Début 2018, un malware est détecté dans une ferme éolienne française. Cette porte d'entrée devait permettre au logiciel malveillant de pénétrer dans le réseau de distribution électrique géré par Enedis (ex-ERDF). L'attaque contre cette infrastructure civile critique échoue. Après plusieurs mois d'enquêtes, les services français attribuent cette intrusion à un groupe de hackers russes baptisé "APT29" ou "Cozy Bear". Mais les autorités ne prennent aucune sanction envers Moscou, préférant la voie diplomatique. Dans une enquête publiée le 23 juin, L'Express revient sur cet épisode illustrant la doctrine française en matière de cyberattaque.
"Cozy Bear" est proche du FSB
Ce sont les services techniques de la Direction générale de la sécurité extérieure (DGSE) qui ont réussi à identifier la main invisible derrière l'intrusion dans la ferme éolienne. Le groupe "Cozy Bear" est connu pour être proche du Service fédéral de la sécurité de la fédération russe (FSB), entité qui a succédé au KGB soviétique et gère le renseignement militaire du pays. Le contre-espionnage néerlandais avait enregistré en vidéo les allers et venues des hackers dans un bâtiment près de la place Rouge. "Cozy Bear" est à l'origine de plusieurs cyberattaques, parmi lesquelles le piratage du comité national démocrate durant la campagne présidentielle américaine de 2016.
Lors de ses investigations, la DGSE découvre également que le logiciel détecté dans la ferme éolienne est une version du malware BlackEnergy, connu du milieu de la cybersécurité depuis 2007. Il s'agit du même malware utilisé en Ukraine en décembre 2015 par le groupe russe "Sandworm" pour pénétrer dans trois sociétés de distribution d'énergie. L'attaque a privé d'électricité près de la moitié des 1,4 million d'habitants de la région d'Ivano-Frankivsk pendant plusieurs heures. A l'époque, Kiev avait accusé le Kremlin de vouloir le déstabiliser. De son côté, La France se refuse à proférer ce genre d'accusations. "Nous pratiquons la politique de la désescalade. Pas question de riposter ou de médiatiser ce genre d'affaires", confie un proche du dossier à L'Express. Une stratégie très différente de celle des Etats-Unis, qui n'hésitent pas à appliquer une doctrine offensive.
la France refuse de passer à l'offensive
Mi-juin 2019, le New York Times raconte que des implants logiciels ont été retrouvés dans des centrales électriques et des gazoducs américains. En réaction, le Pentagone lance une offensive analogue contre les intérêts russes. Une action rendue possible par une loi de 2018 sur les opérations militaires autorisées dans le numérique. "J'aimerais vous dire qu'on en a fait autant", se lamente un gradé français. La France préfère la voie diplomatique. Pourtant la tentative d'intrusion dans la ferme éolienne n'a pas été le seul incident.
Début 2018, l'ambassade de France à Moscou subit une intrusion informatique. Des pirates s'infiltrent dans des ordinateurs en passant par le réseau WiFi du consulat. L'opération détectée a nécessité de nettoyer et de reconstruire en partie le système informatique. Le président de la République Emmanuel Macron décide enfin d'aborder ces questions avec son homologue russe, Vladimir Poutine. L'échange se tient le soir de la finale du Mondial de Football à Moscou le 15 juillet 2018. Les autorités locales nient l'implication de la Russie dans les incidents français. Nikolaï Patrouchev, secrétaire du Conseil de sécurité nationale, décide simplement de mettre en place une ligne rouge en cas de détection d'une nouvelle menace.
Pourtant, sur le papier, Paris et Moscou coopèrent. Les deux Etats ont pris des mesures pour renforcer leur coopération judiciaire pour la cyberdélinquance. L'Ambassadeur pour le numérique, Henri Verdier, a été missionné afin de développer et entretenir ces relations bilatérales. Fin 2018, il a présenté "l'Appel de Paris pour la confiance et la sécurité dans le cyberespace" lors de l'un de ses déplacements à Moscou. Les signataires se sont engagés à travailler sur huit principes dont un consiste à "prévenir la prolifération des programmes et techniques malicieux". A ce jour, 78 Etats et 645 entreprises ont soutenu cet appel. A l'exception de la Russie, de la Chine et les Etats-Unis.
La stratégie française inquiète
Mais la stratégie française ne fait pas l'unanimité. Le 20 mars 2020, en pleine crise sanitaire, 46 députés Les Républicains (LR) ont déposé une proposition de loi. Le texte souligne que la pose d'implants logiciels dans la ferme éolienne "n'a pour objectif que de déstabiliser et affaiblir une nation" et que "le pays se doit de pouvoir engager une riposte proportionnée". "Nous devons détenir une force de dissuasion dans le cyberespace et ma proposition de loi (…) vise à permettre d'élargir la gamme des réactions possibles en cas de découverte d'implants informatiques dans nos réseaux", explique Jean-Louis Thiériot, député de Seine-et-Marne. Nos confrères de L'Express notent que ce texte a peu de chance d'être adopté faute de soutien de la majorité. Peut-être que le changement de doctrine viendra de la prochaine révision de la loi de programmation militaire d'ici à 2021.