L’invasion à grande échelle de l’Ukraine par la Russie le 24 février 2022 a entraîné de nombreuses évolutions dans la manière dont la guerre est menée des deux côtés de la ligne du front. S’il faut d’emblée préciser que nombre de ces changements sont en fait plutôt des accélérations de tendances préexistantes, à l’image des cyberattaques menées par la Russie qui ont connu une première explosion après l’annexion de la Crimée et le début de la guerre en 2014, les transformations sont également étroitement liées à celles que connaissent tous les secteurs de la société depuis l’avènement de l’IA générative.
Cet article se propose de faire le point sur ce que nous savons aujourd’hui des capacités cybernétiques de la Russie, près de quatre ans après que ses chars ont tenté de prendre Kiev. Précisons d’abord le périmètre de cette réflexion. Il existe en effet une différence fondamentale entre les représentations de ce que signifie le terme « cyber » dans les États européens et nord – américains et en Russie. Dans le premier cas, il renvoie plutôt aux couches basses de l’Internet (c’est-à‑dire les infrastructures, les protocoles, tout ce qui est invisible pour l’utilisateur) et se distingue nettement du domaine « informationnel » qui concerne les couches hautes (les applications qui reposent sur Internet et les informations et messages qui y circulent). Une intrusion de pirates dans un système pour l’espionner ou le détruire correspondra aux représentations de ce qu’est une « cyberattaque », là où l’activité de fermes à trolls ne sera pas spontanément associée. En Russie, le préfixe « cyber » existe, mais est un emprunt à l’anglais peu utilisé. On lui préfère l’adjectif « informationnel » ; ainsi, la traduction la plus courante de « cyberespace » en russe sera « espace informationnel ». Cette logique induit de considérer ce que nous qualifions de « cyber » non pas comme un domaine séparé, mais comme une partie d’un continuum commençant avec les câbles sous – marins et se terminant avec les informations consultées par les internautes. Nous nous conformerons ici à cette représentation.
Dans le domaine offensif, les quatre années de guerre ouverte ont permis de constater une intensification des tendances déjà observables avant 2022. Les attaques cyber russes se caractérisent d’abord par une forte centralisation opérationnelle doublée d’une externalisation partielle de leur exécution, ce dernier point troublant les limites entre acteurs militaires et civils. Les attaques sont coordonnées entre elles ainsi qu’avec les actions militaires physiques et les déclarations politiques, en particulier pour les groupes directement associés aux services de renseignements, au premier rang desquels APT28 (Fancy Bear), APT29 (Cosy Bear) et APT44 (Sandworm, groupe auquel plusieurs entreprises de cybersécurité affilient Cyber Army of Russia Reborn, Xaknet et Solntsepek) (1).
Les opérations de ces derniers se caractérisent en outre par leur forte sophistication, l’utilisation récurrente de failles 0‑day (2) et de virus customisés, et des attaques à double emploi visant à la fois à occasionner des destructions et à voler des données. Ces attaques ciblent aussi bien l’Ukraine que les États alliés. On constate également que les cyberattaques à visée destructive ciblent surtout les secteurs des télécommunications et des infrastructures critiques, tandis que les opérations d’espionnage se concentrent davantage sur les entités gouvernementales et les secteurs de la défense et de la technologie. L’une des attaques les plus significatives est celle menée contre l’opérateur ukrainien Kyivstar en décembre 2023, attribuée à Sandworm. Les attaquants ont infiltré le réseau dès mai 2023 pour détruire 40 % de l’infrastructure en décembre, privant 24 millions d’utilisateurs de services pendant plusieurs jours et perturbant les systèmes d’alerte aérienne.
À ces groupes étatiques s’ajoute un grand nombre de cybercriminels ou de « hacktivistes » prorusses, dont quelques noms comme Killnet et NoName057 sont apparus dans la presse européenne. Avec les acteurs étatiques, cela porte le nombre de groupes agissant dans les intérêts de la Russie à plusieurs dizaines : rien qu’en juillet 2023, la newsletter Cyberknow en dénombrait 72, soit davantage que les 51 groupes identifiés du côté ukrainien (3). Ces acteurs possèdent un niveau de technicité beaucoup plus hétérogène : alors que certains groupes cybercriminels disposent de leurs propres virus et infrastructures, les groupes de « hacktivistes » mènent principalement des attaques par déni de service (4) et pratiquent le doxxing (5). Une partie de ces derniers recrutent d’ailleurs des volontaires sur le réseau social Telegram et mettent à leur disposition des kits permettant de participer à leurs attaques même sans connaissance technique, parfois contre une rémunération en cryptomonnaie.
