAN, le FSB (Gamaredon, Turla, ColdRiver) surveillerait les armées OTAN et fournitures de matériel, le GRU (Sandworm, Fancy Bear) quant à lui s’occuperait de la destruction programmée des données adverses (Wiper, etc.). Le Rapport note que les Wipers déployés par la Russie début 2022 étaient assez rudimentaires (ni réplication automatique ni mouvement latéral). Peut-être pour limiter les dégâts collatéraux selon toute hypothèse, ou parce que les hackers du renseignement ont été eux aussi prévenus tard, et ont dû improviser en l’état ? Rapin note que les hackers du FSB épieraient attentivement les efforts d’investigation de crimes de guerre, très curieux, en cela des ressources allouées pour surveiller « ce qui n’a prétendument jamais eu lieu… », reprend sarcastique le chercheur Français. Le but selon les analyses des experts Cyber de Sekoia.io serait possiblement de préparer des « contre-narratifs » très en amont, pour faire face à de potentielles futures allégations proférées par le camp occidental. Autre constat le Nexus renseignement-hacktivisme-crime : Les Wipers seraient parfois déguisés ou grimés en ransomware par le renseignement Russe, pour permettre l’induction anticipée d’un déni plausible. Certains gangs mettraient gratuitement leurs « plateformes crime-as-a-service » à disposition des hacktivistes. Autre élément souvent méconnus : les opérations « hack & leak » des hacktivistes augmentent la surface d’attaque à disposition du renseignement (des montagnes de credentials compromis, et utilisables pour des opérations futures, via du phishing par exemple). Le spécialistes Alexis Rapin heureux de constater – in fine – que les sources ouvertes sur le sujet se diversifient grandement, et voient s'ajouter des organisations européennes et françaises comme l’éditeur de cybersécurité Sekoia.io qui utilise les dernières avancées technologiques, et dont la mission prioritaire est de développer les meilleures capacités de protection face aux attaques informatique. L’entreprise créée en France (cocorico !) fournit en outre des technologies modernes, éprouvées sur le terrain, pour permettre à ses clients de neutraliser efficacement les menaces cyber avant qu’elles n’aient des conséquences dramatiques. Sekoia.io focalise tous ses efforts de recherche et développement sur deux axes stratégiques majeurs, que sont la connaissance des menaces et l’automatisation des capacités de défense, afin de permettre de redonner l’avantage aux équipes en charge de la protection des systèmes informatiques face aux attaquants.

Dans quelle mesure ces cyberopérations sont devenues incontournables dans les nouvelles guerres modernes ? Les états-majors occidentaux, français notamment, ont-ils la conscience de ces enjeux ?

Franck DeCloquement : Nos états-majors ont tout à fait consciences de la menace et des enjeux, d’autant plus quand le nombre d’attaques informatiques contre les entreprises et les administrations françaises qui n’ont de cesse de croitre dans cette période de très haute conflictualité, ont déjà plus que quadruplé par rapport aux années précédentes. Comme le résume et le rappelait fort à propos Philippe Boulanger dans ses écrits : « Le cyberespace est devenu un nouvel enjeu géopolitique pour les États depuis les années 2000. Des cyberattaques sont lancées quotidiennement contre les intérêts d'un État ou d'une entreprise par des unités spécialisées ou des groupes de hackers non étatiques. Depuis les attaques menées contre l'État estonien en 2007, il est même considéré comme un nouvel espace de bataille, avec ses procédés et ses tactiques propres, parallèlement aux autres espaces physiques (terre, mer, air), à l'espace électromagnétique et à l'infosphère. Le cyber offensif, la cyberdéfense, le cyberespionnage sont ainsi des domaines d'activités ayant pris une ampleur croissante pour les services étatiques et le régalien, comme pour tous les acteurs non étatiques d’ailleurs (entreprises, particuliers, etc.). Les premiers enseignements de ce nouvel espace de rivalités révèlent, contrairement à une idée acquise, qu'Internet ne crée pas une révolution fondamentale des procédés d'opposition. Internet est le prolongement de luttes de pouvoir existantes, dans une autre dimension. L'utilisation du télégraphe au XIXe siècle donnait une avance technologique à la puissance britannique, mais n'a pas révolutionné les conditions de rivalités entre États. Elle a favorisé des procédés de luttes et de concurrence qui étaient déjà mis en œuvre. Le cyberespace présente une dynamique similaire. Il est interdépendant des espaces physiques (le câble sous-marin en fibre optique peut être coupé par exemple), suit la même logique de course à l'armement et connaît une militarisation accrue comme d'autres secteurs caractérisant la puissance… » Tout est dit ! 

