Une fine couche de poussière recouvre le sol de la salle des serveurs. À l’exception du bourdonnement des ventilateurs, l’atmosphère semble paisible. Personne, en entrant dans cette pièce, ne se doute qu’une opération militaire cyber hautement spécialisée est en cours. L’intrusion dans des systèmes étrangers, communément appelée « piratage », est désignée dans les forces armées allemandes sous le terme d’opération cyber offensive.
Les responsables de ces opérations offensives appartiennent au Centre des Opérations Cyber (ZCO). Leur champ d’action ne se situe pas dans le monde physique, mais dans le cyberespace et l’espace informationnel. Ils n’ont pas besoin d’être physiquement proches des serveurs ciblés ; seule une connexion internet vers la cible est requise.
Ces opérations cyber offensives ne sont pas des actes criminels, mais constituent un outil stratégique essentiel intégré aux opérations militaires globales. Avant d’attaquer un serveur, un mandat politique doit être obtenu. Chaque mission repose sur une directive concrète, élaborée dans le cadre de la planification opérationnelle.
Phase 1 – Préparation et reconnaissance
Les opérations cyber doivent être minutieusement préparées, d’autant plus que les ressources sont limitées et que la complexité du travail demande souvent un temps de préparation important. La première étape consiste à élaborer un plan de mission précisant les moyens dont disposera l’équipe du Centre des Opérations Cyber pour atteindre les objectifs fixés.
La reconnaissance technique débute avec l’identification des réseaux informatiques potentiels, étudiés afin de déterminer lesquels offrent les meilleures chances de succès. La cible est analysée en profondeur, dans le but de détecter des vulnérabilités permettant un premier accès au réseau ennemi.
Phase 2 – L’accès
À l’image des forces spéciales qui forcent une porte pour atteindre leur objectif, le moment du premier accès est particulièrement critique : aucun membre de l’équipe ne peut anticiper avec certitude ce qui l’attend une fois à l’intérieur du réseau. Le principe dit des « quatre yeux » s’applique rigoureusement : aucun opérateur ne travaille seul. Lors des phases décisives, le chef d’équipe est personnellement présent. Des conseillers juridiques spécialisés sont systématiquement joignables, voire sur place, pour valider les procédures.
Dans cet espace virtuel, chaque intervenant doit considérer qu’il peut être détecté à tout moment. L’équipe opératrice doit donc évoluer dans le système de la manière la plus discrète possible, en se camouflant aux yeux de l’adversaire.
Phase 3 – Dans le système
Une fois dans le système, l’équipe progresse métaphoriquement « de pièce en pièce ». Les informations recueillies sont consignées dans un portrait technique de la situation. La connaissance du réseau adverse s’enrichit et se précise constamment. Par exemple, des noms d’utilisateurs peuvent être découverts dans la mémoire tampon d’une imprimante, ou des listes de mots de passe trouvées dans des espaces de stockage non sécurisés, permettant de relier des identifiants à des comptes. Avec ces accès, l’équipe se déplace « sans bruit » dans de vastes portions du réseau, recueillant données et renseignements.
La diversité des spécialisations des membres du groupe est indispensable. Une opération cyber ne peut réussir que grâce à un travail collectif intense. Il est donc crucial que le personnel engagé fonctionne en parfaite confiance, indépendamment de la hiérarchie militaire.
Phase 4 – L’impact
L’effet recherché dans le cyberespace présente l’avantage majeur de limiter les dommages collatéraux. Généralement, ce sont les données et les processus adverses fondés sur ces informations qui sont perturbés, fragilisant ainsi la capacité de commandement de l’ennemi.
L’impact sur le système cible est conçu en tenant compte des accès obtenus, de manière à maintenir l’effet pendant une période déterminée, même face aux contre-mesures adverses. Quelques exemples :
- Les données de l’ennemi sont chiffrées, empêchant ainsi le personnel adverse d’accéder aux sauvegardes et les rendant inaccessibles.
- Une page web ennemie est manipulée, les identifiants sur les serveurs web sont modifiés pour empêcher toute correction ou intervention.
Pour anticiper les ripostes, plusieurs actions complémentaires sont préparées, comme la modification simultanée des accès et le chiffrement des contenus. Parfois, les données introduites servent aussi à semer le doute chez l’ennemi. Images et textes peuvent le pousser à changer ses comportements, altérant la confiance qu’il porte à ses propres systèmes d’information.
Même lorsque le personnel technique adverse parvient à restaurer les fonctions des systèmes IT, de nombreuses manipulations peuvent rester indétectées. Ces traces permettent alors de poursuivre la surveillance à des fins d renseignement, afin de mieux comprendre les intentions futures de l’adversaire.
Phase 5 – La clôture
Lorsque le conflit prend fin, les actions menées sont en général « démontées », afin d’éviter que l’ennemi puisse tirer ultérieurement des conclusions sur l’origine des attaques. Toutefois, certains éléments préparatoires peuvent être laissés dans le réseau adverse pour gagner du temps lors d’une future escalade et permettre une nouvelle opération cyber contre le même adversaire.
En toutes circonstances, les forces cyber opèrent selon la devise : « Personne ne nous entend, personne ne nous voit, personne ne nous connaît ».