Cyberguerre 2025 : des espions numériques aux coupures ciblées – comment les États militarisent l’invisible
Un ingénieur de maintenance appuie sur une icône dans un centre de contrôle ukrainien ; quelques secondes plus tard, des transformateurs sautent et deux cent mille foyers plongent dans le noir.
Derrière ce geste anodin, les enquêteurs retrouveront la trace de Sandworm, unité du renseignement militaire russe, et d’un wiper baptisé SwiftSlicer déployé des mois plus tôt à l’intérieur du réseau électrique national — patience et précision chirurgicale.
La scène illustre le nouveau tempo de la cyberguerre : infiltrer, patienter, frapper.
Les services liés aux États ne se contentent plus d’exfiltrer des fichiers ; ils prennent racine, cartographient les systèmes industriels et attendent la crise opportune pour appuyer sur le bouton.
De l’intrusion discrète à la paralysie éclair
Aux États-Unis, les analystes suivent depuis 2023 la progression du collectif chinois Volt Typhoon.
Ses opérateurs n’installent presque aucun malware : ils détournent PowerShell, WMI et d’authentiques comptes administrateurs pour rester invisibles, une technique connue sous le nom de living-off-the-land.
Les agences de sécurité estiment qu’ils ont déjà accès à des réseaux d’eau, d’électricité et de transport, prêts à provoquer une panne si Pékin le commande demain .
L’espionnage pur reste rentable.
Lorsque le groupe chinois Storm-0558 a subtilisé une clé de signature Microsoft, il l’a utilisée pour forger des jetons d’accès et lire le courrier de vingt-cinq organismes occidentaux pendant plus d’un mois — une opération d’une élégance rare : aucun e-mail piégé, aucun rançongiciel, seulement une porte dérobée sur le cloud.
Au Moyen-Orient, la rivalité s’exporte.
À la fin de 2023, un collectif pro-iranien s’est vanté d’avoir pris le contrôle d’un automate d’une petite compagnie des eaux de Pennsylvanie ; l’incident a tourné court, mais il rappelle que le sabotage hydraulique n’est plus une fiction de série télé.
L’Afrique entre dans la danse
Le continent sert à la fois de terrain d’essai et de cible stratégique.
Le 14 mars 2024, trois câbles sous-marins rompus au large de la Côte d’Ivoire ont ralenti l’internet de treize pays ouest-africains.
Les opérateurs télécoms et banques ont découvert leur dépendance à une poignée de fibres tendues dans l’Atlantique .
Quelques mois plus tôt, le Kenya voyait sa vitrine numérique e-Citizen, qui héberge plus de 5 000 services publics, s’effondrer sous un déluge de requêtes DDoS revendiqué par « Anonymous Sudan » : passeports, visas et paiements en ligne sont restés inaccessibles plusieurs jours.
Le 8 avril dernier, les Marocains qui tentaient de consulter la Caisse nationale de sécurité sociale (CNSS) ont d’abord cru à une simple panne. Quelques heures plus tard, un groupe baptisé « Jabaroot DZ » propageait sur Telegram des fichiers contenant noms, salaires et numéros de comptes bancaires : près de deux millions de personnes exposées, du petit commerçant aux dirigeants de grandes entreprises. Les autorités parlent déjà de la cyberattaque « la plus grave » de l’histoire du pays, largement imputée à des pirates algériens sur fond de tensions autour du Sahara Occidental
L’Afrique est en quelque sorte le laboratoire des nouvelles tensions : ports, lignes à haute tension, hubs cloud, infrastructures africaines attirant à la fois investisseurs et attaquants.
Saboter un port comme Durban ou Tanger Med, c’est enrayer la logistique mondiale du cobalt, du cacao ou des batteries électriques.
Les experts redoutent déjà un scénario « cyber-Suez » : un blocage numérique qui ferait flamber les prix du fret et des matières premières. Il y a quelques jours ce fut le cas du Maroc qui subissait le blocage de son réseau de sécurité sociale via l’infiltration de son réseau CNSS.
