ENQUÊTE : Les cyber-armes forgées par la Russie contre l’Ukraine se propagent désormais à travers le monde

Du KGB au FSB, la généalogie d’une unité fantôme

Le Centre 16 n’existe pas. Officiellement. Aucun organigramme public du FSB ne le mentionne. Aucun communiqué de presse. Aucune conférence internationale. Et pourtant, cette unité héritière directe des opérations cybernétiques du KGB est devenue l’un des acteurs les plus dangereux du cyberespace mondial. Son existence a été confirmée par des agences de renseignement occidentales. Ses opérations ont été retracées par des équipes de threat intelligence privées. Ses empreintes numériques ont été retrouvées dans des systèmes critiques sur plusieurs continents.

Ce qui distingue le Centre 16 de Sandworm, c’est sa mission. Sandworm opère sous le GRU — le renseignement militaire — et mène des actes de guerre ouverts. Le Centre 16 opère sous le FSB, héritier du KGB. Sa spécialité : l’infiltration silencieuse. Pas la destruction immédiate. La préparation du terrain. Il s’assure qu’il pourra frapper demain. La différence entre un missile et une mine antipersonnel : l’un fait du bruit, l’autre attend.

Une unité de cyber-renseignement héritée du KGB, opérant depuis les entrailles du FSB, qui s’infiltre méthodiquement dans les infrastructures critiques du monde occidental. Si c’était le scénario d’un film, on dirait que c’est exagéré. Sauf que ce n’est pas un film.

L’héritage de Sandworm dans un nouvel écrin

Les analyses techniques sont formelles : le code du Centre 16 descend directement de Sandworm. Méthodologie identique. Vecteurs d’attaque similaires. Vulnérabilités ciblées dans les mêmes systèmes de contrôle industriel. Le GRU a transmis au FSB le mode d’emploi complet de ses armes numériques les plus sophistiquées. Mais Sandworm détruisait pour faire mal. Le Centre 16 infiltre pour avoir le pouvoir de détruire au moment choisi. Une doctrine de dissuasion cybernétique infiniment plus terrifiante.

Le transfert de compétences entre le GRU et le FSB s’est accéléré depuis la guerre en Ukraine. La Russie a désormais un écosystème intégré où les innovations de l’un deviennent les outils de l’autre. Les leçons du champ de bataille ukrainien sont converties en capacités offensives globales. Résultat tangible : la Pologne.

La centrale de cogénération, une cible stratégique

L’attaque contre la Pologne n’était pas aléatoire. Les hackers du FSB ont ciblé une centrale de cogénération majeure. Pas une petite installation de province. Une infrastructure stratégique qui alimente en électricité et en chaleur des milliers de foyers et d’entreprises. Le choix de la cible révèle une compréhension fine de l’architecture énergétique polonaise. Et il révèle autre chose : ces hackers avaient fait leurs devoirs. Ils connaissaient les systèmes. Ils connaissaient les failles. Ils savaient exactement où frapper pour produire le maximum de dommages avec le minimum de traces.

L’infiltration a duré la majeure partie de l’année 2025. Des mois. Les opérateurs du Centre 16 ont cartographié les réseaux internes, identifié les points de vulnérabilité, puis méthodiquement procédé à l’effacement de firmwares — ces logiciels profonds qui font fonctionner les équipements industriels. Effacer un firmware, c’est détruire le cerveau d’une machine. Rendre un équipement inutilisable jusqu’à sa réparation manuelle sur site, pièce par pièce.

Des mois. Pas des heures, pas des jours. Des mois entiers à se balader dans les entrailles numériques d’une infrastructure critique d’un pays de l’OTAN. Et personne ne les a vus.

Les stations solaires déconnectées : le signal d’alarme

Fin décembre 2025, les conséquences deviennent visibles. Des stations solaires se déconnectent soudainement du réseau de PSE, l’opérateur national polonais. La déconnexion est inexplicable par les paramètres techniques normaux. Il n’y a pas de surcharge, pas de défaillance matérielle, pas de conditions météorologiques extrêmes. Les équipes de PSE lancent une investigation. Ce qu’elles découvrent les glace : les systèmes ont été compromis de l’intérieur. Quelqu’un avait accès depuis des mois. Et ce quelqu’un venait de décider de montrer ce qu’il pouvait faire.

