Des centrales énergétiques ukrainiennes ont subi plusieurs cyberattaques qui ont réussi à plonger des villes dans le noir. Des hackers russes s’en sont également pris avec succès à un opérateur téléphonique et à l’application gouvernementale qui contient les données d’identité des Ukrainiens. Loin de la ligne de front, la guerre se poursuit également dans le cyberespace.
Les missiles et les chars ne sont pas les seuls moyens utilisés dans la guerre moderne. Les conflits militaires du XXIe siècle se déroulent également dans l’espace numérique, où les soldats sont remplacés par des hackers, des bots et des algorithmes. La guerre russo-ukrainienne est un exemple de comment les technologies numériques s’intègrent aux armées, et au conflit d’une façon plus globale.
L’Ukraine a souvent subi des cyberattaques. Avec le temps, ces attaques sont devenues encore plus fréquentes, complexes, coordonnées et destructrices. Parmi la longue liste de victimes figurent des infrastructures critiques, des systèmes gouvernementaux et des entreprises privées. Cependant, si l’Ukraine peut espérer au moins une trêve temporaire sur le champ de bataille voire un gel du conflit, il est vain d’espérer que les cyberattaques visant des cibles ukrainiennes cessent.
Un terrain d’essai pour les cyber-armes
L’Ukraine est devenue l’un des premiers pays au monde à subir des cyberattaques à grande échelle contre ses infrastructures critiques. Les pirates ont pris pour cible des entreprises du secteur énergétique, et ces attaques sont devenues un terrain d’essai pour une nouvelle génération de programmes informatiques malveillants, toujours plus destructeurs.
Le 23 décembre 2015, des hackers ont mené une attaque coordonnée contre trois compagnies d’électricité en Ukraine. Les malfaiteurs ont accédé aux systèmes de gestion grâce à des courriels de phishing envoyés à l’avance. Après avoir accumulé suffisamment d’informations sur le réseau, les pirates ont déconnecté à distance 30 sous-stations, laissant plus de 230 000 personnes sans électricité. La coupure de courant a duré plusieurs heures.
Un an plus tard, en décembre 2016, une attaque encore plus importante a été lancée contre la sous-station « Pivnichna » de la société « Kyivenergo » à Kyiv. Cette fois-ci, les pirates ont utilisé un nouveau programme malveillant appelé Industroyer (ou Crash Override) qui, contrairement à l’attaque donnait aux opérateurs russes encore plus de contrôle sur les panneaux de commandes, transformateurs électriques, et autre infrastructures critiques. Bien que d’autres pays aient connu des attaques numériques au cours des années suivantes, ce sont les systèmes énergétiques ukrainiens qui ont été parmi les premières victimes de cyberattaques d’une telle puissance.
Lire aussi: Borys Cherkas: « Grâce à la technologie, nous pouvons réduire les pertes au combat »
Le 27 juin 2017, l’Ukraine a été frappée par une nouvelle attaque d’une ampleur sans précédent. Le virus NotPetya (initialement identifié à tort comme une variante du rançongiciel Petya) s’est propagé via la mise à jour du célèbre logiciel de comptabilité M.E.Doc, utilisé par la quasi-totalité des entreprises ukrainiennes. Le pirate a utilisé le système de mise à jour de M.E.Doc pour diffuser son virus aux utilisateurs. Ensuite, NotPetya s’est fait passer pour un rançongiciel, exigeant une rançon en bitcoins.
Cependant, son objectif réel était la destruction totale des données. Aucune donnée n’a été restaurée, même après que certains paient la rançon. Cette attaque a touché des banques, des compagnies d’électricité, des aéroports, des compagnies de chemins de fer, des opérateurs de télécommunications, et des institutions publiques. A cause des chaînes d’approvisionnement mondiales et des réseaux internationaux d’entreprises, NotPetya a dépassé les frontières de l’Ukraine, causant des dommages à des entreprises aux États-Unis, dans toute l’Europe et dans le monde entier.
Le front cyber d’une guerre totale
L’invasion à grande échelle de l’Ukraine par la Russie en février 2022 a commencé non seulement par des frappes de missiles, mais aussi par une puissante attaque informatique. Une heure avant le début de l’opération terrestre, des pirates ont mis hors-service le service d’internet par satellite Viasat, qui assurait la communication entre l’armée ukrainienne, la police et les infrastructures critiques. Cette attaque a paralysé des dizaines de milliers d’appareils dans toute l’Europe, coupant non seulement les forces de défense ukrainiennes, mais aussi des éoliennes en Allemagne, ainsi que des utilisateurs dans plusieurs autres pays.
