Cyberattaques de 2007 contre l'Estonie

À partir du 27 avril 2007, l'Estonie — l'une des sociétés les plus dépendantes du numérique au monde — a été frappée par un déferlement de trois semaines d'attaques par déni de service distribué (DDoS) qui ont mis hors ligne les services gouvernementaux, bancaires et médiatiques. C'était la première fois que des cyberattaques étaient utilisées pour perturber le fonctionnement de base d'un État-nation tout entier, et cela a durablement transformé la façon dont l'OTAN et les gouvernements occidentaux conçoivent le cyberconflit.

Ce qui s'est passé

Le déclencheur était politique. Le 26 avril 2007, les autorités estoniennes ont commencé à déplacer le Soldat de bronze de Tallinn, un mémorial de guerre de l'ère soviétique, provoquant de violentes émeutes au sein de la minorité russophone et une condamnation furieuse de Moscou. En quelques heures, les sites web estoniens ont été attaqués.

La campagne s'est déroulée en deux phases. La première phase (à partir du 27 avril) était relativement rudimentaire — inondations de ping, scripts DDoS simples diffusés sur des forums russophones, et défigurations de sites web. La seconde phase, débutant vers le 4 mai, était nettement plus sophistiquée : de grands botnets de dizaines de milliers d'ordinateurs détournés à travers le monde dirigeaient des flots de trafic coordonnés vers des cibles précises. L'assaut a culminé le 9 mai, jour de la Victoire en Russie.

Impact

• Les portails gouvernementaux et parlementaires, les ministères, les deux plus grandes banques (dont Hansabank), les principaux journaux, les diffuseurs et les fournisseurs d'accès ont été rendus par intermittence ou totalement inaccessibles.
• La banque en ligne — au cœur de la vie quotidienne estonienne — a été à plusieurs reprises mise hors service, et au plus fort de la crise, l'Estonie a été contrainte de couper une grande partie du trafic internet international pour maintenir ses services à l'échelle nationale.
• Les attaques ont causé des perturbations et des dommages économiques plutôt qu'un vol de données ; aucun enregistrement n'a été exfiltré.

Attribution

L'attribution s'est révélée difficile et politiquement sensible. Une grande partie du trafic malveillant était d'origine russophone et la chronologie coïncidait avec la rhétorique du Kremlin, mais l'Estonie n'a pas pu prouver une direction étatique directe. En 2009, Konstantin Goloskokov, commissaire du mouvement de jeunesse pro-Kremlin Nashi, a publiquement revendiqué la responsabilité. Le gouvernement russe a nié toute implication et a refusé de coopérer à l'enquête estonienne. Une seule personne — Dmitri Galushkevich, un étudiant estonien russophone — a été condamnée, et seulement pour une petite partie de l'activité.

Pourquoi c'est important

Les attaques de 2007 constituent le cas fondateur du cyberconflit entre États. Elles ont démontré qu'une campagne DDoS à motivation politique pouvait perturber une société numérique moderne sans tirer un seul coup de feu, et elles ont forcé l'OTAN à se demander si une telle attaque pouvait déclencher la défense collective au titre de l'article 5. L'héritage institutionnel direct a été l'établissement du Centre d'excellence pour la cyberdéfense coopérative de l'OTAN (CCDCOE) à Tallinn en 2008, qui a ensuite produit le Manuel de Tallinn sur le droit international applicable à la cyberguerre — faisant paradoxalement de l'Estonie la capitale mondiale de la réflexion sur la cyberdéfense.