Et pourtant, l’attaque aurait pu être infiniment pire. Les hackers du FSB avaient la capacité de provoquer des dommages bien plus considérables. La déconnexion ressemblait à une démonstration de force. Un cambrioleur qui entre chez vous, réarrange vos meubles, repart sans rien voler. Juste pour que vous sachiez qu’il peut revenir. Avec un objectif différent.

L’Ukraine comme laboratoire à ciel ouvert

Depuis 2014, l’Ukraine sert de terrain d’essai pour les cyber-armes russes. Les chiffres compilés par le CSIS sont vertigineux. Entre 2000 et 2020, 30 incidents cybernétiques ont été publiquement attribués entre la Russie et l’Ukraine. Sur ces 30, 93 pour cent ont été initiés par Moscou. La cible principale ? Les acteurs privés non étatiques, visés dans 57 pour cent des cas. Les acteurs gouvernementaux non militaires dans 32 pour cent. L’armée ukrainienne elle-même dans seulement 11 pour cent. La Russie ne ciblait pas les soldats. Elle ciblait la société civile. Les entreprises. Les services publics. La vie quotidienne.

Cette stratégie découle d’une doctrine de guerre hybride où la déstabilisation de la société prime sur la destruction de l’armée. Couper l’électricité à des centaines de milliers de civils en plein hiver a un impact psychologique dévastateur. Quand votre chauffage s’arrête, quand vos hôpitaux perdent leur alimentation, quand vos communications tombent — vous êtes en guerre. La cyber-guerre est la guerre des nerfs.

Dix ans. Dix ans pendant lesquels un pays entier a servi de terrain d’expérimentation pour des armes numériques de plus en plus sophistiquées. Dix ans pendant lesquels le monde regardait ailleurs en se disant que c’était un problème ukrainien. Surprise : ça ne l’est plus.

Le bond quantitatif de 2022

Le 24 février 2022, quelques heures avant que les premiers chars russes ne franchissent la frontière ukrainienne, une cyberattaque frappe le système de communication par satellite Viasat. Plus de 30 000 connexions internet tombent à travers l’Europe. 5 000 éoliennes sont affectées. Ce n’est pas en Ukraine. C’est en Allemagne, en France, en Pologne. Le message est clair : la guerre ne s’arrête pas aux frontières ukrainiennes.

Entre novembre 2021 et mai 2022, les chercheurs ont identifié 47 incidents cybernétiques publiquement attribués, soit une augmentation de 75 pour cent par rapport aux niveaux d’avant-guerre. Les attaques se sont diversifiées : phishing, DDoS, propagande, wiper attacks coordonnées avec des frappes de missiles de croisière. Cette dernière combinaison est particulièrement terrifiante. Imaginez une cyberattaque qui coupe les systèmes de défense aérienne quelques secondes avant qu’un missile ne frappe sa cible. C’est exactement ce que la Russie a expérimenté en Ukraine. Et c’est exactement ce qu’elle sait désormais faire.

Au-delà de la cybernétique, une stratégie globale

Les cyber-armes ne sont qu’un élément d’une stratégie bien plus vaste. La guerre hybride russe combine les opérations cybernétiques, la désinformation, les opérations d’influence, le sabotage physique et la manipulation économique. Plus de 100 organisations dans plus de 40 pays ont été ciblées pour des intrusions réseau. Des équipes de manipulation persistante avancée ont planté de fausses narratives à travers les réseaux sociaux du monde entier. Le Groupe Wagner a été identifié comme opérant des pages Facebook de désinformation en Libye, en République centrafricaine, au Soudan, en RDC, à Madagascar et au Mozambique.

La sophistication est remarquable. En Afrique, les opérateurs russes utilisent des sous-traitants locaux et des locuteurs natifs. Des vidéos courtes, des concours, des formulaires Google pour collecter du feedback. Ce n’est pas de la propagande soviétique. C’est du marketing digital au service de la déstabilisation. Les mêmes méthodes irriguent les opérations cyber : outils personnalisés, attaques ciblées, constamment actualisées par les leçons du terrain ukrainien.

Plus de 100 organisations dans 40 pays. Ce n’est pas une série d’incidents isolés. C’est une campagne militaire menée à l’échelle planétaire, et la plupart des victimes ne savent même pas qu’elles sont sur la liste.

