Huit mois se sont écoulés entre l’attaque du malware NotPetya, qui a paralysé 10 % des ordinateurs ukrainiens, et la désignation publique par six nations occidentales du GRU russe comme responsable[s]. L’attaque a coûté à l’Ukraine 0,5 % de son PIB et causé plus d’un milliard de dollars de dégâts dans le monde. Le délai entre l’attaque et l’attribution publique s’est étendu sur plusieurs saisons.
Ce retard illustre le problème central de l’attribution cyber : identifier techniquement un attaquant et prouver juridiquement la responsabilité d’un État relèvent de calendriers, de normes probatoires et de calculs politiques fondamentalement différents. Lorsque des nations s’accusent mutuellement de cyberattaques, elles déclenchent des conséquences diplomatiques qui dépassent largement le simple nettoyage des logiciels malveillants. Une attribution erronée, ou correcte mais invérifiable, peut déstabiliser les relations internationales plus que l’attaque initiale.
Ce que signifie réellement l’attribution cyber
L’attribution cyber est le processus qui consiste à identifier qui a mené une cyberattaque, pourquoi, et si un gouvernement en porte la responsabilité. Contrairement à une scène de crime physique où les enquêteurs collectent ADN et empreintes digitales, les attaques numériques transitent par des ordinateurs compromis dans plusieurs pays, utilisent des communications chiffrées et plantent délibérément de fausses preuves.
Les attaquants opèrent rarement depuis leurs propres systèmes. Ils acheminent leurs opérations via des serveurs piratés, des réseaux proxy et des réseaux privés virtuels, falsifiant les adresses IP et manipulant les horodatages[s]. Au moment où les enquêteurs remontent à la source immédiate d’une attaque, ils tombent souvent sur une autre victime plutôt que sur le véritable auteur.
L’attribution se divise en trois phases distinctes. L’attribution technique identifie les outils, l’infrastructure et les schémas comportementaux utilisés lors d’une attaque. L’attribution politique désigne publiquement une partie responsable pour exercer une pression diplomatique. L’attribution juridique rassemble des preuves suffisantes pour engager la responsabilité d’un État en vertu du droit international[s]. Ces trois types servent des objectifs différents et nécessitent des seuils de preuve très variables.
Le fossé entre savoir et prouver
Les États s’appuient généralement sur des renseignements classifiés pour évaluer la responsabilité d’une attaque : renseignement d’origine électromagnétique, sources humaines et analyse médico-légale du code malveillant. Bien que ces renseignements puissent être politiquement convaincants, ils ne répondent souvent pas aux normes requises pour une attribution juridique en droit international[s].
Ce fossé est structurel. L’intention criminelle et la motivation stratégique peuvent rarement être déduites des seuls indicateurs techniques[s]. Découvrir qu’une attaque a utilisé une souche de malware associée à un groupe connu ne prouve pas qu’un gouvernement a ordonné cette opération spécifique. Les acteurs malveillants volent les outils des uns et des autres, empruntent des techniques et opèrent via des sous-traitants qui maintiennent un déni plausible.
Surtout, il n’existe aucune obligation juridique en droit international de fournir publiquement des preuves à l’appui d’une attribution[s]. Cette position a été confirmée par le Canada, la France, l’Allemagne, Israël, les Pays-Bas, la Nouvelle-Zélande, la Suède, la Suisse, le Royaume-Uni et les États-Unis, entre autres. Les nations peuvent désigner un attaquant sans le prouver publiquement, en comptant sur le fait que leurs alliés accepteront des briefings classifiés tandis que les adversaires nieront tout.
Quand les attaquants se piègent mutuellement
Les acteurs étatiques sophistiqués ne se contentent pas d’obscurcir leur identité ; ils impliquent activement leurs rivaux par le biais d’opérations sous faux pavillon. L’attaque Olympic Destroyer de 2018 a démontré l’efficacité de cette tromperie.
Lorsque le malware a frappé la cérémonie d’ouverture des Jeux olympiques d’hiver de Pyeongchang, les premières preuves médico-légales pointaient fortement vers la Corée du Nord. Les similitudes de code et les schémas d’infrastructure correspondaient aux opérations nord-coréennes connues. Une enquête plus approfondie a révélé que ces indices avaient été délibérément plantés[s]. Le groupe APT Sandworm de la Russie avait inséré du code de style nord-coréen comme leurre pour égarer l’attribution.
