Les cyberattaques et les opérations d’information visant à perturber les infrastructures critiques et à influencer l’opinion publique sont en constante augmentation. À cet égard, le MENA Research and Study Center s’est entretenu avec Andrzej Kozłowski, professeur adjoint à l’université de Łódź, dont les principaux domaines de recherche sont la cybersécurité et les opérations d’information. La conversation a été menée par Denys Kolesnyk, consultant et analyste français, qui s’intéresse particulièrement aux opérations dans le domaine cognitif.
J’ai lu récemment votre article sur les activités russes dans l’espace cybernétique et informationnel ukrainien. Commençons par les tactiques et stratégies russes dans le domaine cybernétique. Comment ont-elles évolué ces dernières années ? Enfin, existe-t-il une particularité régionale en ce qui concerne les cyberopérations ?
Tout d’abord, je dois noter que je n’observe pas d’évolution significative. Il est important de souligner que la Russie perçoit les cyberattaques comme faisant partie de la conception plus large de la guerre de l’information. C’est un élément qui différencie la Russie du monde occidental, où nous comprenons surtout la cybersécurité d’un point de vue technique, tandis que le domaine cognitif, avec la communication et l’information stratégiques, est séparé. Et ce n’est pas ainsi que les Russes voient les choses.
Ils ne sont pas habitués à la cybersécurité ou au cyberespace. Les Russes prétendent utiliser les termes de sécurité de l’information, de guerre de l’information et les cyberattaques en font partie. Mais comme je l’ai dit, ce n’est qu’une partie de l’opération visant à atteindre la domination et la supériorité en matière d’information, car c’est l’objectif principal des Russes selon leur doctrine.
Pendant tout ce temps, la Russie s’est concentrée sur plusieurs aspects, et avant tout sur l’espionnage. Et l’espionnage dans le domaine cybernétique offre d’énormes possibilités. Dans le domaine humain plus traditionnel, la Russie était également très active. C’est pourquoi les Russes sont passés au cyberespace avec les trois principaux organes du système de renseignement et de contre-espionnage russe, à savoir le GU (anciennement connu sous le nom de GRU), le SVR et le FSB. Le cyberespionnage est donc devenu leur principal domaine d’activité.
Le deuxième aspect concerne les attaques contre les infrastructures critiques qui ont eu lieu avant même l’invasion à grande échelle. Il faut comprendre que l’Ukraine a été un terrain d’essai pour les cyber tactiques russes. Les Russes ont essayé de nombreuses techniques et attaques, notamment celles qui ont eu lieu en 2015 et 2016 contre des centrales électriques ukrainiennes. Ces tentatives réussies ont provoqué des pannes d’électricité de courte durée au milieu de l’hiver et, compte tenu des hivers rigoureux en Ukraine, le manque d’énergie a posé d’importants problèmes à la population.
Il y a également eu des attaques massives visant à paralyser des pays entiers. Par exemple, en 2007, une attaque massive par déni de service distribué (DDoS) a perturbé les services internes de l’Estonie, obligeant ce pays à revenir sur sa décision politique de déplacer une statue de bronze dédiée à l’Armée rouge.
En 2016, le virus NotPetya a été utilisé pour perturber les systèmes ukrainiens, affectant de nombreux systèmes informatiques d’aéroports, de l’agglomération de Kiev et des secteurs public et privé. Bien que ces opérations aient été couronnées de succès dans un premier temps, elles n’ont finalement pas atteint leurs objectifs à long terme. Enfin, il convient de rappeler le rôle des opérations d’information et l’importance de la stratégie de piratage et de fuite dans ces efforts.
Ainsi, le piratage des systèmes de certaines organisations pour voler des données, les exfiltrer et les utiliser ensuite avec des documents fabriqués ou falsifiés est une tactique utilisée pour influencer les processus de prise de décision. Ces documents manipulés sont diffusés sur l’internet afin d’influencer certains processus ou certaines décisions.
