Cyberguerre : quand les États s'affrontent dans le cyberespace

Le 27 juin 2017, des centaines d'entreprises à travers le monde voient leurs écrans afficher un message de rançon. Maersk perd 300 millions de dollars. Merck, 870 millions. FedEx, 400 millions. L'attaque NotPetya n'est pas l'œuvre de cybercriminels cherchant un gain financier — c'est une arme de destruction massive numérique développée par le renseignement militaire russe (GRU), visant initialement l'Ukraine.

Bienvenue dans l'ère de la cyberguerre étatique.

Stuxnet : le premier acte de sabotage numérique

En 2010, les centrifugeuses d'enrichissement d'uranium de la centrale de Natanz, en Iran, commencent à tomber en panne de manière inexpliquée. Les techniciens ne voient rien d'anormal sur leurs écrans. Le malware Stuxnet tourne silencieusement depuis des mois.

Stuxnet est une œuvre d'ingénierie sans précédent :

• Ciblage chirurgical : il s'active uniquement sur des automates industriels Siemens S7-315 configurés d'une certaine façon
• Propagation contrôlée : il se limite à trois infections par machine pour rester discret
• Sabotage précis : il fait tourner les centrifugeuses à des vitesses anormales tout en affichant des valeurs normales aux opérateurs

Attribué conjointement aux États-Unis et à Israël (opération Olympic Games), Stuxnet a reculé le programme nucléaire iranien de plusieurs années sans tirer un seul coup de feu.

NotPetya : le dommage collatéral comme stratégie

L'Ukraine est le théâtre cyber le plus actif du monde depuis 2014. NotPetya en est l'exemple le plus brutal.

Diffusé via une mise à jour corrompue du logiciel comptable ukrainien MeDoc, le malware se propage via EternalBlue (une exploit NSA divulguée par Shadow Brokers) et Mimikatz pour se déplacer latéralement sur les réseaux Windows.

Son objectif déclaré : l'Ukraine. Son résultat réel : la destruction de systèmes informatiques dans 65 pays, causant 10 milliards de dollars de dégâts — le malware le plus destructeur de l'histoire.

La leçon : dans le cyberespace, les frontières n'existent pas.

L'Ukraine 2022 : la cyberguerre en temps réel

Quelques heures avant l'invasion terrestre du 24 février 2022, les réseaux ukrainiens subissent une série d'attaques coordonnées :

• Wiper HermeticWiper : efface les données de systèmes gouvernementaux et financiers
• Attaque sur Viasat KA-SAT : coupe les communications satellite de l'armée ukrainienne (et de milliers d'éoliennes en Europe centrale en dommage collatéral)
• Industroyer2 : tente de couper l'électricité dans une région d'Ukraine

Ce qui est remarquable dans ce conflit : la cyberguerre n'a pas remplacé la guerre cinétique, elle l'a précédée et accompagnée. Les Ukrainiens, aidés de Microsoft, de Google Mandiant et d'ESET, ont détecté et neutralisé de nombreuses attaques en temps réel.

Les acteurs étatiques majeurs

Russie — APT28 (Fancy Bear) et APT29 (Cozy Bear)

Spécialisés dans l'espionnage politique et le sabotage. Responsables du hack du Comité National Démocrate en 2016, de SolarWinds en 2020, et de la majorité des opérations contre l'Ukraine.

Chine — APT41, APT10

Espionnage industriel massif. Vol de propriété intellectuelle dans les secteurs aérospatial, pharmaceutique et technologique. L'opération Cloud Hopper a compromis des dizaines de fournisseurs de services managés pour atteindre leurs clients finaux.

Iran — APT33, APT34

Opérations de déstabilisation régionale. Shamoon a détruit 35 000 postes de travail chez Saudi Aramco en 2012. Les attaques contre les infrastructures israéliennes et saoudiennes sont régulières.

Corée du Nord — Lazarus Group

Unique dans sa motivation : le financement du régime. Le hack de Sony Pictures (2014), le vol de 81 millions de dollars à la banque centrale du Bangladesh (2016), et des centaines de millions en cryptomonnaies volées financent directement le programme balistique nord-coréen.

Les techniques communes

Malgré des objectifs différents, les APT étatiques partagent des TTP (Tactiques, Techniques, Procédures) similaires :

1. Initial access : spear-phishing ciblé, watering hole, supply chain compromise
2. Persistence : backdoors dans les logiciels légitimes, Golden Ticket Kerberos
3. Lateral movement : exploitation d'Active Directory, Pass-the-Hash
4. Exfiltration : canaux DNS, HTTPS vers C2 légitimes (Dropbox, Google Drive)
5. Sabotage : wipers, ransomware, destruction de MBR

Ce que ça change pour les défenseurs

La cyberguerre étatique n'est plus réservée aux gouvernements. Les PME, les hôpitaux, les universités sont des cibles collatérales ou délibérées.

Les fondamentaux de la défense restent les mêmes : patch management, segmentation réseau, MFA, monitoring — mais la sophistication des attaquants oblige à aller plus loin : threat hunting, détection comportementale, et surtout entraînement régulier des équipes.

C'est là que la pratique sur labs prend tout son sens : comprendre les techniques d'attaque est le prérequis indispensable pour construire une défense efficace.