Le cyberespace, un nouveau front dans la guerre

La Cour pénale internationale a commencé à enquêter sur les cyberattaques russes contre les infrastructures civiles ukrainiennes, qu’elle considère comme de potentiels crimes de guerre.

L’Ukraine, terrain d’entraînement pour les cyberattaques russes

Suite à la Révolution de la Dignité et au début de l’agression russe en 2014, les cyberattaques sont devenues pour la fédération de Russie un outil supplémentaire dans sa guerre contre l’Ukraine. Les institutions gouvernementales, le secteur de l’énergie, des médias, des entreprises et les infrastructures critiques ont été pris pour cibles.

L’une des premières attaques très médiatisées a été celle contre la Commission électorale centrale lors de l’élection présidentielle de 2014. À l’époque, des pirates informatiques avaient tenté de s’introduire dans le système et de publier de faux résultats électoraux sur le site internet de la Commission. Selon le CEPA, l’attaque a été stoppée et n’a donc pas affecté les résultats du scrutin. Malgré cette intervention rapide, la première chaîne de télévision russe a diffusé dès le lendemain dans son journal télévisé ce qu’elle présentait comme le « site de la Commission électorale centrale » avec des résultats falsifiés.

L’année suivante, le groupe Sandworm a lancé une attaque contre le réseau électrique ukrainien, privant d’électricité environ 230 000 consommateurs. Le 17 décembre 2016, un second incident de ce type s’est produit en Ukraine, mais cette fois-ci dans une partie de Kyiv. Selon un rapport du Service d’État ukrainien pour les communications spéciales et la protection de l’information, 80 piratages ont été attribués à Sandworm entre 2022 et 2024, soit en moyenne deux par mois.

En 2017, la Russie a lancé le virus NotPetya contre l’Ukraine. L’attaque, initialement dirigée contre les systèmes ukrainiens dans le but de déstabiliser le pays, s’est rapidement propagée à l’échelle mondiale, causant des pertes de plusieurs milliards de dollars à des entreprises en Europe, en Asie et aux États-Unis. À l’époque, la Maison Blanche avait qualifié NotPetya de « cyberattaque la plus destructrice et la plus coûteuse de l’histoire ». Le ministère britannique des Affaires étrangères avait affirmé que l’objectif de cette cyberattaque était de perturber le fonctionnement des institutions publiques ukrainiennes ainsi que des secteurs financier et énergétique de l’économie.

La même année, Valentin Petrov, alors chef du Service de sécurité de l’information du Conseil national de sécurité et de défense ukrainien, avait déclaré que les agences de renseignement russes et les groupes de pirates informatiques associés utilisaient l’Ukraine comme terrain d’essai pour tester de nouvelles méthodes visant à mettre hors service les infrastructures.

Évolution de la stratégie de la Russie dans ces cyberattaques

Après le début de l’invasion à grande échelle, la Russie a continué à recourir aux cyberattaques presque simultanément à ses frappes terrestres. Le 24 février 2022, environ une heure avant le début de l’offensive, une attaque a été lancée contre le réseau satellitaire Viasat. Si sa cible principale était probablement les communications militaires ukrainiennes, des utilisateurs civils et des entreprises d’autres pays européens en ont également subi les conséquences.

Selon le Service d’État ukrainien pour les communications spéciales, le nombre de cyber-incidents enregistrés augmente chaque année depuis le début de l’invasion à grande échelle : 1 350 en 2021, 2 194 en 2022, 2 543 en 2023, 4 315 en 2024 et près de 6 000 en 2025. Parallèlement, selon un rapport de ce service, la stratégie russe évolue progressivement. Si au début de l’invasion à grande échelle, l’ennemi privilégiait les attaques destructrices, il s’est ensuite de plus en plus concentré sur l’espionnage, l’infiltration furtive dans les systèmes et la collecte d’informations. En 2024, son attention s’est portée sur les organisations directement impliquées dans les opérations militaires, ainsi que sur les prestataires de services soutenant l’effort de guerre.