Pourquoi l’Afrique devient le nouveau front numérique ?
Sur le continent, la révolution digitale avance à pas de géant mais sur un terrain inégal : banques mobiles, fiches de paie en ligne ou portails d’e-gouvernement fleurissent plus vite que les pare-feu capables de les protéger.
Cette croissance « leapfrog », où l’on saute directement à des services critiques connectés, ouvre une brèche tentante pour les espions et saboteurs.
S’y ajoute la géopolitique : du Sahara à la mer Rouge en passant par le golfe de Guinée, chaque zone sensible recoupe un autre conflit, qu’il soit énergétique, minier ou simplement stratégique.
Or l’arsenal défensif reste maigre : d’après l’Union internationale des télécommunications, seuls quatre pays africains consacrent plus de 0,1 % de leur PIB à la cybersécurité, quand l’Europe affiche 0,35 %.
Ce qu’il faudra suivre en 2025.
Les grandes puissances lorgnent déjà sur les mégaprojets cloud qui se multiplient à Lagos, Nairobi ou Casablanca ; un accès privilégié à ces data centers panafricains vaudrait des kilos d’or en renseignements industriels.
Les urnes seront également sous pression : l’Afrique du Sud et le Ghana, tous deux attendus aux scrutins l’an prochain, redoutent un déluge de deepfakes et de tentatives de piratage de leurs commissions électorales.
Enfin, la route maritime Tanger Med–Durban, colonne vertébrale des échanges intra-africains, concentre à elle seule près de 40 % du trafic régional : un sabotage prolongé des systèmes OT d’un seul port pourrait amputer de plusieurs points le PIB d’une demi-douzaine de pays.
Quand l’Occident passe lui aussi derrière le clavier : les cyber-offensives Made in USA et Made in Europe
Washington et plusieurs capitales européennes ne se contentent plus de défendre leurs propres frontières numériques.
Ils prennent désormais l’initiative.
Dans l’ombre des grandes « cyber-puissances » asiatiques, ces opérations occidentales racontent une autre facette de la géopolitique des câbles et des paquets IP.
Washington : une doctrine assumée de « perturbation persistante »
Le coup d’envoi remonte à l’opération « Olympic Games » – mieux connue via le ver Stuxnet, développé conjointement avec Israël et lâché sur les centrifugeuses iraniennes au tournant des années 2010.
L’enquête du Washington Post crédite ce programme d’avoir retardé le programme nucléaire de Téhéran sans tirer un seul missile.
Depuis, le Pentagone a formalisé la stratégie de « persistent engagement » : frapper en continu, en dessous du seuil d’un conflit armé classique.
On la voit à l’œuvre en 2016 avec Glowing Symphony, l’attaque lancée par Cyber Command pour saboter la propagande en ligne de l’État islamique et détourner ses comptes d’hébergement.
En novembre 2018, des opérateurs américains ont même « débranché » le célèbre troll factory de Saint-Pétersbourg, l’Internet Research Agency, le jour des élections de mi-mandat, histoire de brouiller la mécanique de désinformation russe – un premier usage offensif revendiqué contre Moscou .
La nouveauté, c’est l’emploi d’outils judiciaires pour agir hors frontières : l’opération « Duck Hunt » (août 2023) a permis au FBI de se connecter aux machines infectées par le botnet Qakbot, d’en supprimer le malware et de saisir 8,6 millions de dollars en cryptomonnaies – une action de hacking « légal » à l’échelle planétaire.
En février 2024, un mandat similaire a autorisé la police fédérale à neutraliser, depuis les États-Unis, un réseau de routeurs compromis par le renseignement militaire russe (GRU) et utilisés pour des campagnes de spear-phishing à l’étranger.
Londres, Bruxelles … et la tentation de l’offensive européenne
L’Europe n’est pas en reste, même si ses opérations restent moins médiatisées.
Révélé par les dossiers Snowden puis confirmé par une enquête judiciaire belge, « Operation Socialist » montre comment le GCHQ britannique a piraté l’opérateur télécoms Belgacom dès 2011 pour aspirer les métadonnées de la Commission européenne et de l’OTAN – l’un des rares cas documentés d’un État membre de l’UE hackant l’infrastructure critique d’un autre.