Toutes ces attaques de nature informatique ont été très vite le point de départ à l'échelle globale, d'une rapide prise de conscience de nos exécutifs et de nos militaires, et en Occident tout particulièrement, du levier indéniable que représente aussi le cyber à des fins politiques. Même si le terme de « cyberguerre » demeure encore disproportionné, parce qu’il n'y a pas eu encore de conflit cybernétique majeur (« le cyber dans la guerre » versus « la guerre cyber »), l’expression et l’imaginaire induit par celle-ci sont entrés dans le vocabulaire courant pour tenter de décrire les contours de ce que pourrait-être dans un avenir proche, un cyber conflit de très grande ampleur entre nations en guerre. 

Une forme de lucidité inquiète mais déterminée est donc de mise dans nos Etats-majors comme nous le mettions déjà en lumière dans un précédent article pour ATLANTICO. À l’image en cela des propos tenus par le général Aymeric Bonnemaison (le nouveau patron du Commandement de la cyberdéfense – ComCyber –  française) : « en Ukraine, la cyberguerre a bel et bien eu lieu » n’en déplaise aux sceptiques. Des attaques « d’un très haut niveau technique » ont ainsi visé de très nombreuses infrastructures critiques. En commençant par des stations électriques en 2015, puis le réseau électrique lui-même en 2016, via une attaque complexe. Selon le général Bonnemaison : « Ces attaques sont les premières menées complètement à distance sur la fourniture d’électricité. La technique très sophistiquée mise en œuvre a suscité notre intérêt, dans la mesure où nous pourrions être amenés à la contrer. La première attaque a privé 225 000 personnes d’électricité pendant plusieurs heures. La seconde a réduit d’un cinquième la consommation de la capitale ukrainienne [...] « Les opérations dans le cyberespace ont commencé bien avant le déclenchement des manœuvres dans les autres milieux, la terre, l’air et la mer. Elles ont exigé un haut niveau de préparation et d’anticipation. » À partir de 2017 : « les attaques se sont diversifiées en prenant la forme d’une sorte de harcèlement et présentant une certaine viralité ». Elles visaient tant les réseaux ukrainiens publics que privés, mais ont également touché de grands groupes internationaux. A cet effet, Aymeric Bonnemaison soulignait que ces attaques avaient été dans un premier temps « associées à des opérations informationnelles », afin d'ajouter de l'huile sur le feu « pour exciter le mécontentement et saper la confiance de la population dans les institutions ». Mais il n’en était rien. Dans le même temps, des « opérations de subversion » ciblaient notamment le Donbass, dans le but de victimiser des russophones et de « surmédiatiser » les programmes d'aide émanant de la Russie. Le tout associé à : « une critique violente de l’incapacité des pouvoirs publics ukrainiens à préserver les réseaux électriques et les fonctionnalités essentielles à la vie courante ». 

Mais le général Bonnemaison se méfie des conclusions hâtives à l’image de ses propros repris dans les colonnes du Figaro en janvier 2023. Lorsque les canons résonnent, les cyberattaques, qui ne sont que des fusils à un coup, perdent de leur pertinence, dit-il : « Elles cèdent la place aux pratiques de brouillage électronique ou d’espionnage, qui sont d’autres formes de cyberguerre. Vous n’avez plus besoin d’attaquer l’informatique d’une centrale électrique si vous la bombardez». À moins d’être bientôt à cours de missiles… Par ailleurs jugeait-il aussi, « Il y a un niveau de seuil. Que considère-t-on comme une attaque ? Est-ce que ciblage actif sur un réseau est une attaque ? », interroge-t-il. Un ciblage actif vise à identifier des vulnérabilités ou des portes arrières dérobées (back doors) qui peuvent, éventuellement, être utilisées des semaines ou même des mois plus tard. Une même attaque pouvant aussi viser plusieurs systèmes à la fois.