Lors de l’invasion à grande échelle de l’Ukraine par la Russie, les attaques initiales comprenaient une salve massive de programmes wiper qui visaient à perturber et à détruire les données plutôt qu’à les voler. Ils n’essaient pas de rester invisibles ; leur présence signale une intention claire d’endommager ou de détruire des systèmes. Il s’agit de la plus grande salve jamais vue dans l’histoire des cyberconflits.
Malgré l’ampleur de l’attaque, elle n’a pas réussi à toucher les systèmes ukrainiens comme prévu, car les Ukrainiens se sont bien défendus. En raison de ses ressources limitées, la Russie est alors revenue à ses opérations spécialisées, se concentrant davantage sur l’espionnage que sur les opérations d’influence. Elle a ainsi redoublé d’efforts pour exfiltrer des données et espionner des systèmes informatiques afin de fournir de meilleurs renseignements pour les opérations militaires et les frappes conventionnelles planifiées à l’avance.
Mais depuis, la Russie a reconstitué ses capacités, y compris les programmes destructeurs « wiper », et les a de nouveau utilisés contre des infrastructures critiques. Elle semble avoir de plus en plus de succès, comme en témoigne la récente cyberattaque contre le réseau ukrainien de télécommunications mobiles, qui a provoqué d’importantes interruptions de service et a eu des répercussions sur les citoyens ordinaires. En outre, d’autres infrastructures critiques ont été attaquées, bien que les détails de ces attaques, y compris leur succès et leur impact, ne soient pas accessibles au public.
Nous assistons à des pénétrations plus fréquentes et plus réussies des systèmes ukrainiens. En outre, les opérations russes visent également les pays occidentaux, avec des tentatives d’espionnage et de sabotage visant à faire dérailler ou à retarder le soutien militaire occidental à l’Ukraine.
Et pour répondre à la dernière partie de votre question, je ne pense pas que l’on puisse différencier les cyber-opérations par région car elles servent généralement les mêmes objectifs stratégiques. Ces opérations visent à obtenir un accès non autorisé aux systèmes et, une fois l’accès obtenu, les objectifs peuvent varier. Les informations peuvent être volées à des fins d’espionnage, utilisées pour amplifier des opérations d’information ou les données peuvent être détruites. Les techniques sont assez similaires partout.
Cependant, lorsqu’il s’agit d’opérations d’information, il existe des différences évidentes. Dans le cas des cyber-opérations pures, par contre, les stratégies restent cohérentes.
En ce qui concerne l’Europe et plus particulièrement la Pologne, je suis les activités depuis au moins six mois et il semble que les opérations à grande échelle aient commencé sérieusement après l’invasion complète de l’Ukraine par la Russie. Dans la région de Kaliningrad, il existe des équipements capables de brouiller les signaux GPS, et il y a eu des cas où cela a perturbé les signaux GPS dans presque la moitié de la Pologne.
Pouvez-vous nous en dire plus à ce sujet ? Pourquoi font-ils cela ? Cela a-t-il vraiment un effet sur le terrain en Pologne ?
La réponse la plus simple à votre dernière question est que non, cela n’affecte pas les Polonais ordinaires qui utilisent le GPS en Pologne. Cependant, les perturbations ne sont pas simplement des capacités cybernétiques, mais plutôt des capacités de guerre électronique de la Fédération de Russie.
Il existe plusieurs interprétations de ce problème, car il se produit non seulement près de la région de Kaliningrad, mais aussi près de la frontière estonienne. Récemment, nous avons appris que Finnair avait suspendu ses vols vers Tartu en raison de ces perturbations du GPS. La première interprétation est que cela fait partie des activités hybrides contre les pays de l’OTAN. Ces activités sont préjudiciables aux pays de l’OTAN mais se situent en deçà du seuil de la guerre conventionnelle et de l’attaque armée, telles que définies dans les documents des Nations unies. Il s’agit probablement de la première étape d’une telle stratégie.
Une autre interprétation est que ces perturbations massives du GPS sont destinées à protéger contre les drones, en particulier les drones ukrainiens. Si les jets modernes disposent d’autres techniques pour déterminer leur position, le GPS reste le système le plus courant pour les compagnies aériennes commerciales et les petits moteurs. Par conséquent, ces perturbations représentent un réel danger pour les vols, et des accidents pourraient en résulter.