Bien que, dans leur cas, rien ne permette d’affirmer avec certitude qu’ils reçoivent des instructions directes de l’État, une part importante des attaques attribuées à ce type d’acteurs est également corrélée aux évolutions autour de la guerre en Ukraine. Ainsi, de multiples attaques de NoName057 en Europe entre 2022 et 2023 ont fait suite à des visites d’officiels ukrainiens ou à des déclarations sur un soutien militaire à l’Ukraine. Certaines actions relèvent par ailleurs davantage de l’opportunisme : l’attaque ayant paralysé les services de La Poste en décembre 2025 a été revendiquée par NoName057 sans qu’il soit possible à l’heure actuelle de confirmer son implication. Que cette revendication se confirme ou non, le résultat de l’attaque a été plus informationnel que technique : son effet principal en dehors des retards de livraison a été de faire parler de la Russie lors des fêtes de fin d’année en France.
Cette corrélation entre incident « réel » et impact informationnel est devenue au cours des dernières années de plus en plus systématique. Ainsi, si l’on avait l’habitude avant 2022 des campagnes de trolls sur les réseaux sociaux et des diffusions de fausses informations par des médias et des pages internet russes – qui se sont par ailleurs également intensifiées grâce à l’usage de l’intelligence artificielle tant pour leur automatisation que pour la création des faux contenus –, on constate aujourd’hui une nette augmentation des opérations clandestines menées jusque sur le sol européen avec des finalités informationnelles. La clandestinisation concerne également les médias russes qui, malgré leur interdiction en Europe, usent de divers moyens comme le dépôt de noms de domaine alternatifs ou la diffusion de contenus vidéo via des canaux qui n’ont aucun lien officiel avec eux.
Les affaires des tags d’étoiles de David et de mains rouges à Paris, ainsi que celle du dépôt de têtes de porc devant des mosquées françaises, sont caractéristiques de ces opérations. Des citoyens non russes, ignorant souvent quel est le véritable commanditaire, sont recrutés contre rémunération pour mener une action qui, dans un premier temps, provoque la confusion et appuie sur des sujets sensibles dans la société cible et, dans un deuxième temps, est attribuée à la Russie, imposant dans le débat public l’idée d’une menace russe permanente malgré les dénégations de ses officiels. Ces opérations ont pour objectif à la fois d’aggraver les fractures au sein de la population et de saper la volonté d’opposition aux intérêts russes, tout particulièrement le soutien à l’Ukraine. Précisons néanmoins que la désinformation comme les opérations clandestines semblent peu efficaces : en 2025, selon une étude du think tank Destin Commun, la majorité des Européens continuent de soutenir l’Ukraine et de percevoir la Russie comme une menace, et les clivages sur le sujet restent plus liés aux dynamiques sociopolitiques nationales qu’aux opérations russes (6).
Tout comme pour les cyberattaques, l’aspect stratégique de ces actions est coordonné au sein de l’État : c’est l’administration présidentielle, soit les fonctionnaires du Kremlin, et particulièrement les équipes du vice – directeur Sergueï Kirienko, qui ont la charge de ce type de manœuvres. L’exécution est quant à elle externalisée à des sociétés privées spécialisées dans l’influence informationnelle, telles que la Social Design Agency (SDA) d’Ilya Gambashidze. La jonction entre ces entités et le Kremlin se fait par des structures appelées ANO (« organisations autonomes à but non commercial », sortes d’associations dont les dirigeants sont en réalité proches des structures étatiques, voire en proviennent directement). C’est particulièrement le cas d’ANO Dialog, qui reçoit des financements pour mener ses propres opérations informationnelles et distribue une partie de ces fonds à des entreprises comme la SDA. Ce modèle à trois étages a commencé à se développer avant même 2022, mais s’est imposé après la mutinerie avortée d’Evgueni Progojine à l’été 2023, qui a occasionné une accélération du processus de raffermissement du contrôle de l’État sur ce type d’opérations.
Soulignons que ces opérations informationnelles ne visent pas seulement à déstabiliser les sociétés européennes, mais aussi à maintenir la population russe sous contrôle. En parallèle de ses opérations informationnelles ciblant l’Europe, ANO Dialog surveille les opinions de la population via son organisation sœur, ANO Dialog Regiony, qui possède des équipes dans chacune des régions de la Fédération de Russie. Celles-ci détectent, grâce à des outils numériques, les plaintes des habitants sur les réseaux sociaux et ont pour mission de les transmettre aux autorités locales afin de mettre en scène une réponse du pouvoir aux problèmes du quotidien du peuple. En parallèle, elles contrôlent anonymement des groupes sur les réseaux sociaux et collaborent avec des « leaders d’opinion publics » (professeurs d’écoles locales, acteurs ou encore blogueurs) pour diffuser sur leurs pages des messages favorables au travail des autorités locales et nationales arborant un vernis d’authenticité et de spontanéité. Enfin, ANO Dialog Regiony a mis en place des structures spécialisées imitant les activités de fact-checking afin de décrédibiliser les informations provenant de l’étranger. L’ensemble de ces missions poursuit un même objectif : sécuriser l’espace informationnel russe par le contrôle.