Le braquage de la Banque du Bangladesh a montré le même schéma, mais inversé. Lors de l’enquête sur le vol de 81 millions de dollars, les analystes ont trouvé des chaînes de code en russe dans le malware, une tentative apparente de rediriger les soupçons. Ces artefacts linguistiques étaient incohérents avec le reste du code ; le groupe Lazarus de la Corée du Nord a finalement été identifié comme responsable[s].
Les conséquences d’une telle désinformation vont au-delà du gaspillage de ressources d’enquête. Blocages diplomatiques, érosion de la confiance dans le partage de renseignements internationaux, et potentiellement des réponses dirigées contre le mauvais État en découlent[s]. Lorsqu’un État répond par des contre-mesures après avoir mal attribué une attaque, il commet un acte internationalement illicite[s].
La boîte à outils de réponse diplomatique
Le National Cyber Security Centre du Royaume-Uni décrit trois formes de réponse à l’attribution. L’attribution diplomatique désigne publiquement un État pour exercer une pression et rassurer les alliés. L’attribution judiciaire implique des inculpations et la publication de preuves, interdisant de fait aux personnes nommées de voyager dans les pays alliés. L’attribution corrective publie des indicateurs techniques pour aider les organisations à se défendre[s].
Même avec un niveau de confiance maximal, les gouvernements peuvent s’abstenir de rendre publique une attribution pour des raisons politiques[s]. La protection du renseignement, les négociations diplomatiques et le timing stratégique influencent tous la décision de rendre publique une attribution. Les États-Unis ont établi un précédent en 2014 en attribuant l’attaque contre Sony Pictures à la Corée du Nord, démontrant qu’il était possible de le faire en toute sécurité sans exposer les méthodes d’enquête[s].
Depuis lors, le schéma est constant : les attaques causent des milliards de dollars de dégâts, l’attribution prend des mois, voire des années, et les réponses formelles se concentrent souvent sur des mesures ciblées telles que le gel des avoirs et les interdictions de voyage. WannaCry et NotPetya ont causé des milliards de dollars de dommages dans le monde, mais auraient pu entraîner des mesures punitives plus sévères que le gel des avoirs[s]. La réponse standard de la Russie consiste à nier, à formuler des contre-accusations et à changer de sujet[s].
Le paysage fragmenté de l’attribution
Contrairement à de nombreux domaines du droit international, il n’existe pas de normes largement acceptées régissant l’attribution cyber. Les pays ne s’accordent pas sur le fardeau de la preuve, les réponses appropriées, ni même sur les définitions fondamentales de ce qui constitue une cyberattaque nécessitant une attribution[s].
La capacité d’attribution de l’UE dépend fortement du partage de renseignements avec les États-Unis et le Royaume-Uni. Alors que l’alliance Five Eyes coordonne rapidement l’attribution et la désignation publique, les processus de l’UE prennent des mois, voire des années, entre un incident et la mise en œuvre de sanctions[s]. Au moment où l’Europe répond formellement, le moment diplomatique est souvent passé.
Les entreprises commerciales de cybersécurité ajoutent une couche supplémentaire de complexité. Un avis conjoint de septembre 2025 émanant de 23 agences gouvernementales de cybersécurité, de renseignement et d’application de la loi à travers plusieurs continents a attribué des intrusions dans les infrastructures mondiales des télécommunications à des acteurs parrainés par l’État chinois. L’activité connexe chevauchait partiellement cinq dénominations commerciales : Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 et GhostEmperor[s]. L’avis notait explicitement que les conventions de dénomination commerciale ne correspondent pas une à une avec la compréhension gouvernementale[s].
Cette fragmentation signifie que les méthodes de détection médico-légale varient d’une organisation à l’autre, que les normes de preuve en justice diffèrent des évaluations des services de renseignement, et que les fuites de données gouvernementales peuvent être attribuées des mois avant leur divulgation publique.