La cible invisible : les alliés de l’Ukraine

Depuis le début du conflit, les alliés de l’Ukraine sont devenus des cibles prioritaires. Du malware découvert sur les systèmes de production et de distribution d’électricité aux États-Unis. Des attaques par rançongiciel contre des fournisseurs logistiques polonais. Des sites web lituaniens ciblés après les restrictions de cargo imposées à la Russie. Des infrastructures critiques norvégiennes, finlandaises, estoniennes et lettones visées. Le Royaume-Uni a émis des avertissements spécifiques sur une augmentation du ciblage de ses propres infrastructures.

Et pourtant, malgré cette avalanche de signaux d’alarme, la réponse occidentale reste fragmentée. Chaque pays gère sa cybersécurité dans son coin. Les échanges de renseignements sont lents, bureaucratiques, soumis à des considérations diplomatiques. Pendant ce temps, le Centre 16 opère comme une unité militaire coordonnée, avec une chaîne de commandement claire, des objectifs stratégiques définis et des ressources que seul un État peut mobiliser. C’est un couteau chirurgical contre un filet troué.

Pourquoi le firmware est le talon d’Achille de l’Occident

Pour comprendre la gravité de ce que le Centre 16 a fait en Pologne, il faut comprendre ce qu’est un firmware. C’est le logiciel le plus profond d’une machine. Celui qui fait fonctionner le matériel avant même que le système d’exploitation ne se charge. Dans une centrale électrique, le firmware contrôle les turbines, les transformateurs, les systèmes de sécurité. Effacer un firmware, c’est comme effacer la mémoire d’un cerveau. La machine existe encore physiquement. Mais elle ne sait plus quoi faire. Elle ne sait plus qui elle est.

La remise en état est un cauchemar logistique. Il ne suffit pas de redémarrer. Il faut envoyer des techniciens sur site, flasher manuellement chaque composant. Pour une centrale : des semaines. Pour un réseau national : des mois. Pendant tout ce temps, l’infrastructure est morte.

On s’inquiète des missiles. On s’inquiète des chars. On s’inquiète des bombes. Mais la véritable arme de destruction massive du vingt-et-unième siècle tient dans quelques lignes de code capables d’effacer le cerveau de machines dont dépendent des millions de vies.

La doctrine de la destruction physique par voie numérique

L’effacement de firmware n’est pas une innovation russe. Son utilisation systématique contre des infrastructures critiques civiles l’est. Le Centre 16 vise la destruction physique par voie numérique. Rendre un équipement inutilisable sans envoyer un seul soldat. Le rêve de tout stratège : détruire sans être détruit.

Cette doctrine a été perfectionnée grâce à dix ans d’expérimentation en Ukraine. Les attaques de 2015 et 2016 contre le réseau électrique ukrainien étaient des prototypes. L’attaque contre la Pologne en 2025 est le produit fini. Plus discret, plus méthodique, plus difficile à détecter, plus dévastateur dans ses effets potentiels. Et le plus inquiétant : les experts estiment que la Pologne n’est probablement qu’un des nombreux pays où le Centre 16 a déjà pris position. Les autres ne le savent simplement pas encore.

Comment l’Ukraine a survécu à la cyber-guerre la plus intense de l’histoire

Face à cette offensive numérique sans précédent, l’Ukraine a développé des défenses qui font aujourd’hui référence dans le monde de la cybersécurité. Microsoft a déployé ses équipes de threat intelligence et de protection des points terminaux pour aider à résister aux attaques destructrices. Les données gouvernementales critiques ont été dispersées vers le cloud public d’AWS, rendant leur destruction physique impossible. Cloudflare a activé son Projet Galileo. Google a déployé son Projet Shield. C’est un arsenal de défense privé qui a comblé les lacunes que l’État ukrainien ne pouvait pas combler seul.

Le US Cyber Command a envoyé des équipes de hunt-forward directement en Ukraine — des spécialistes qui traquent les intrus dans les réseaux en temps réel. Ces déploiements ont été multipliés par trois en 2021, avant même l’invasion à grande échelle. L’Union européenne a activé sa Cyber Rapid Response Team. L’OTAN a renforcé sa coopération avec Kiev. Les opérations américaines de defend-forward ont permis de supprimer des malwares russes de réseaux à travers le monde. C’est un effort collectif d’une ampleur inédite.

