Les cyberattaques contre l’Ukraine ont bondi de 48 % au second semestre 2024, mais derrière cette hausse se cache une guerre numérique où sabotage, désinformation et ciblage militaire redéfinissent les règles de la cybersécurité.

Depuis 2022, l’Ukraine ne mène pas seulement une guerre sur le terrain : elle affronte une guerre numérique sans précédent. Les cyberattaques, longtemps considérées comme un théâtre secondaire du conflit russo-ukrainien, se révèlent aujourd’hui être un front central, intégré aux opérations militaires et stratégiques. Le dernier rapport du CERT-UA, le centre ukrainien d’intervention d’urgence informatique, dresse un tableau inquiétant pour le second semestre 2024 : une augmentation vertigineuse du nombre d’incidents, des tactiques russes de plus en plus sophistiquées, et une perméabilité croissante entre les attaques numériques et les actions militaires sur le terrain. La cyberguerre n’est plus une menace en ligne : c’est une guerre totale, hybridée, aux conséquences bien réelles pour l’État et ses citoyens.

Une explosion des incidents, une baisse trompeuse de leur gravité apparente

Derrière les chiffres du dernier rapport du CERT-UA se dessine une mutation profonde des modes opératoires. Durant la seconde moitié de 2024, l’Ukraine a enregistré 2 576 incidents de cybersécurité, soit une hausse de 48 % par rapport au semestre précédent. Un pic qui, à première vue, pourrait suggérer une intensification brute des offensives. Pourtant, dans un paradoxe apparent, les incidents jugés critiques ou de haute sévérité ont chuté de 77 %. Ce recul ne traduit pas une accalmie, mais un changement de méthode. Les attaques ne sont pas moins dangereuses, elles sont simplement plus furtives. Mieux dissimulées, elles échappent aux radars classiques, brouillant les seuils de détection.

Les campagnes de diffusion de malwares ont doublé (+112 %), avec une industrialisation inquiétante du phishing. L’utilisation de plateformes légitimes comme Google Drive ou GitHub pour héberger des malwares marque un tournant : les attaquants se greffent sur des infrastructures de confiance pour franchir les défenses les plus robustes. En parallèle, les actions menées contre le réseau électrique ukrainien montrent une synergie inédite entre le cyber et le cinétique. Désormais, une attaque numérique peut précéder un tir de missile, dans un ballet destructeur où chaque faille informatique devient une brèche stratégique.

Les attaques cyber précèdent désormais les frappes de missiles, selon le CERT-UA, soulignant la fusion entre guerre numérique et militaire.

L’armée comme champ de bataille numérique

Le monde militaire, longtemps perçu comme un bastion sécurisé, devient aujourd’hui une cible prioritaire — et un terrain d’affrontement numérique. Le rapport du CERT-UA révèle que plusieurs outils malveillants, dont les implants FIRMACHAGENT et le malware historique SPECTR, ont été déployés pour infiltrer les communications militaires, intercepter des données GPS ou dérober des identifiants d’applications de messagerie comme Signal.

Les groupes d’attaque russes identifiés sous les appellations UAC-0020 (Vermin) ou UAC-0180 ont multiplié les campagnes contre les systèmes de partage de fichiers, les dispositifs de surveillance ou les communications tactiques. Dans un cas documenté, des malwares ont été diffusés sous la forme d’applications Android militaires factices, clones de logiciels authentiques, mais dotés de fonctionnalités d’espionnage poussées. Ces applications malveillantes, souvent partagées via Signal, injectaient du code Java malicieux et prenaient le contrôle des téléphones infectés. Il ne s’agissait plus seulement d’espionner, mais bien d’altérer le cours d’opérations sur le terrain.

L’infrastructure civile, nouvelle cible stratégique

Les cyberattaques ne visent plus seulement les militaires : elles frappent aussi les civils au cœur de leur quotidien. En décembre 2024, le piratage des registres étatiques du ministère de la Justice ukrainien a provoqué une paralysie brutale : passeports bloqués, transactions immobilières suspendues, franchissements de frontières interrompus. Au-delà des désagréments administratifs, cet épisode a illustré avec force que les infrastructures numériques civiles sont devenues des instruments de guerre.