L’attribution dans un environnement politique en mutation
Les derniers mois ont vu une vague d’attributions publiques en Europe. L’Allemagne a attribué une attaque d’août 2024 contre le contrôle du trafic aérien à APT28 et une opération d’influence ciblant ses élections de février 2025 à Storm-1516[s]. Le Royaume-Uni a sanctionné les entreprises chinoises I-Soon et Integrity Tech pour leur rôle présumé dans des activités malveillantes ciblant plus de 80 entités gouvernementales, publiques et privées ; le ministère chinois des Affaires étrangères a dénoncé ces sanctions comme politiquement motivées[s]. Le Danemark a accusé la Russie d’avoir orchestré des attaques contre une compagnie des eaux et des sites électoraux danois[s].
Ces attributions servent davantage la pression diplomatique que la responsabilité juridique. L’attribution publique en cybersécurité signale que les attaques sont suivies et mémorisées, même lorsque les conséquences formelles restent limitées.
Pendant ce temps, la politique américaine évolue. Les administrations précédentes maintenaient une ambiguïté délibérée autour des capacités cyber offensives, confirmant rarement les opérations pour préserver une flexibilité diplomatique. La Stratégie Cyber de l’administration Trump de 2026 adopte l’approche inverse, revendiquant publiquement les opérations pour signaler sa capacité[s]. Contrairement à la stratégie Biden, qui désignait la Chine et la Russie comme menaces stratégiques et s’engageait dans des campagnes comme Volt Typhoon et Salt Typhoon, la stratégie actuelle ne nomme aucun adversaire étatique[s].
Lorsque les États encouragent la participation du secteur privé à des opérations offensives sans en définir la portée, la frontière entre action privée et action sanctionnée par l’État devient impossible à tracer[s]. Cela sape directement le cadre d’attribution, qui dépend d’une responsabilité étatique claire.
Ce que l’attribution cyber ne peut pas résoudre
Les opérations cyber nord-coréennes illustrent les limites de l’attribution. Ces campagnes mêlent espionnage dirigé par l’État et entreprise criminelle : le vol de cryptomonnaies, la compromission de la chaîne d’approvisionnement et les schémas d’emploi illicites de travailleurs informatiques financent directement les priorités de l’État. Les cadres juridiques existants supposent des distinctions nettes entre espionnage, crime et conflit armé[s]. La Corée du Nord opère simultanément dans ces trois domaines.
La dissuasion dans le cyberespace ne viendra pas de condamnations plus bruyantes. Elle viendra de réponses cohérentes et basées sur les comportements, reflétant la manière dont les opérations cyber fonctionnent réellement[s]. Nommer et blâmer n’a pas modifié de manière fiable le comportement des adversaires après une décennie d’application constante. La Russie et la Chine, souvent désignées dans des opérations cyber parrainées par l’État, continuent d’opérer via des écosystèmes de sous-traitants qui offrent un déni plausible.
L’attribution cyber reste une décision politique nationale plutôt qu’une conclusion technique[s]. La science médico-légale identifie les auteurs probables. Le droit international détermine la responsabilité. La diplomatie décide de divulguer ou non. Le fossé entre ces trois fonctions explique pourquoi des attaques à un milliard de dollars aboutissent à des interdictions de voyage, pourquoi les preuves s’accumulent dans des dossiers classifiés tandis que les nations nient publiquement tout, et pourquoi le champ de mines diplomatique ne montre aucun signe de déminage.
Taxonomie de l’attribution : des IOC à la responsabilité étatique
L’attribution cyber se divise en couches tactiques, opérationnelles, stratégiques et juridiques[s]. L’attribution tactique analyse les artefacts : adresses IP, hachages de malware, domaines de commande et contrôle. L’attribution opérationnelle examine les schémas d’attaque, le timing et la réutilisation de l’infrastructure. L’attribution stratégique identifie l’entité politique ou la motivation derrière les opérations. L’attribution juridique prépare des preuves répondant au standard de preuve pour engager la responsabilité d’un État en vertu du droit international.