Le problème consiste également à contrer ces actions. Je ne suis pas certain qu’il soit possible, par exemple, de perturber ces mesures à l’aide d’outils non cinétiques – de perturber la perturbation, pour ainsi dire. Je ne sais pas si c’est possible. Quoi qu’il en soit, il s’agit là d’une des activités nuisibles que la Russie mène contre l’Occident.
Pourriez-vous nous parler un peu plus de la Pologne ? Quelles stratégies votre pays utilise-t-il pour atténuer la cybermenace russe et, plus généralement, les activités d’information russes ? De quels outils législatifs disposez-vous et quelles activités l’État entreprend-il pour traiter ces questions et protéger le pays contre de telles activités malveillantes ?
En ce qui concerne les cyberattaques, je pense que nous nous en sortons plutôt bien puisqu’il n’y a pas eu d’attaques significatives réussies contre les systèmes polonais. Cela suggère que nous faisons du bon travail.
Une décision cruciale prise par le gouvernement deux jours avant l’invasion à grande échelle a été de faire passer le niveau d’alerte d’Alpha, le plus bas, à Charlie, le plus élevé, avant qu’un incident ne se produise. Le niveau Delta est le plus élevé, mais il n’est appliqué qu’une fois qu’un incident s’est produit.
_Le niveau Charlie indique qu’il existe des informations fiables suggérant un cyber incident potentiel, représentant une menace sérieuse et significative pour les systèmes. Ce niveau impose des obligations spécifiques aux administrateurs d’infrastructures critiques et aux entités de l’administration publique. Ces obligations consistent notamment à sensibiliser les employés aux menaces, à organiser des campagnes d’information pour renforcer la cyberdéfense et à veiller à ce qu’une équipe de cybersécurité soit prête à neutraliser toute menace 24 heures sur 24 et 7 jours sur 7.
Les statistiques de notre CERT (Computer Emergency Response Team) indiquent un pic significatif dans les tentatives de cyberattaques. Toutefois, comme je l’ai mentionné, il n’y a pas de preuve évidente d’une cyberattaque russe réussie.
Nous devons toutefois insister sur un point. En mars 2022, un mois après l’invasion, nous avons connu une perturbation de notre système ferroviaire. Étant donné que le réseau ferroviaire est crucial pour l’économie polonaise, l’aide militaire à l’Ukraine et le transport des réfugiés, les premiers rapports ont suggéré qu’il pouvait s’agir d’une cyberattaque russe. Cependant, il s’est avéré qu’il s’agissait d’un dysfonctionnement de l’équipement informatique.
Il ne faut pas oublier que l’objectif des cyberattaques est souvent de provoquer des dysfonctionnements de l’équipement. Il est parfois très difficile de déterminer si un dysfonctionnement est dû à un problème technique ou à une cyberattaque. Dans le cas des problèmes des trains, il s’agissait d’un dysfonctionnement technique, mais une cyberattaque russe pourrait provoquer une perturbation similaire.
Malheureusement, la Pologne est moins performante dans la lutte contre la guerre de l’information. Des réformes sont en cours, comme la nomination d’un conseiller spécial au sein du ministère des affaires étrangères pour lutter contre la désinformation étrangère et la création d’un nouveau centre au NASK sous l’égide du ministère des affaires numériques. Cependant, je ne vois pas de coordination ou de système global en cours de construction.
Nous manquons de programmes d’éducation aux médias, ce qui rend les gens vulnérables à la désinformation. Ce qui est encore plus problématique, c’est que certaines personnes, y compris les autorités et les experts, pensent qu’en raison de notre histoire avec la Russie, nous sommes immunisés contre la désinformation russe. Cependant, la désinformation russe en Pologne opère de différentes manières et reste un défi important.
Il y a également une contribution bélarusse, qui est souvent méprisée par les autorités polonaises et les experts qui disent que les services secrets bélarusses, la propagande et les cyber-attaques sont presque les mêmes que les Russes, ce qui n’est pas vrai parce qu’ils travaillent, ils coopèrent étroitement, mais il s’agit toujours de deux structures différentes avec des objectifs différents.