Cette sécurisation ne se limite cependant pas à l’opinion des citoyens. En effet, la guerre avec l’Ukraine et la reconnaissance de « l’Occident » comme adversaire déclaré a amené l’État russe à mettre en œuvre une série de mesures pour protéger ses infrastructures à la fois contre des risques présupposés et contre des attaques bien réelles d’acteurs ukrainiens. En particulier, les Ukrainiens ont mis en place des centres d’appels frauduleux dérobant de l’argent et des informations personnelles aux citoyens russes, tandis que les attaques menées par les drones sont rendues possibles grâce au contrôle à distance via Internet. Ces menaces ont accéléré des politiques en cours de mise en place depuis les années 2010. De nombreuses lois ont été promulguées pour lutter contre les appels frauduleux et criminaliser le vol de données personnelles, tandis que le réseau mobile a connu des coupures de plus en plus fréquentes, officiellement pour empêcher les attaques de drones (7).
Une part importante des mesures de défense de l’État russe vise à contrôler les flux de données selon une logique de territorialisation de l’espace numérique. Depuis 2022, on constate que plusieurs sites, dont celui du Kremlin, ont mis en place des restrictions géographiques (geofencing), bloquant ainsi les connexions provenant de certains pays. Par ailleurs, depuis la loi dite du « RuNet souverain » de 2019, les fournisseurs d’accès à Internet russes ont l’obligation d’installer sur leur réseau des boîtiers DPI (Deep packet inspection), également appelés TSPU dans la loi russe (pour « appareils de lutte contre les menaces »), des appareils filtrant le trafic internet russe qui ont notamment permis de restreindre l’accès à certains réseaux sociaux étrangers. Ce point a parfois déclenché des protestations, notamment dans le cas du blocage de Discord, réseau dont les fonctionnalités en ont également fait un outil de pilotage de drones utilisé par l’armée russe elle – même (8). L’État russe cherche par ailleurs depuis 2025 à imposer l’utilisation de MAX, une messagerie supposée remplacer WhatsApp et Telegram – dont une partie des fonctionnalités a cessé de fonctionner précisément lors du lancement de MAX – destinée à devenir une super – application sur le modèle de l’application chinoise WeChat et dont l’absence de chiffrement permet la surveillance de toute communication par le FSB. Le contrôle des TSPU a connu une nette centralisation depuis 2022, donnant à Roskomnadzor, le gendarme des télécoms russes, un droit de regard sur d’importants pans du réseau russe – bien que cela constitue également une forme de vulnérabilité.
Précisons enfin que les TSPU jouent également un rôle indirect dans l’annexion des territoires ukrainiens : le réseau des territoires occupés est généralement rerouté pour forcer le passage des données vers le réseau russe avant toute autre destination, infligeant de fait les mêmes restrictions aux habitants de ces zones qu’aux habitants de la Russie. Ainsi, ce qui est présenté comme une série de mesures visant à défendre la Russie de manœuvres hostiles provenant de l’étranger sert finalement à une expansion de ses capacités de contrôle au – delà de ses frontières numériques. On peut dresser là un parallèle avec la rhétorique de l’État faisant de l’invasion de l’Ukraine une mesure défensive face à une agression fantasmée de l’OTAN, reflétant une vision selon laquelle la sécurité s’obtient avant tout par le contrôle, dans la pure continuité de la pensée stratégique russe.
Notes
(1) « The Russia-Ukraine Cyber War Part 1: Three Years of Cyber Warfare », Level Blue, 20 février 2025 (https://levelblue.com/blogs/spiderlabs-blog/three-years-of-cyber-warfare-how-digital-attacks-have-shaped-the-russia-ukraine-war)
(2) Faille informatique encore jamais découverte.
(4) Attaques DDoS, consistant à multiplier les connexions pour saturer les capacités d’un serveur.
(5) Vol et révélation de données personnelles en ligne, qui peuvent ensuite être récupérées librement par des acteurs malveillants.
(6) « Ukraine : Comment les Européens voient-ils la fin de la guerre ? », Le Grand Continent, 5 décembre 2025 (https://legrandcontinent.eu/fr/2025/12/05/sondage-europeens-ukraine).
(7) Luke Rodeheffer, « Russia’s War Against Ukraine Driving Evolution of Cyber Warfare », Eurasia Daily Monitor, vol. 21, no 101, 7 mars 2023 (https://jamestown.org/russias-war-against-ukraine-driving-evolution-of-cyber-warfare).
(8) Anastasia Gorokhova, « Discordant », Novaya Gazeta Europe, 14 octobre 2024 (https://novayagazeta.eu/articles/2024/10/14/discordant-en).
Kélian Sanz-Pascual