Le cadre d’attribution de Unit 42 structure cette progression à travers un système de promotion. Les clusters d’activité, groupes d’événements partageant des indicateurs techniques communs, sont promus en groupes de menace temporaires après au moins six mois d’observation cohérente et de cartographie via le modèle Diamond. Les acteurs de menace nommés reçoivent une désignation formelle seulement après une évaluation structurée utilisant le système Admiralty pour noter la fiabilité des sources et la crédibilité des informations[s].
Le modèle d’attribution cyber de Pahi suit des pistes parallèles : enquêter sur l’incident en cours tout en profilant les acteurs de menace connus à partir de données historiques. En comparant les TTP et les modes opératoires avec les profils établis, les analystes identifient les incohérences. Si un incident semble provenir d’un groupe mais utilise l’infrastructure d’un autre, le modèle signale un potentiel faux pavillon[s].
L’obfuscation technique et l’empreinte comportementale
Les attaquants opèrent rarement depuis leurs propres systèmes. Ils acheminent leurs opérations via des ordinateurs compromis, des serveurs proxy et des VPN, falsifiant les adresses IP et manipulant les horodatages[s]. Une infrastructure à sauts multiples garantit que le traçage de la source immédiate mène à une autre victime plutôt qu’au véritable auteur. Les horodatages peuvent être falsifiés, les paramètres de langue manipulés et les outils empruntés à des dépôts publics de malware.
Les tactiques, techniques et procédures fournissent un signal d’attribution durable. Les acteurs de menace développent des approches cohérentes à travers leurs opérations : vecteurs d’accès initiaux préférés, schémas de mouvement latéral, techniques d’exfiltration de données, mécanismes de persistance. Ces signatures comportementales sont plus difficiles à falsifier que les artefacts techniques[s]. Un groupe qui déploie habituellement des implants personnalisés et utilise soudainement un malware grand public suscite des soupçons. Les styles de codage, les horodatages de compilation et les choix de bibliothèques logicielles créent des empreintes opérationnelles qui persistent d’une campagne à l’autre.
MITRE ATT&CK mappe les comportements observés aux techniques documentées. Les analystes corrèlent les TTP actuels d’une attaque avec les bases de données des comportements connus des acteurs de menace, identifiant des liens avec des campagnes précédentes. Cette approche s’est avérée particulièrement utile pour suivre les groupes APT qui affinent plutôt que de changer complètement leurs méthodes opérationnelles.
Le profil technique du faux pavillon
Olympic Destroyer a démontré une construction sophistiquée de faux pavillon. Le malware a frappé les Jeux olympiques d’hiver de Pyeongchang en 2018, désactivant le Wi-Fi, l’application officielle et les systèmes de diffusion. L’analyse médico-légale initiale a identifié des similitudes de code et des schémas d’infrastructure cohérents avec les opérations nord-coréennes[s]. Une enquête plus approfondie a révélé que le groupe APT Sandworm de la Russie avait délibérément planté des fragments de code de style nord-coréen.
Le braquage de la Banque du Bangladesh a présenté le schéma inverse. Des chaînes de code en russe sont apparues dans le malware utilisé pour voler 81 millions de dollars. Les analystes ont identifié ces artefacts linguistiques comme incohérents avec le codebase : des anomalies stylistiques dans la rédaction des commentaires, des incompatibilités entre l’encodage cyrillique et la structure du code environnant. Le groupe Lazarus a finalement été attribué[s].
La détection repose sur les incohérences comportementales. Des indices trop évidents, des changements soudains d’outils par rapport aux schémas établis des acteurs de menace, et des anomalies linguistiques ou temporelles signalent tous une potentielle tromperie. Les méthodes de détection médico-légale doivent prendre en compte la possibilité que chaque indicateur technique ait été planté.
Le fossé technique-juridique de l’attribution cyber
Le fossé entre l’attribution technique ou politique, où les évaluations des services de renseignement indiquent une responsabilité probable, et l’attribution juridique, qui nécessite des preuves suffisantes pour engager la responsabilité d’un État, est particulièrement prononcé dans le cyberespace[s]. Les États s’appuient sur des renseignements classifiés SIGINT, HUMINT et des analyses médico-légales. Ces renseignements peuvent être politiquement convaincants mais ne répondent pas aux normes juridiques[s].