Presque au même moment, en janvier-février 2022, d’autres pirates ont attaqué la plateforme gouvernementale « Diya » et plusieurs ressources gouvernementales. Ces cybercriminels ont volé les données personnelles de citoyens civils. Il est probable que ces informations aient pu être utilisées par la suite à des fins de renseignement et d’opérations psychologiques contre les ukrainiens.
À la fin de l’année 2023, la Russie a porté un autre coup aux systèmes de communications : l’opérateur mobile « Kyivstar » a subi une attaque dévastatrice, qui a rendu son réseau inaccessible pendant plusieurs jours.
Le mois de décembre 2024 a été marqué par la plus grande cyberattaque jamais enregistrée en Ukraine contre les registres publics. Des pirates ont volé plus d’un milliard d’enregistrements: documents civils, données sur les droits de propriété, enregistrement des entreprises. La longue restauration des systèmes a paralysé les capacités de l’État : les citoyens ne pouvaient plus obtenir de documents et les entreprises ne pouvaient plus mettre à jour les données relatives à leurs activités. Au total, plus de 60 registres étaient inaccessibles pendant cette période.
Lire aussi: Les ondes radio, nouvelle arène de la guerre en Ukraine
Quelques mois après l’attaque, une autre entreprise critique a été touchée : le 23 mars 2025, « Ukrzaliznytsia » a été victime d’une attaque. Les gens ne pouvaient plus acheter de billets sur le site web ou via l’application mobile. Les systèmes électroniques du transporteur ferroviaire ont été hors service pendant plus d’une semaine.
À l’automne 2025, des cybercriminels ont lancé une nouvelle série d’attaques. Mais cette fois-ci, leur cible n’était pas des systèmes technologiques, mais la confiance des citoyens dans les services numériques ukrainiens. En septembre-octobre, une énorme base de données contenant les informations personnelles d’environ 20 millions d’Ukrainiens a été mise en vente sur certains canaux Telegram privés, présentée comme une nouvelle fuite de données provenant de « Diia ». L’enquête sur cet incident a révélé que les fichiers diffusés étaient des faux, un mélange d’anciennes fuites provenant de sources commerciales, complétées manuellement par des enregistrements fictifs.
Des cybercriminels ont ainsi tenté de saper la confiance dans l’application « Diia » qui contient des nombreuses données personnelles sur les citoyens ukrainiens. Des experts en cybersécurité ont confirmé que l’utilisation du nom « Diia » dans les fuites n’était pas fortuite : elle augmente la valeur des fichiers sur le marché noir; ou fait partie d’une campagne russe visant à saper la confiance dans les services publics, en particulier « Rezerv+ » et « Armia+ ». Le fichier en question était en réalité disponible depuis l’été. Cette histoire est un exemple frappant de la manière dont les cybercriminels utilisent de faux piratages et de fausses fuites pour semer la panique et saper la confiance dans l’État, tout en tentant de gagner encore plus d’argent.
La guerre contre la conscience et la confiance
La guerre russe ne se limite pas à des attaques contre des infrastructures elle manipule activement l’espace informationnel. Ces manipulations se manifestent à la fois par la diffusion de contenus manipulateurs générés avec des technologies d’intelligences artificielle, le piratage de comptes et le recrutement d’Ukrainiens sur les plateformes numériques.
Au Centre de communication stratégique et de sécurité de l’information, on nous a expliqué que la diffusion de fausses informations sur les réseaux sociaux et le recrutement d’auteurs d’attentats terroristes constituent également des actes de guerre : « Si l’on se base sur la définition la plus courante de la cyber-guerre, la diffusion de propagande sur Internet, y compris les fausses informations et la manipulation de l’information, en est une composante indissociable. La cyber-guerre couvre tout l’éventail des influences sur l’espace informationnel : blocage et piratage de ressources, clonage de ces ressources pour disséminer des fausses informations, substitution d’informations sur des sites piratés, vol de bases de données à des fins d’opérations informationnelles ».
Lire aussi: Le « Flamingo », un nouveau missile ukrainien pour répondre à la Russie
La désinformation est générée et diffusée précisément par le biais d’outils cybernétiques, bien que la guerre de l’information ne se déroule pas uniquement dans l’espace cyber. Le recrutement en ligne fait également partie de cette guerre pour plusieurs raisons. Premièrement, l’ensemble du processus, du premier contact à la coordination des actions en passant par l’établissement de rapports, se déroule via Internet. Deuxièmement, les outils deviennent eux-mêmes des moyens de recrutement : piratage, vol et chantage de données personnelles, accès non autorisé à des comptes bancaires. Troisièmement, les paiements pour les actes de sabotage sont effectués via des cryptomonnaies, des cartes bancaires piratées, ou tout simplement de l’argent volé lors d’attaques. Enfin, après avoir obtenu l’accès à la vie personnelle de la personne recrutée, les services spéciaux russes suivent ses déplacements, ses contacts et peuvent même procéder à des explosions à distance.
