Le 14 janvier dernier, les autorités ukrainiennes ont indiqué que plusieurs sites internet ministériels avaient été la cible de cyberattaques. Non revendiquées, présentant un niveau technique apparemment relativement bas, celles-ci ont principalement consisté en des défigurations de la page d’accueil, remplacée par un message de propagande en ukrainien, russe et polonais. En substance, le message publié indiquait « Ukrainiens, prenez peur et préparez-vous au pire. Toutes vos données personnelles ont été téléchargées sur le Web ».
Même si cette menace ne semble pas avoir été mise à exécution, aucune fuite massive de données n’ayant été détectée, cette attaque marque un véritable tournant dans la conflictualité, et nous concerne tous.
Pourquoi ? Jusqu’à présent, le sujet des données personnelles était essentiellement considéré comme un enjeu juridique et/ou économique. En effet, la réglementation telle que le RGPD en Europe vise en premier lieu à protéger la vie privée et éviter l’utilisation abusive à des fins commerciales de nos données personnelles. Consciente de la valeur que ces données représentent, la cybercriminalité a de longue date cherché à les dérober pour les revendre, permettant ainsi d’enrichir des bases de données afin de réaliser du ciblage marketing ou de les exploiter directement dans une logique d’attaque. A titre d’exemple, les données personnelles, une fois dérobées, permettent de réaliser des usurpations d’identité afin de commettre des escroqueries. Les données personnelles étaient jusqu’alors un enjeu pour les mafias du dark web, jamais à cette échelle pour les armées.
Avec les récentes attaques en Ukraine, l’objectif ne semblait pas être la valorisation financière des données dans une logique crapuleuse, mais bien une manœuvre géopolitique inédite. Il semble en effet que ces attaques s’inscrivent dans une double volonté.
D’une part celle de décrédibiliser et de déstabiliser le gouvernement ukrainien en démontrant son incapacité à protéger ses citoyens et leurs données personnelles. Incapacité déjà mise en lumière par les cyberattaques que l’Ukraine avait déjà subies en 2015 et 2017, notamment sur ses infrastructures énergétiques conduisant à des black-out.
D’autre part celle de menacer personnellement les citoyens, les individus, d’attaques cyber. Dans l’hypothèse où le vol massif de données personnelles eût été avéré, chaque Ukrainien pourrait être aujourd’hui ciblé directement par des attaques, en provenance éventuellement d’une puissance étrangère mais aussi de cybercriminels saisissant l’opportunité : message de propagande ciblé, diffusion de données intimes, chantage…
Faire peser cette épée de Damoclès sur un peuple est assurément un facteur de pression et de déstabilisation complémentaire qui peut conduire à entamer gravement la légitimité de ses gouvernants et porter atteinte à son esprit de défense.
Voilà bien la nouveauté de la crise actuelle ; alors que les tactiques de ciblage employées jusqu’à présent dans les conflits étaient orientées sur des individus et groupes à « haute valeur ajoutée », mais en faible nombre, les vols massifs de données personnelles couplés à des techniques numériques de pointe autorisent dorénavant à envisager du ciblage précis à large échelle.
La protection des données personnelles constitue désormais un champ d’action qui dépasse le domaine économique et celui de la vie privée pour être un enjeu de défense et de sécurité nationale, première raison d’être des Etats.
Laurent Célérier
Cadre dirigeant chez Orange cyberdefense
Enseignant à Sciences Po Paris
EurAsia Prospective 