Les acteurs du cyber conflit en Ukraine « sont peu lisibles », confirmait le général Bonnemaison au Figaro en janvier. Outre les services du GRU et du FSB (que nous évoquions plus haut), la Russie a aussi recours à des activistes ou des cybercriminels pour mener ses actions. Pour l’instant, ils se sont heurtés à la résistance des Ukrainiens. Ceux-ci ont bénéficié du soutien des Etats-Unis, qui ont protégé les réseaux avec des pratiques bien connues de « hunt forward », pour débusquer les prépositionnements adverses embusqués dans les systèmes Ukrainiens et occidentaux, et les approches informatiques d’essence secrète. 

Quel est le rôle les sociétés privées telles que Google, parmi d’autres groupes d’entreprises privées dans la guerre en Ukraine ? La Russie dispose-t-elle d’une telle implication de sa société civile et de ses forces vives ?

Franck DeCloquement : Les Ukrainiens ont en effet aussi reçu le soutien très actif des très grandes entreprises du numérique, comme Microsoft ou Amazon. Car celles-ci disposent de capacités d’analyse bien supérieures à celles de la plupart des États occidentaux. «La défense a pris le dessus», se félicitait à ce titre le général Bonnemaison. L’Ukraine a aussi obtenu des capacités informatiques offensives. Mais en l’occurrence, les Occidentaux demeurent très discrets. En définitive, « la cybersécurité est l'affaire de tous », avait l'habitude de déclarer Guillaume Poupard, l’ancien  directeur de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, toujours en première ligne pour la lutte contre les cybermalveillances. Et cela et d’autant plus vrai aujourd’hui dans le contexte actuel de conflictualité exacerbée, et de guerre larvée avec la Russie et ses alliés. Toutes les nations, la France en tête, doivent désormais impliquer sans plus attendre leurs sociétés civiles, en imposant des normes de sécurité aux entreprises, en formant les grands patrons et les directions, tout en sensibilisant constamment le grand public et l’ensemble des collaborateurs de l’entreprise dans le même temps. 

Il en va de notre efficacité globale en matière de résilience collective en cas de cyberattaque massive, d’autant plus en contexte de conflictualité accrue ou de guerre larvée. Les Russes font de même, cela va sans dire. Car les grands classiques que sont les opérations de sabotage, de déstabilisation, de déception, de propagande noire, d’actions sur les perceptions des populations ou de leurs représentants, de tromperie, de leurre, d’ingérences extérieures sont de retour aux avant-postes, et risquent fort de s’imposer à nouveau violemment sur le devant de la scène internationale… La contre ingérence redevient donc une nécessité absolue et une priorité majeure qui doit être bien comprise, en tout lieu et tout temps par l’ensemble de nos concitoyens. Il s'agit quasiment de prophylaxie informatique à ce stade des hostilités.

Car l'âge numérique qui correspond aussi à une nouvelle façon d'exercer sa souveraineté, et à de nouvelles formes toujours renouvelées de conflictualités, nous oblige à impliquer plus avant tous nos collaborateurs, nos concitoyens et nos proches. Mais pour parvenir à une cyberdéfense nationale efficace, il est aussi nécessaire d'impliquer ardemment l’ensemble des acteurs du privé qui ne semblaient pas essentiels pris un à un, il y a quelques années encore : les petites entreprises, les collaborateurs d'une société et de façon générale tous les citoyens qui utilisent l'Internet dans leur quotidien. La priorité absolue consistant bien entendu à mettre en avant et promouvoir une culture générale de la responsabilité et des gestes de cyber-résilience et d’hygiène informatique de base. Très schématiquement, il y en a quatre pour limiter de façon efficace tous les risques notables liés aux infections les plus répandues : faire systématiquement des sauvegardes, mettre à jour son système informatique, ne pas cliquer frénétiquement sur des liens suspects ou en répondre indument à des mails inconnus –  jugés étranges –, et utiliser systématiquement un antivirus puissant de qualité reconnue. 