Nous devons donc garder ces facteurs à l’esprit. Malheureusement, si vous regardez les enquêtes statistiques montrant le soutien à l’Ukraine, il diminue de manière significative. Ce déclin n’est pas seulement dû à la désinformation russe, mais aussi à des déclarations nuisibles faites par des politiciens ukrainiens. Par exemple, les remarques du président Zelensky aux Nations unies ont laissé entendre que la Pologne aidait la Russie en bloquant les importations de céréales ukrainiennes. Malheureusement, des opérations d’information actives sont en cours et il ne semble pas y avoir de stratégies efficaces pour les contrer ou les arrêter.
Peut-être pourriez-vous nous éclairer sur les derniers récits propagés par la Russie en Pologne dans le cadre de la guerre de désinformation ?
Dans leurs campagnes de désinformation, la Russie et le Belarus diffusent actuellement des récits liés à un ancien juge polonais qui a fait défection au Belarus et agit désormais comme un agent d’influence. Il ne s’agit pas d’une usine à trolls ou d’une opération en ligne typique ; cela implique l’utilisation de vieilles techniques du KGB, telles que le déploiement d’agents d’influence.
Les canaux pro-russes sur des plateformes telles que Telegram et Twitter amplifient ce récit. L’ancien juge possède également ses propres comptes sur les médias sociaux, notamment sur Twitter, Facebook et Telegram. Il est intéressant de noter qu’il semble ne pas être directement responsable du contenu de ces comptes, car il y a de nombreuses erreurs caractéristiques des personnes dont la langue maternelle n’est pas le polonais, ce qui les rend relativement faciles à identifier. Mais il s’agit là du récit principal, bien entendu.
Il y a également eu un récit lié à la tentative d’assassinat du premier ministre slovaque Robert Fico, suggérant l’implication d’Ukrainiens ou d’Américains.
Enfin, les anciennes manifestations ont été exploitées par la propagande russe pour présenter l’Union européenne comme une menace pour l’avenir des agriculteurs polonais, suggérant même que Vladimir Poutine pourrait être un sauveur pour eux, ainsi que d’autres récits anti-UE. Voici donc les trois principaux récits actuellement visibles dans l’infosphère polonaise.
Après l’attaque du Hamas contre Israël, les Israéliens ont utilisé diverses techniques pour obtenir le soutien de la population, semblables à celles employées par l’Ukraine lors de l’invasion russe. Pouvez-vous nous éclairer sur les cyberopérations informationnelles _iraniennes de cyber information en général, et plus particulièrement dans ce contexte ?
Oui, absolument. Après l’attaque israélienne Stuxnet contre les Iraniens en 2010, l’Iran a investi de manière significative dans ses capacités cybernétiques. C’est ainsi que l’une des premières cyberattaques réussies par les Iraniens a été menée contre la société Saudi Aramco en 2012. Plus tard, il y a même eu des tentatives pour cibler des infrastructures critiques aux États-Unis.
Il est toutefois intéressant de noter que lorsque le Hamas a attaqué Israël, il n’y avait pas eu de campagne cybernétique préalable importante, contrairement à ce que la Russie avait fait contre l’Ukraine. Bien que disposant d’un potentiel limité dans le domaine cybernétique, le Hamas a décidé de ne pas l’utiliser. Cependant, à la suite de l’attaque, de nombreux groupes et mandataires iraniens, dont le Hezbollah et le Hamas, ainsi que d’autres groupes du Moyen-Orient opposés à Israël, ont décidé de s’engager et de participer à des activités cybernétiques.
Néanmoins, la plupart de ces cyberattaques étaient relativement simples d’un point de vue technique. Et étant donné qu’Israël maintient l’un des plus hauts niveaux de cyberdéfense, ces attaques n’ont, pour la plupart, pas été préjudiciables. Mais il y a eu quelques attaques réussies, et parmi elles, il y a eu la violation de systèmes appartenant à une entité gouvernementale locale, qui a ensuite été utilisée pour des opérations d’influence. Des messages ont été envoyés à Israël, soulignant leur présence et mettant en doute la capacité du gouvernement à assurer la sécurité.