Depuis 2022, plusieurs capitales (Pays-Bas, Estonie, Pologne) annoncent publiquement des « hunt forward missions » aux côtés des Américains.
Des équipes mixtes qui se déploient sur les réseaux d’un pays tiers, parfois en zone de guerre, pour traquer puis éjecter les implants adverses.
Officiellement défensives, ces opérations donnent tout de même accès aux malwares ennemis… et donc à la possibilité d’en comprendre le code ou de le retourner.
Les grandes manœuvres ne se limitent pas aux services secrets.
L’UE teste aujourd’hui ses « Cyber Rapid Response Teams » – des groupes d’experts prêts à intervenir, mais aussi à lancer des contre-mesures actives sous mandat politique commun.
Autrement dit : un pas de plus vers une capacité offensive assumée, même si le Vieux Continent préfère parler de « désactivation » plutôt que d’attaque.
Les plus audacieux coups de clavier se déroulent souvent loin des caméras, tapissés d’un flou juridique soigneusement entretenu.
Aux États-Unis, la cartographie des autorisations se perd entre directives présidentielles classifiées et ordonnances secrètes qui balisent chaque mission de Cyber Command.
En Europe, la mosaïque des services de renseignement fonctionne sous des législations nationales jalouses de leur autonomie, sans toujours passer par le filtre d’un contrôle parlementaire robuste.
S’y greffe un impératif diplomatique : admettre publiquement une intrusion, c’est offrir à l’adversaire un droit de riposte quasi automatique.
Pour éviter l’escalade, les capitales préfèrent laisser filtrer l’information par des fuites ou des dossiers judiciaires expurgés, plutôt que de signer leurs exploits à visage découvert.
Enfin, la ligne de partage entre cybercrime et cyberguerre reste volontairement brouillée.
Lorsque le FBI neutralise un botnet alimenté par le malware Moobot, aussi utilisé comme relais par le renseignement militaire russe, l’opération est présentée comme une simple manœuvre « antifraude ».
La dimension militaire, elle, demeure implicite – preuve que, dans ce théâtre numérique, l’ombre reste la meilleure alliée de la puissance.
Ce que cela change pour les autres nations… et pour les citoyens
Les États-Unis et plusieurs pays européens montrent qu’ils n’hésitent plus à franchir les limites techniques – et parfois géographiques – pour défendre leurs intérêts ou ceux de leurs alliés.
Pour les nations ciblées, l’équation évolue : subir un rançongiciel russe ou chinois peut désormais déclencher, en retour, une opération occidentale de contre-hacking directement sur leur sol numérique.
Pour les particuliers et les entreprises, une même conclusion s’impose : le terrain est global, et la machine que vous utilisez en Afrique, en Asie ou en Amérique latine peut servir de champ de bataille invisible entre puissances qui ne vous auront jamais demandé la permission.
D’où l’urgence de maintenir des correctifs à jour, d’activer l’authentification forte et de surveiller les comportements anormaux ; car, qu’il s’agisse d’un espion occidental ou d’un rançonneur mafieux, la porte d’entrée reste souvent la même : un identifiant faible ou un logiciel obsolète.
Élargir le rideau de fumée : trois dimensions souvent oubliées dans l’offensive numérique américaine et européenne
D’abord, il y a le travail discret des coalitions.
Depuis la guerre en Ukraine, Washington a multiplié les missions dites hunt-forward : des équipes mixtes dépêchées à Vilnius, Tallinn ou Kiev pour débusquer les implants russes avant qu’ils ne passent à l’acte. Bruxelles tente d’en faire l’équivalent continental.
Ses Cyber Rapid Response Teams, projet PESCO lancé en 2018, ont déjà épaulé Chişinău lors du référendum européen d’octobre 2024, preuve que l’UE s’essaie à la projection cyber hors de ses frontières .
Vient ensuite la doctrine de dissuasion collective.