Cette nouvelle réalité modifie l’équation stratégique. Un serveur compromis peut désormais équivaloir à une route détruite ou à une centrale visée. Chaque attaque contre des services publics, des systèmes de santé ou des bases de données démographiques devient une manière de miner la résilience de l’État ukrainien — non plus par la violence, mais par la paralysie numérique.

Chaînes d’approvisionnement : la nouvelle porte d’entrée

Face au durcissement des systèmes critiques, les groupes de pirates changent de stratégie : ils s’attaquent aux maillons faibles, souvent négligés. Les prestataires, sous-traitants ou éditeurs de logiciels tiers deviennent les nouvelles cibles. CERT-UA souligne que plusieurs campagnes d’intrusion sont passées par des failles dans des outils comme GeoServer (CVE-2024-36401) ou WinRAR (CVE-2023-38831), infiltrant les organisations par des dépendances compromises.

Ce déplacement vers les chaînes d’approvisionnement n’est pas sans rappeler l’affaire SolarWinds, mais dans une version localisée, plus discrète et persistante. En exploitant la confiance accordée à certains fournisseurs, les attaquants parviennent à contourner les barrières de sécurité les plus robustes, instaurant une vulnérabilité systémique difficile à colmater.

Les intrusions par la chaîne d’approvisionnement deviennent la norme : un modèle d’attaque silencieuse mais redoutablement efficace.

Des groupes connus, mais toujours plus innovants

Les visages de la cyberguerre ne changent pas, mais leurs méthodes, oui. Des groupes comme UAC-0001 (plus connu sous le nom d’APT28) ou UAC-0050 ont modernisé leurs arsenaux. Finies les vieilles macros en Visual Basic. Place aux QR-codes piégés, aux faux CAPTCHAs et aux fichiers d’archives infectés. L’objectif reste le même : exfiltrer des données, compromettre des comptes, désorganiser les communications. Mais les moyens sont désormais calibrés au millimètre, ciblés, déguisés et adaptés à chaque profil.

Derrière ces attaques se cache un travail d’ingénierie sociale aussi poussé que leur codage. Les campagnes de spear phishing — très ciblées — exploitent la psychologie humaine autant que les vulnérabilités logicielles. Une simple invitation à une conférence peut se révéler être un cheval de Troie redoutable, délivrant un script PowerShell à l’insu de l’utilisateur.

Malgré les difficultés, les défenses ukrainiennes s’organisent. Le CERT-UA, avec l’appui d’alliés internationaux, déploie des réseaux de capteurs, des plateformes d’analyse comportementale et des outils de cartographie des menaces. Certaines attaques sont stoppées avant leur exécution complète — des « quasi-incidents » grâce à une meilleure anticipation.

Mais l’ampleur du défi reste vertigineuse. Les cybercriminels exploitent désormais des failles zéro-day dans les 12 à 24 heures suivant leur divulgation. Dans ce contexte, chaque retard de mise à jour peut ouvrir une brèche irréparable. Seule une stratégie proactive, axée sur la chasse aux menaces et le partage d’informations, peut offrir une chance de garder une longueur d’avance.

Guerre psychologique : la frontière invisible

Si les logiciels malveillants captent l’attention, l’autre volet de cette guerre est silencieux, insidieux : celui de la désinformation et de l’ingénierie sociale. Les opérations d’influence psychologique (IPSO), pilier de la stratégie russe, cherchent à semer le doute, la peur et la méfiance parmi la population. Même un piratage raté peut suffire à provoquer une panique ou à éroder la confiance dans les institutions.

Des campagnes de phishing ciblent directement les citoyens via Signal ou WhatsApp. Les données volées ne servent pas qu’à l’espionnage : elles alimentent des récits falsifiés, sont manipulées dans des campagnes de désinformation, et servent à intoxiquer le débat public.

La guerre en Ukraine montre que la cybersécurité ne peut plus être cantonnée à des pare-feu ou à des antivirus. Elle doit désormais intégrer des considérations géopolitiques, sociales et militaires. La cyberguerre ne se joue pas seulement sur des claviers, mais dans les centrales électriques, les casernes, les hôpitaux, et jusque dans la poche des citoyens.

À l’heure où la Russie perfectionne ses tactiques hybrides, la question n’est plus de savoir si les attaques vont continuer, mais si les défenseurs réussiront à évoluer plus vite que leurs adversaires. Cette course contre la montre est-elle tenable sur le long terme ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.