Tout cela semble extrêmement simple sur le papier, et pourtant, si chaque TPE (très petite entreprise) ou PME (petites et moyennes entreprises) de France le faisait, nous serions tous beaucoup moins soumis et sujet en tant que nation à des diffusions massives de codes malveillants comme Wannacry, Petya ou Not Petya. D'autres attaques d’ampleur auront naturellement lieu dans un avenir proche, ce n’est toujours qu’une question de temps : et il est donc fondamental en l’état de mettre en œuvre des actions préventives d’anticipation d’attaques. La guerre augmentant encore plus le risque encouru. 

Quelles sont les principales leçons qu’il est possible de tirer de ces deux rapports Mandiant et SEKOIA.IO ? Face aux attaques évoquées, les bonnes mesures ont-elles été prises par nos gouvernants ?

Franck DeCloquement : En compléments de l’exposition des explications précédentes mises en avant par le chercheur Alexis Rapin, Louis Pétiniaud, chercheur spécialiste des couches basses et intermédiaires du cyberespace dans les conflits territoriaux en Ukraine et Géorgie, nous délivre à son tour, et à travers ses brefs tweet, quelques éléments pertinents supplémentaires de lecture et d’analyse du « composant cyber » dans cette guerre russo-ukrainienne. Mais avec une petite année de recul seulement, faut-il le rappeler. Il constate en outre que selon l’analyse de Sekoia.IO, le GRU aurait été extrêmement actif sur le terrain ukrainien en termes de disruption, contrairement en cela aux SVR et FSB dont les activités sont demeurées inchangées. L'usage également de Wipers évoqués précédemment, relativement simples, voire même « mal développés » comme évoqués plus haut, et non de Worms plus aboutis (Souvent considérés comme de vulgaires virus informatiques, les vers – ou Worms en anglais – sont des malwares bien particuliers. Très schématiquement, un ver informatique est un logiciel malveillant qui se reproduit sur plusieurs ordinateurs en utilisant un réseau informatique comme Internet. Il a la capacité de se dupliquer une fois qu'il a été exécuté. Contrairement au virus, il est notable que le ver se propage sans avoir besoin de se lier à d'autres programmes exécutables, comme cela a par exemple déjà été le cas en Ukraine avec NotPetya et Bad Rabbit en outre. Le chercheur Louis Pétiniaud note aussi que cet usage serait explicable par deux raisons divergentes : « d'une part, une crainte que ces attaques ne dépassent la cible, ce qui a été effectivement le cas en 2017 », et pouvant alors frapper le monde entier (comprendre ici les retombées de NotPetya selon McAfee, qui visait l'Ukraine). Le faible effort de développement des malwares utilisés pourrait aussi être le signe d'une forte impréparation des Russes à ce niveau-là, qui fait écho à l'impréparation/échec des opérations en règle générale au début de la guerre en Ukraine. Compte tenu des limites des outils utilisés, l'objectif russe a pu être, principalement, la confusion et la disruption de la coordination de la défense selon le chercheur : « Il n'y a eu de fait (et ce n'est vraiment plus une nouveauté) aucune combinaison efficace cinétique/cyber […] Sur KA-SAT, l'équipe relève que malgré la réussite formelle de l'attaque, elle a été opérée trop tôt pour avoir des effets significatifs (ajoutant à cela qu'elle a même pu avoir un effet contraire en entraînant une redirection très tôt vers Starlink). Sekoia.IO mentionne la forte augmentation de groupes de « hacktivistes », et met en exergue les plus visiblement actifs (Killnet), ou les plus visibles tout court (IT Army) ».  Mais le spécialiste « note leur impact (très) relatif » selon lui.