Pavel Belousov, responsable technique de la hotline de sécurité numérique Nadiyno, a également parlé de son expérience dans la lutte contre les cyberattaques : « Au cours de l’année dernière et plus, le principal problème qui nous est signalé sur Nadiyno.org est le piratage de comptes Telegram. Nous avons observé cette tendance tout au long de l’année 2024, et elle se poursuit aujourd’hui. Chaque jour, nous recevons plusieurs dizaines de demandes à ce sujet. L’objectif reste le même, mais les cybercriminels changent et adaptent constamment leurs approches, leurs outils, leurs tactiques, techniques, procédures, etc. Dans la plupart des cas, il s’agit de phishing et de combinaisons de plusieurs techniques. Je suis convaincu que les cybercriminels seront toujours présents là où il y a un public et des mécanismes (ou plutôt leur absence) qui permettent de mener des attaques contre les utilisateurs ».
Quant à la manière de monétiser cela, ils s’adaptent au fur et à mesure : ils écrivent à leurs contacts et leur demandent de l’argent, trouvent quelque chose d’intéressant, par exemple des mots de passe, des clés de récupération pour des portefeuilles de cryptomonnaie, ou quelque chose de similaire. Il existe en réalité de nombreuses options. Après tout, pour de nombreux utilisateurs, Telegram est tout : travail, stockage de fichiers personnels, bloc-notes, actualités, etc.
En fait, ce problème global nécessite non seulement d’aider à rétablir l’accès, mais aussi de prévenir. Rétablir l’accès n’est pas si simple, et cela prend au moins du temps et nécessite parfois la suppression complète de toutes les données. C’est pourquoi nous encourageons également les gens à agir de manière proactive et à apprendre à reconnaître le phishing sur Telegram. Dans tous les cas, lorsque les gens agissent de manière proactive et essaient de comprendre comment se protéger plutôt que comment rétablir l’accès, c’est précisément cela qui influe sur le succès (ou plutôt l’échec) des attaques des Russes et d’autres criminels. En effet, dans la plupart des cas, le respect des règles élémentaires de protection permet d’éviter tout cela et de réduire considérablement l’efficacité des malfaiteurs.
Cyberguerre 2025 : nouvelle réalité et prévisions
Le conflit ukraino-russe est devenu un laboratoire pour la guerre informationnelle du futur, où sont testées des tactiques qui détermineront la nature des conflits des années à venir. Aujourd’hui, la guerre cyber a dépassé les limites des définitions classiques pour devenir un champ de bataille hybride complexe, où s’entremêlent attaques contre les infrastructures critiques, des vols massifs de données, la propagande et la cybercriminalité.
Les données de l’Agence européenne chargée de la cybersécurité ENISA confirment le changement radical de motivation des cybercriminels à l’origine des cyberattaques ces dernières années. Le rapport de cette organisation indique qu’en 2025, 79,4 % de toutes les cyberattaques ont des motivations politiques, tandis que la part des attaques à caractère financier ne représente que 13,4 %. Cela signifie un changement fondamental : aujourd’hui, ces attaques cyber ne sont plus une question d’argent, mais de préjudice causé aux États et aux sociétés.
Lire aussi: Des hackers biélorusses mettent Aeroflot à terre
L’intelligence artificielle est devenue l’arme principale de la nouvelle ère. Les opérateurs russes utilisent l’IA pour créer des leurres de phishing réalistes, des mutations automatisées de logiciels malveillants et des attaques sophistiquées d’ingénierie sociale qui contournent les méthodes de détection traditionnelles. L’IA accélère la reconnaissance, aide à contourner les systèmes de défense et permet de mener des attaques coordonnées à grande échelle avec une rapidité extraordinaire.
Dans l’ensemble, l’histoire du conflit ukrainien a prouvé que la guerre cyber est devenue une partie intégrante des conflits hybrides. Les campagnes de DDoS à grande échelle, même si elles ne provoquent pas de perturbations graves, combinées à de la désinformation ainsi qu’à la manipulation de l’opinion publique, sapent la stabilité des écosystèmes numériques. Les attaques contre des infrastructures critiques de l’État sont devenues des éléments d’une stratégie complexe visant à détruire la société.
L’expérience ukrainienne prouve que les conflits futurs se dérouleront simultanément à plusieurs niveaux : technique, informationnel et psychologique. Un écosystème de cyberdéfense robuste devient aussi crucial que la défense traditionnelle. La guerre en Ukraine est un avertissement crucial pour l’Europe et le monde démocratique : la guerre à l’aide d’intelligence artificielle ne sont plus l’avenir, elles se déroulent ici et maintenant.