L’Ukraine a survécu à la cyber-guerre la plus intense jamais menée contre un pays. Mais elle a survécu parce que les plus grandes entreprises technologiques de la planète et l’armée la plus puissante du monde sont venues l’aider. Qui viendra aider la Pologne? L’Estonie? La Lettonie?

Le modèle que l’Occident refuse d’adopter

Les leçons de la cyber-défense ukrainienne sont claires. La dispersion des données vers le cloud. La coopération public-privé en temps réel. Les équipes de traque proactive. La résilience par la redondance. Chacune de ces leçons pourrait être appliquée immédiatement par chaque nation européenne. Et pourtant, l’adoption reste désespérément lente. Les budgets de cybersécurité augmentent sur le papier. Les déclarations politiques se multiplient. Mais sur le terrain, les infrastructures critiques européennes restent vulnérables aux mêmes techniques que la Russie a perfectionnées en Ukraine depuis une décennie.

Le paradoxe est cruel. L’Ukraine a partagé ouvertement ses connaissances. Les recommandations sont précises. Les experts ukrainiens parcourent les capitales occidentales. La réponse : un hochement de tête poli suivi d’un retour aux procédures habituelles. Comme si ce qui s’est passé en Pologne n’était qu’un incident isolé.

Personne ne sait combien de systèmes sont compromis

C’est la question qui hante les experts en cybersécurité occidentaux. Combien de systèmes critiques le FSB a-t-il déjà infiltrés? La réponse honnête est : personne ne le sait. Et cette ignorance est peut-être la plus grande victoire de la guerre hybride russe. Les infiltrations dormantes sont, par définition, invisibles jusqu’à leur activation. Le Centre 16 a passé des mois dans les systèmes polonais avant que quiconque ne détecte sa présence. Combien d’autres infiltrations du même type existent en Allemagne? En France? En Italie? Au Canada?

Aux États-Unis, du malware russe a été découvert sur des systèmes de production et de distribution d’électricité au début du conflit ukrainien. Cette découverte, loin de rassurer, a ouvert un abîme d’incertitude. Si du malware a été trouvé, combien n’a-t-il pas été trouvé? Les réseaux de contrôle industriel sont notoirement difficiles à auditer. Beaucoup fonctionnent sur des systèmes anciens, rarement mis à jour, rarement surveillés en temps réel. Ce sont des cibles parfaites pour une infiltration à long terme. Et la Russie le sait depuis 2014.

La pire forme de menace n’est pas celle que vous voyez. C’est celle dont vous soupçonnez l’existence sans pouvoir la localiser. C’est exactement la situation dans laquelle se trouve l’Occident face aux infiltrations dormantes du FSB.

La logique de la dissuasion par le doute

Cette incertitude n’est pas un effet secondaire. C’est l’objectif principal. Le concept emprunté à la dissuasion nucléaire : pas besoin d’utiliser l’arme, juste que l’adversaire croie que vous le pouvez. Chaque infiltration découverte envoie le même message. Aider l’Ukraine devient plus risqué. Voter des sanctions devient plus complexe. Coercition sans violence.

L’ancien directeur de la NSA, Keith Alexander, a averti que les cyberattaques sont probablement en tête des options russes. Et pourtant, comme le note James Lewis du CSIS, elles n’ont jamais contraint un pays à changer de politique. Sur 113 incidents cybernétiques russes entre 2000 et 2020, un seul — 0,088 pour cent — a produit une concession tangible.

Les nouvelles cibles de Moscou

La liste des cibles ressemble à un annuaire de l’OTAN. La Pologne : rançongiciels puis infiltration de centrale. La Lituanie : sites web attaqués après des restrictions de cargo. La Norvège, la Finlande, l’Estonie, la Lettonie. Le Royaume-Uni : avertissement formel sur l’augmentation du ciblage. Les États-Unis : malware dormant dans les systèmes énergétiques.

Le schéma est clair : chaque pays qui soutient l’Ukraine devient une cible potentielle. Pas une attaque frontale. Une infiltration silencieuse, une présence dormante prête à être activée par le Kremlin. Une épée de Damoclès numérique au-dessus de chaque capitale occidentale.