Au sommet de Washington en 2024, les Alliés de l’OTAN ont créé un Integrated Cyber Defence Centre logé au SHAPE.
Objectif : transformer la fameuse clause “Article 5” en bouclier numérique crédible, capable de répliquer si une attaque venait à paralyser le réseau d’un État membre.
Officiellement, rien n’a encore déclenché ce mécanisme ; en privé, plusieurs diplomates confient qu’une seule panne coordonnée sur les terminaux d’un port balte pourrait désormais suffire.
Un mariage de raison entre gouvernements et géants du cloud s’est imposé.
L’opération “Duck Hunt” (2023) contre le botnet Qakbot a illustré la méthode : un mandat fédéral ouvre la porte, le FBI se branche sur les serveurs AWS ou OVH, efface le malware et saisit les cryptomonnaies — le tout rebaptisé “cyber-hygiène mondiale” pour masquer sa portée militaire. De l’autre côté de l’Atlantique, certains juristes européens dénoncent un « guichet unique américain » qui court-circuiterait Europol et la coopération judiciaire classique.
Tout est bon pour agir : la voix des urnes apparaît aussi comme une cible très intéressante pour les hackers
Elle n’aura peut-être ni câbles ni vannes : elle s’appelle confiance démocratique.
Un rapport publié par Microsoft en 2024 montre comment des acteurs russes, iraniens et chinois injectent déjà des deepfakes audio-vidéo dans les applications de messagerie à l’approche des grands scrutins de 2025.
L’objectif est moins de pirater un bureau de vote que de semer le doute sur le résultat avant même que les bulletins ne soient dépouillés .
Comment se prémunir lorsque la menace est silencieuse ?
Les responsables informatiques ne jurent plus seulement par l’antivirus.
Ils segmentent leurs réseaux, journalisent les commandes PowerShell et testent des scénarios où l’écran reste noir et les serveurs muets.
Les dirigeants redécouvrent les sauvegardes hors ligne et l’exercice papier-crayon pour signer des bons de commande ou certifier un résultat électoral.
Côté grand public, l’authentification à double facteur, la méfiance envers les liens inconnus et la vérification de l’origine d’une vidéo virale deviennent de simples réflexes civiques.
Car la cyberguerre de 2025 se joue bien avant la première alerte au tableau de bord.
Elle se prépare parfois un an plus tôt, dans la boîte mail d’un sous-traitant ou sous la mer, là où un seul coup de pince peut faire vaciller des continents entiers.
Hygiène numérique, plans de secours et esprit critique constituent aujourd’hui la meilleure ligne de défense — avant, peut-être, qu’un courant d’air sur le réseau ne vienne éteindre la lumière… ou la démocratie.
Sources : La cyberattaque contre la CNSS décryptée en 10 points clés – Médias24 numéro un de l’information économique marocaine &
IBM X-Force 2025 Threat Intelligence Index (IBM, 2025) IBM – United States, Joint Cybersecurity Advisory AA23-144A « PRC State-Sponsored Actor Volt Typhoon » (CISA-FBI-NSA, 24 mai 2023) CISA, Microsoft Blog « Volt Typhoon : PRC State-Sponsored Actors Living off the Land to Target US Critical Infrastructure » (24 mai 2023) CISA, WeLiveSecurity « SwiftSlicer : New Destructive Wiper Malware Strikes Ukraine » (27 janv. 2023) welivesecurity.com, Microsoft Security Blog « Storm-0558 Key Incident : Token Forging for Microsoft Outlook and Azure AD » (juil. 2023) Wikipédia, Reuters « US warns foreign hackers targeting water systems » (20 mars 2024) Reuters, Reuters « West Africa subsea cable cuts slow internet » (16 mars 2024) Reuters, Citizen Digital « Gov’t says e-Citizen services back online after cyber attack scare » (27 juil. 2023) Citizen Digital, Microsoft Digital Defense Report 2024 – section « Influence operations and deepfakes ahead of elections » , U.S. Department of DefenseNATOjustice.govgov.ukParlement Européenjustice.gov