Pour finir, le document de synthèse suggère selon Louis Pétiniaud  « une implication très faible des acteurs cyber-criminels, et seulement quelques percées ponctuelles ». On pourrait dire que les leçons à tirer sont nombreuses, mais nous mettent aussi dans l’obligation morale et collective de ne pas rester totalement aveugle et muet face aux velléités – bien comprises – de nos chers alliés en la circonstance, dans cette guerre qui se mène aux portes de l’Europe. Un angle mort très peu explicité et que beaucoup aiment à passer sous silence « pour ne pas trop vexer » – « ou froisser » – nos plus vieux alliés… Alors même que nous sommes mis tous seuls en très grande difficulté sur le plan énergétique par ailleurs... Comme le rapportait le journal – Le Monde – dans ses colonnes du vendredi 14 janvier 2023 (sous la plume d’Elise Vincent), on s’inquièterait grandement côté français que les Etats-Unis (qui ont envoyé plusieurs équipes spécialisées depuis la déclanchement des hostilités en Ukraine pour aider les pays alliés se sentant particulièrement vulnérables aux cyberattaques russes), profitent allègrement de la situation pour diligenter discrètement des opérations d’espionnage sur leurs partenaires européens : « C’est une mise en garde sobre, mais formulée de manière insistante par le patron du commandement de la cyberdéfense français, le général Aymeric Bonnemaison ». Les opérations croissantes de soutien technique diligentées par des équipes de spécialistes cyber américains sur les infrastructures réseaux de très nombreux pays européens, afin de mettre en échec d’éventuelles intrusions russes, « questionnent », avait déclaré le haut gradé le jeudi 12 janvier 2023, à l’occasion du point presse hebdomadaire du ministère des armées… Un constat sans détour, rendu publique et sans langue de bois de la part du patron du Comcyber, qui avait en outre déjà jugé les cyberopérations américaines diligentées en sourdine de « relativement agressives », à l’occasion de son audition à huis clos devant la commission de la défense de l’Assemblée nationale.

Ces propos viennent confirmer les inquiétudes de la défense française et de leurs services de sécurité dédiés, vis-à-vis des manœuvres de Washington consistant à protéger jalousement leurs intérêts de puissance, tout en poussant in fine systématiquement les choses à leur avantage : « coopétition oblige ! » pourrions-nous ajouter. Et cela, tout particulièrement, auprès des pays d’Europe à l’Est, jugés stratégiques, plus ouverts et plus poreux aux visées américaines selon les stratèges de Washington. En laissant ainsi grand ouvert les centres névralgiques de leurs réseaux informatiques aux experts cyber de l’armée américaine, les pays européens concernés s’exposent tout naturellement à une pénétration indue de leurs systèmes d’information, et à des compromissions potentielles du secret de leur Défense Nationale. Des ingérences possibles qui n’ont cependant pas été détaillées plus avant par le général Bonnemaison lors dans son audition devant les parlementaires Français. Cela s’entend et se conçoit, naturellement.

Le risque est d’autant plus grand que les cybercapacités de surveillance américaines dans le spectre électromagnétique – bien connues du grand public depuis les révélations d’Edward Snowden – sont considérées par l’ensemble des pays tiers, parmi les plus performantes au monde… Mais aussi les plus « cyber-offensives »… Avec pour corollaire, le risque notoire de s’exposer à des opérations de collecte indue, d’intrusion et d’exploitation sauvage du renseignement. Et donc, à des actions de captation clandestines par un allié jugés proche, de nos avancées et/ou de nos pépites technologiques.

Rappelons-nous pour l’occasion de la citation exacte attribuée à Sénac de Meilhan et extraite de son ouvrage « Considérations sur l'esprit et les mœurs », « De l'amitié », d'après « Le grand dictionnaire des citations françaises » de Jean-Yves Dournon : « Garantissez-moi de mes amis, écrivait Gourville proscrit et fugitif, je saurai bien me défendre de mes ennemis. »