Dans le cadre du manuel de Tallinn, le standard d’attribution pour les contre-mesures est la « raisonnabilité » : les États doivent agir comme le feraient des États raisonnables dans des circonstances similaires[s]. Cela dépend de la fiabilité, de la quantité, de la directivité et de la spécificité des informations disponibles. Mais une mauvaise attribution suivie de contre-mesures constitue un acte internationalement illicite[s]. Le risque juridique de se tromper limite les options de réponse.
L’intention criminelle et la motivation stratégique ne peuvent être déduites des seuls indicateurs techniques[s]. Les preuves techniques montrent ce qui s’est passé et comment. Elles ne montrent pas qui a ordonné l’attaque ni pourquoi. Les écosystèmes de sous-traitants, le partage d’outils entre groupes et les opérations sous faux pavillon rompent tous le lien entre les indicateurs observés et la responsabilité étatique.
La fragmentation de l’attribution multi-acteurs
Un avis de la CISA de septembre 2025 a illustré le problème de fragmentation. Vingt-trois agences gouvernementales de cybersécurité, de renseignement et d’application de la loi en Amérique du Nord, en Europe et en Asie-Pacifique ont attribué des intrusions dans les infrastructures mondiales des télécommunications à des acteurs parrainés par l’État chinois. L’activité connexe chevauchait partiellement cinq dénominations commerciales : Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 et GhostEmperor[s]. L’avis notait explicitement que les méthodes de suivi commerciales ne correspondent pas une à une avec l’attribution gouvernementale[s].
Les opérations étaient liées à des entreprises chinoises, dont Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology et Sichuan Zhixin Ruijie Network Technology, qui fournissent des produits et services aux unités du PLA et du MSS[s]. Cet écosystème de sous-traitants complique l’attribution en plaçant des entités corporatives entre les agences étatiques et les opérations observées.
La capacité d’attribution de l’UE dépend fortement du partage de renseignements avec les Five Eyes. Les processus de coordination au sein de l’UE-27 sont plus lents : des mois, voire des années, s’écoulent entre un incident et la mise en œuvre de sanctions[s]. Le langage technique et juridique reste désaligné entre les juridictions, les normes de preuve en justice diffèrent des évaluations des services de renseignement, et les fuites de données gouvernementales reçoivent une attribution bien avant leur reconnaissance publique.
Implications politiques pour l’infrastructure d’attribution
Le cadre tripartite du NCSC britannique structure les réponses à l’attribution : diplomatique (désignation publique pour exercer une pression), judiciaire (inculpations publiant des preuves) et corrective (publication d’IOC à des fins défensives)[s]. Même avec un niveau de confiance maximal, les gouvernements peuvent s’abstenir de rendre publique une attribution pour des raisons politiques[s].
La Stratégie Cyber de l’administration Trump de 2026 marque un tournant. Les administrations précédentes maintenaient une ambiguïté délibérée autour des capacités offensives pour préserver une flexibilité diplomatique. La stratégie actuelle revendique publiquement les opérations pour signaler sa capacité[s]. Contrairement à la stratégie Biden, qui désignait la Chine et la Russie comme menaces stratégiques et s’engageait dans des campagnes comme Volt Typhoon et Salt Typhoon, la stratégie actuelle ne nomme aucun adversaire étatique[s].
La participation du secteur privé à des opérations offensives sans définition claire de leur portée rend impossible la distinction entre action privée et action sanctionnée par l’État[s]. Cela sape le cadre d’attribution, qui dépend d’une responsabilité étatique identifiable.
Les opérations nord-coréennes illustrent l’échec catégoriel. L’entreprise criminelle dirigée par l’État, le vol de cryptomonnaies finançant les priorités étatiques, défient les cadres juridiques supposant des distinctions nettes entre espionnage, crime et conflit armé[s]. La dissuasion nécessite des réponses basées sur les comportements plutôt que des condamnations dépendantes de l’attribution[s].
L’attribution cyber reste une décision politique nationale plutôt qu’une conclusion technique[s]. La médecine légale identifie les auteurs probables. Le droit international détermine la responsabilité. La diplomatie décide de la divulgation. Le fossé structurel entre ces fonctions garantit que l’attribution restera un champ de mines où la certitude technique n’offre aucune garantie de clarté politique.