On pensait que la guerre cybernétique russo-ukrainienne resterait russo-ukrainienne. Comme on pensait que la guerre tout court resterait dans les frontières de l’Ukraine. Le même aveuglement. Les mêmes conséquences.

De l’Ukraine au monde : la logique de l’escalade

L’internationalisation suit une logique implacable. Phase un : test en Ukraine, 2014-2022. Phase deux : débordement accidentel via NotPetya en 2017. Phase trois : ciblage délibéré des alliés de l’Ukraine dès 2022. Phase quatre : infiltration profonde des infrastructures occidentales, révélée en Pologne en 2025. La phase cinq n’a pas eu lieu. Mais elle est inscrite dans la logique de l’escalade : activation simultanée de multiples infiltrations dormantes pour paralyser plusieurs pays.

Les experts de l’OTAN ont documenté la coordination entre cyberattaques et opérations militaires conventionnelles en Ukraine. Attaques simultanées contre les systèmes de commandement et contrôle, la logistique, les services d’urgence. Cette intégration cyber-conventionnelle est une innovation militaire majeure, perfectionnée en Ukraine avant son déploiement potentiel contre des cibles occidentales.

L’illusion de la connectivité

L’Occident est victime de sa propre réussite. Chaque avancée dans la numérisation, chaque automatisation crée une nouvelle surface d’attaque. Les réseaux électriques intelligents : plus efficaces mais plus vulnérables. Les systèmes de contrôle industriel connectés : plus pratiques mais plus exposés. Les chaînes d’approvisionnement numériques : plus rapides mais autant de portes d’entrée.

L’attaque SolarWinds de 2020 l’a prouvé. Un seul fournisseur compromis. Des milliers de victimes parmi les agences gouvernementales et entreprises. Le Centre 16 opère selon la même logique mais avec des cibles plus critiques : les systèmes de contrôle industriel dont dépend la vie de millions de personnes.

Nous avons construit des sociétés entièrement dépendantes de systèmes numériques que nous ne savons pas protéger. Et nous avons un adversaire qui passe ses journées à découvrir comment les détruire. L’équation n’a rien de rassurante.

Le fossé entre la menace et la réponse

Le fossé entre la sophistication des cyber-armes russes et les défenses occidentales est abyssal. Les budgets augmentent de manière linéaire face à une menace exponentielle. Le partage d’informations entre alliés reste entravé par des classifications de sécurité et des rivalités bureaucratiques. Le temps de détection d’une intrusion dans un réseau industriel se mesure en mois.

La Russie jouit d’un avantage structurel. Un État autoritaire n’a pas besoin de coordonner entre 27 démocraties divergentes, entre régulateurs nationaux et normes européennes. Le Centre 16 reçoit un ordre et l’exécute. Les démocraties reçoivent un avertissement et organisent un comité.

Le scénario du cauchemar

Attaque coordonnée multi-vecteurs. Activation simultanée de centaines d’infiltrations dormantes. Les réseaux électriques tombent en Pologne et dans les pays baltes. Les systèmes de communication sont perturbés en Allemagne. Les chaînes logistiques paralysées au Royaume-Uni. Coordonné avec une offensive de désinformation massive et des provocations militaires aux frontières de l’OTAN.

Pas de la science-fiction. Chaque composante a été individuellement testée. Destruction de réseaux électriques : Ukraine, 2015-2016. Perturbation de communications satellitaires : Viasat, 2022. Infiltration de centrales : Pologne, 2025. Coordination cyber-conventionnelle : toute la guerre en Ukraine. Désinformation à échelle industrielle : plus de 40 pays. C’est un puzzle dont toutes les pièces existent. Reste à savoir quand la Russie les assemblera.

Chaque pièce de ce puzzle a été testée individuellement. Le réseau électrique. Les satellites. Les centrales. La désinformation. La coordination avec des opérations militaires. Nous avons vu chaque pièce séparément. Nous refusons d’imaginer le tableau complet.

L’arme de la dernière chance ou l’outil du quotidien

Arme de dissuasion ou outil de coercition quotidienne? La Russie utilise ses cyber-capacités comme un thermostat : pression quand les sanctions se durcissent, quand les livraisons d’armes s’intensifient, quand le soutien occidental franchit un palier. Relâchement quand elle obtient ce qu’elle veut.