En 2024, l’Ukraine a été victime de l’une des cyberattaques les plus importantes de ces dernières années contre ses registres d’État. Cette attaque, attribuée à des pirates informatiques russes, a temporairement perturbé le fonctionnement de systèmes clés du ministère de la Justice. Selon Volodymyr Karastelev, chef du département de cybersécurité du Service de sécurité d’Ukraine (SBU), l’attaque a été menée par un groupe de pirates informatiques russes, dont les liens avec la Direction principale du renseignement de l’état-major général des forces armées russes ont été établis par le SBU.

Les médias ukrainiens restent une cible privilégiée des cyberattaques russes depuis le début du conflit. Le piratage de chaînes de télévision, d’agences de presse et de plateformes en ligne est souvent utilisé pour diffuser de fausses informations sous le couvert de nouvelles provenant de médias connus. L’un de ces cas s’est produit en février 2024. Selon l’Institut des médias, les 18 et 19 février, des pirates informatiques russes ont attaqué au moins six médias ukrainiens : les sites internet « Telegraf », « Apostrophe » et « LIGA.net », la page de « Ukrainska Pravda » sur le réseau social X, ainsi que les chaînes de télévision « Espresso » et « Priamiy ». Sur ces sites, les pirates ont diffusé de fausses informations faisant état d’une prétendue « déroute » d’unités d’élite des forces armées ukrainiennes à Avdiivka face aux forces russes.

Les télécommunications sont également touchées. Les alertes aériennes, les services bancaires, les services publics, le fonctionnement des entreprises et la possibilité pour les civils de rester en contact pendant les bombardements dépendent d’une connexion stable. L’une des cyberattaques les plus importantes a été celle contre « Kyivstar » le 12 décembre 2023 : une panne technique a temporairement privé des millions d’abonnés de réseau mobile et d’internet.

Les cyberattaques peuvent-elles être considérées comme des crimes de guerre ?

Le 14 juin 2024, Reuters a rapporté que les procureurs de la CPI enquêtaient sur les cyberattaques russes contre les infrastructures civiles ukrainiennes, les qualifiant de potentiels crimes de guerre. Si des preuves suffisantes sont réunies, des mandats d’arrêt pourraient être émis contre des personnes accusées de cybercriminalité.

Cette enquête de la CPI, dans laquelle les cyberattaques sont considérées comme des crimes de guerre potentiels, pourrait créer un précédent en droit international.

En novembre 2023, le procureur général Andriy Kostin a déclaré au magazine Time que l’Ukraine enquêtait sur les cyberattaques russes en tant que crimes de guerre. Il a décrit cela comme un processus extrêmement complexe et presque sans précédent, pour lequel les forces de l’ordre ukrainiennes bénéficient du soutien de Palantir Technologies et de Microsoft.

Cette enquête est importante non seulement pour l’Ukraine, mais aussi pour le droit international dans son ensemble. Les Conventions de Genève interdisent les attaques contre des cibles civiles, mais en ce qui concerne le cyberespace, la notion de « cybercrime de guerre » reste encore floue. Par exemple, la question de savoir si les données peuvent être considérées comme une cible distincte et si leur destruction constitue un crime de guerre lorsqu’elle entraîne de graves conséquences pour les civils demeure sujette à débat.

La CPI pourrait notamment s’intéresser aux attaques contre des infrastructures énergétiques et de télécommunications. Reuters a indiqué que le groupe Sandworm, mentionné précédemment, figurait parmi les suspects.

L’attaque contre « Kyivstar » est l’un des exemples illustrant comment les cyberattaques peuvent dépasser le cadre d’un simple « incident technique ». Le professeur de droit international Michael Schmitt, cité par Reuters, estime que le piratage de « Kyivstar » pourrait répondre aux critères d’un crime de guerre, car les auteurs devaient avoir conscience des conséquences prévisibles d’une telle attaque pour les civils.