En outre, des opérations d’information ont été menées sur de faux sites web sollicitant des dons de sang pour les victimes des attentats. L’un de ces sites a tenté de se faire passer pour le plus grand hôpital d’Israël. En réponse à ces attaques, Israël a riposté en ciblant des stations-service en Iran en décembre, provoquant une paralysie temporaire de leurs activités pendant quelques heures.
Alors que l’Iran reste l’acteur le plus actif dans ce conflit, son importance dans la cyberguerre n’est pas aussi prononcée que dans le cas d’une guerre russo-ukrainienne.
Quels sont les mécanismes dont dispose l’OTAN pour renforcer la coopération entre les États membres dans le domaine de la cybernétique et de l’information ? Comment l’inclusion de la cybernétique dans les domaines de la guerre lors du sommet de l’OTAN à Varsovie en 2016 a-t-elle influencé le seuil à partir duquel on peut parler de conflit conventionnel ? Et quels sont les critères qui déterminent quand les cyberattaques franchissent le seuil de la guerre ?
L’OTAN a choisi d’analyser chaque opération cybernétique au cas par cas lorsqu’elle envisage d’invoquer l’article 5 ou même l’article 4 du traité de Washington. Toutefois, il est essentiel de reconnaître que ces décisions sont avant tout politiques. Ce qui compte, c’est moins l’ampleur et la taille de l’attaque que la volonté politique d’y donner suite.
Les recherches menées par l’OTAN et les institutions affiliées se concentrent généralement sur la taille, le moment et l’ampleur des attaques, mais surtout sur leurs conséquences. L’OTAN a également décidé qu’une accumulation de plusieurs cyberattaques, plutôt qu’une seule attaque de grande ampleur, pourrait déclencher une réponse. Ces attaques pourraient viser des infrastructures essentielles telles que les barrages, les systèmes énergétiques, les transports et les installations militaires, dans le cadre d’une campagne plus vaste.
L’OTAN dispose d’outils tels que le Centre de cybersécurité de l’OTAN, responsable des activités, de la conception, de la mise en œuvre et de l’exploitation : Expertise scientifique et technique, soutien à l’acquisition, entretien et soutien, conduite d’opérations et réponse aux incidents. Cependant, il est important de se rappeler que les États individuels ont leurs propres capacités cybernétiques, alors que l’OTAN elle-même ne possède pas de capacités cybernétiques significatives.
L’OTAN accepte de plus en plus le concept d’engagement permanent, ce qui suggère que la distinction entre la paix et la guerre dans le cyberespace est erronée. Les États sont constamment engagés dans des activités cybernétiques de bas niveau qui restent en deçà du seuil d’une attaque armée. Cet engagement permanent implique souvent de l’espionnage, qui existait bien avant l’OTAN et n’a jamais déclenché de consultations au titre de l’article 5 ou de l’article 4.
Enfin, les pays du Moyen-Orient comme la Turquie, l’Arabie saoudite et l’Égypte disposent-ils de capacités et de politiques en matière d’opérations cybernétiques et d’information similaires à celles de l’Iran et d’Israël ?
Je n’ai pas de connaissances spécifiques sur les capacités de ces pays. Mais ce que je peux dire, c’est qu’il s’agit de monarchies très riches du Golfe qui ont embauché _d’anciens membres de la NSA, d’anciens membres du cyber commandement ou d’anciens membres des services de renseignement et de l’armée de l’Ouest pour leurs propres besoins. Par exemple, nous connaissons le scandale Pegasus et d’autres problèmes liés aux logiciels espions. Les monarchies du Golfe ont également engagé des pirates informatiques pour atteindre leurs objectifs stratégiques. C’est assez courant, car elles ont beaucoup d’argent et peuvent se le permettre.
Les États-Unis s’efforcent également d’introduire des lois visant à prévenir ce type de situation. Il existe des propositions visant à interdire aux anciens employés de la NSA ou du US Cyber Command de travailler pour certains pays autocratiques comme les monarchies du Golfe.
Tous les droits de publication et les droits d’auteur sont réservés au MENA Research Center.