Mais ce thermostat a un défaut fatal. Une escalade accidentelle est toujours possible. NotPetya l’a prouvé : les cyber-armes échappent à leurs créateurs. Un incident interprété comme un acte de guerre par un pays de l’OTAN transformerait la coercition cybernétique en conflit ouvert. Personne, ni à Moscou ni ailleurs, n’y est préparé.

Votre quotidien dépend de systèmes que des hackers d’État peuvent éteindre

Votre chauffage. Votre électricité. Votre eau courante. Votre connexion internet. Vos transactions bancaires. Les feux de circulation de votre ville. Le système informatique de l’hôpital. Chacun de ces systèmes repose sur des infrastructures numériques que des agents du FSB savent infiltrer et détruire.

La cyber-guerre n’est pas une guerre entre soldats. C’est une guerre contre des civils. Les statistiques le confirment : en Ukraine, 59,6 pour cent des cibles étaient des acteurs privés non étatiques. Des entreprises. Des services publics. Des citoyens ordinaires. C’est la grande différence avec la guerre conventionnelle : dans la cyber-guerre, il n’y a pas de front. Il n’y a pas de zone de combat délimitée. Chaque foyer, chaque entreprise, chaque hôpital est un champ de bataille potentiel.

La prochaine fois que vous allumez votre lumière et que rien ne se passe, souvenez-vous que des gens travaillent jour et nuit, quelque part en Russie, pour que ce moment arrive. Et d’autres travaillent jour et nuit, quelque part en Occident, pour que cela n’arrive jamais. La question est de savoir lesquels sont en avance.

L’urgence d’une prise de conscience collective

La cybersécurité doit devenir un sujet de débat public, au même titre que la défense nationale. Les citoyens ont le droit de savoir dans quel état se trouvent les défenses numériques de leur pays. Et la vérité, c’est que nous sommes en retard. Face à un adversaire qui a dix ans d’avance parce qu’il a eu un terrain d’entraînement grandeur nature que nous avons regardé de loin.

Ils ne sont pas restés là-bas. Ils sont ici. Dans les câbles sous nos pieds. Dans les serveurs qui alimentent nos villes. Dans les firmwares des machines dont nous dépendons. La Russie a forgé ses cyber-armes dans le feu de la guerre en Ukraine. Ces armes sont pointées vers nous. L’horloge tourne. Pas en notre faveur.

Le verdict de l’enquête

Les faits sont là. Le Centre 16 du FSB, héritier du KGB, a développé des cyber-armes directement dérivées de celles de Sandworm, testées et perfectionnées pendant dix ans sur le champ de bataille ukrainien. Ces armes ont été déployées contre la Pologne, un membre de l’OTAN, avec une infiltration qui a duré des mois et qui a abouti à l’effacement de firmwares dans une centrale de cogénération majeure et à la déconnexion de stations solaires du réseau national. Un nombre inconnu de systèmes critiques à travers le monde occidental sont potentiellement compromis par des infiltrations dormantes similaires.

Nous avons passé dix ans à regarder la Russie forger ses armes numériques sur le dos de l’Ukraine. Nous avons hoché la tête. Nous avons émis des communiqués. Nous avons voté des résolutions. Et maintenant ces armes sont dans nos murs. Le prochain chapitre de cette histoire dépend entièrement de ce que nous décidons de faire dans les mois qui viennent. Ne rien faire n’est plus une option. Ça ne l’a jamais été.

Ce qui reste quand les rapports sont fermés

Il reste une certitude et une question. La certitude : la guerre cybernétique russe s’est internationalisée. Ce n’est plus un problème ukrainien. C’est un problème mondial. La question : combien de temps faudra-t-il aux démocraties occidentales pour réagir à la hauteur de la menace? L’Ukraine a montré la voie. Elle a survécu à la cyber-guerre la plus intense de l’histoire grâce à une combinaison de résilience, d’innovation et de coopération internationale. Le modèle existe. Les leçons sont documentées. Les experts sont disponibles. Il ne manque qu’une chose : la volonté politique de traiter cette menace pour ce qu’elle est. Non pas un risque futur. Mais un danger présent. Actif. Documenté. Et qui grandit chaque jour.

Signé Maxime Marquette