À Kherson, des identifiants auraient été extorqués sous contrainte pour détourner des adresses IP ukrainiennes. En toile de fond, la “neutralité” revendiquée par RIPE NCC nourrit une zone grise aux effets directs sur l’attribution des cyberattaques.

Dans les territoires ukrainiens occupés, des opérateurs télécoms auraient été forcés de céder leurs identifiants, permettant la captation d’adresses IP ukrainiennes aujourd’hui exploitées par Moscou. Le texte décrit un mécanisme : re-enregistrement auprès d’entités russes via RIPE NCC, registre basé à Amsterdam, malgré les alertes ukrainiennes et des sanctions européennes visant des structures liées aux RPD et RPL. En masquant des attaques et des opérations de désinformation derrière des IP “ukrainiennes” ou “européennes”, ces détournements compliquent l’attribution et accroissent le risque pour la cybersécurité du continent. La question devient juridique, politique et opérationnelle.

Des “passeports” numériques au rendement stratégique

Le cœur du problème tient à la nature même d’une adresse IP : un identifiant unique qui sert à acheminer le trafic et, dans de nombreux cas, à inférer une localisation. Dans un environnement où les IPv4 sont décrites comme quasi épuisées, la ressource prend une dimension à la fois marchande et stratégique. Le texte avance une fourchette de prix, 35 à 50 € par IPv4 sur des marchés non officiels. Pour mesurer l’ordre de grandeur, la perte de 1 000 adresses représente entre 35 000 et 50 000 € ; 10 000 adresses, entre 350 000 et 500 000 € ; 100 000 adresses, entre 3,5 et 5 millions d’euros. Oleksandr Fedienko, député ukrainien et ex-président de l’Association ukrainienne de l’Internet, relie ces volumes aux portefeuilles des grands opérateurs, qui compteraient des centaines de milliers d’adresses, et évoque des pertes de plusieurs millions dès lors que quelques milliers d’unités disparaissent.

Mais l’argent n’est qu’un volet. Fedienko insiste sur l’usage de ces adresses par des communications gouvernementales, des transactions bancaires et des signaux d’infrastructures critiques. Dans cette lecture, contrôler des blocs d’IP revient à contrôler une partie de l’identité réseau d’un pays, et donc une capacité de se dissimuler, de filtrer, d’interrompre ou de tromper. L’affirmation, “leur contrôle est une question de sécurité nationale”, situe l’enjeu au niveau du renseignement : une IP n’est pas seulement un numéro, c’est un point d’ancrage pour le camouflage, l’usurpation et l’influence.

Kherson, la contrainte physique et la capture des ressources

Le récit décrit une bascule après les occupations russes de 2014 et de 2022 : des fournisseurs d’accès ukrainiens auraient perdu leurs locaux et leurs adresses IP, ensuite réenregistrées au bénéfice de sociétés russes via RIPE NCC. La spécificité de Kherson, rapportée par Fedienko, est la méthode. Il dit connaître un cas où des ressources ont été « confisquées de force sous la torture« , et précise l’élément opérationnel clé : sans identifiant et mot de passe, la prise de contrôle est difficile. Autrement dit, l’occupation territoriale devient un moyen d’acquérir l’accès administrateur aux actifs numériques, pas seulement de saisir des équipements.

Le texte liste ensuite des entités présentées comme pivots de l’extension informationnelle russe dans les zones occupées, via des entreprises de communication unitaires d’État créées sous les administrations installées. Sont citées Ugletelecom, Comtel, l’opérateur Phoenix et Republican Digital Communications. Leur intérêt, dans cette architecture, est double : utiliser “les plus grands volumes” d’IP volées et offrir une façade administrative pour l’exploitation courante, notamment dans la diffusion de contenus et l’organisation technique de services.

Sanctions, « neutralité » et risque d’attribution pour l’Europe

L’angle juridique est porté par Andriy Pylypenko, avocat participant à un groupe de travail sur le gel des adresses IP volées. Il attribue à ces entités un rôle de soutien informationnel aux administrations d’occupation, avec des actions décrites comme structurantes : organisation de référendums et d’élections truqués, propagation, cyberattaques, et détournement des paiements d’accès à Internet vers les budgets des RPD et RPL. Dans ce cadre, l’IP devient une ressource logistique au service d’un système politique illégal, et un outil pour frapper l’Ukraine tout en compliquant les preuves.

Le texte rappelle qu’en 2018 l’Association ukrainienne d’Internet a alerté RIPE sur toute coopération avec les RPD et RPL, sans réaction, RIPE arguant que les adresses IP n’étaient pas des ressources économiques, donc pas concernées par les sanctions de l’UE. Puis, en 2021, le ministère néerlandais des Affaires étrangères a précisé que les ressources IP entraient bien dans la catégorie des ressources économiques au sens du régime européen, ce qui a contraint RIPE à geler l’enregistrement d’IP détenues par des entités sanctionnées. Le conseil d’administration de RIPE a néanmoins contesté publiquement cette interprétation et demandé une exemption, refusée par La Haye faute de base juridique pour des dérogations générales.

L’effet cyber est direct : si des acteurs russes opèrent avec des IP ukrainiennes, ils peuvent faire passer des actions hostiles pour des activités « ukrainiennes » ou « européennes ». Cela brouille l’attribution, ralentit la réponse, et peut déclencher des erreurs d’escalade, au moment même où le texte rappelle la reconnaissance par l’OTAN, dès le sommet de Varsovie de 2016, du cyberespace comme domaine opérationnel, et l’idée qu’une cyberattaque majeure pourrait activer la défense collective via l’article 5. Le risque, vu de l’Europe, n’est donc pas abstrait : c’est la possibilité de décisions politiques et techniques prises sur une attribution fragilisée.