9 février 2018, 20 heures. À la seconde où s'ouvre la cérémonie des Jeux de Pyeongchang, devant près de 4 milliards de personnes, l'infrastructure numérique de l'événement s'effondre. Le maliciel responsable ne vole rien et ne rançonne rien. Sa cible n'est pas le serveur, mais la perception : humilier l'hôte, et brouiller l'enquête sur son auteur. Derrière « Olympic Destroyer », une opération de guerre de l'information signée du renseignement militaire russe. Décryptage.
Un sabotage minuté
Sang-jin Oh, directeur technique des Jeux, ne voit rien de la cérémonie. Au lancement des feux d'artifice, il regarde l'informatique de l'événement s'éteindre.
Le bilan est net. Le Wi-Fi des journalistes tombe. Les écrans de 12 sites olympiques deviennent noirs. Les portiques d'accès à badge se bloquent. L'application officielle ne répond plus, et la billetterie avec elle. Faute de billets imprimés, des spectateurs restent dehors. Les drones du show ne décollent pas. La réalisation glisse des images pré-enregistrées dans la diffusion mondiale.
La riposte est radicale. Les équipes coupent tout le système de minuit à 8 heures, soit 12 heures de paralysie choisie, le temps de restaurer depuis les sauvegardes. Le maliciel a touché plus de 300 systèmes. Au matin, l'essentiel tient. Le téléspectateur, lui, n'a presque rien vu.
C'est là que se referme le piège. L'incident reste contenu. Mais il frappe à l'instant le plus exposé de la vie d'un État hôte. Le sabotage est synchronisé sur la cérémonie. Cette minuterie trahit un accès maintenu de longue date, et des semaines de patience.
Une arme qui épargne les données
Dès le lendemain, les chercheurs de Cisco Talos puis de Kaspersky autopsient le code. Le constat est précis. Le maliciel est un ver, c'est-à-dire un programme qui se propage seul de machine en machine. Il vole au passage les mots de passe, les inscrit dans son propre corps, et s'en sert pour avancer. Talos relève 44 identifiants du personnel des Jeux écrits en clair dans le programme.
Une fois sur une machine, le ver détruit les sauvegardes, efface les journaux et corrompt le démarrage. L'ordinateur ne redémarre plus. Un détail tranche, pourtant. Le ver épargne les données utiles. Là où NotPetya, l'autre arme de la même unité, ravageait tout, Olympic Destroyer s'arrête au seuil de l'irréversible.
Cette retenue est un message. L'objectif n'est pas le dégât maximal. C'est l'humiliation maximale, à la seconde près. Le sabotage ne cherche pas à détruire. Il cherche à signifier.
Punir un bannissement
Pour comprendre le mobile, il faut remonter au 5 décembre 2017. Ce jour-là, le Comité international olympique suspend la Russie pour dopage d'État. Ses athlètes concourront sans drapeau ni hymne, sous une bannière neutre. L'humiliation est nationale. Deux mois plus tard, le sabotage répond à la sanction.
L'état final recherché (EFR) par l'attaquant se lit alors clairement. Il veut d'abord punir l'institution olympique et le pays hôte. Il veut ensuite exposer une faille de sécurité au pic d'audience mondial, pour entamer le prestige de l'organisateur. Il veut enfin installer un doute durable sur la capacité d'une nation à sécuriser un grand événement. Ici, le cyber n'est qu'un outil. L'effet visé est politique.
Le vrai coup : le faux drapeau
La vraie charge utile n'est pas le fichier effacé. C'est la confusion semée chez les enquêteurs.
Les opérateurs ont truffé le code d'indices contradictoires. Ils pointent tour à tour vers la Chine, l'Iran, la Corée du Nord et la Russie.
Le leurre le plus soigné copie une signature de compilation propre au groupe nord-coréen Lazarus.
La correspondance paraît parfaite, et la « preuve » semble irréfutable. Les premières analyses accusent donc Pyongyang. C'est l'équipe de Kaspersky, menée par Costin Raiu, qui démonte la supercherie. La signature ne colle pas au reste du programme. On l'a forgée pour égarer les enquêteurs. Dès février 2018, le Washington Post écrit, sur la foi de responsables américains, que le renseignement russe s'est déguisé en Corée du Nord. L'inculpation de 2020 confirmera cette piste.
Le calendrier alourdit le leurre. Ces Jeux scellent un rapprochement entre les deux Corées, qui défilent sous une bannière commune. Faire accuser Pyongyang pouvait briser ce dégel. Le faux drapeau ne sert donc pas qu'à se cacher. Il vise aussi à dresser Séoul contre son voisin.
WADA, l'autre visage de la manœuvre
Olympic Destroyer n'est pas un accident isolé. C'est l'application d'une doctrine. En septembre 2016, le groupe Fancy Bear, autre vitrine du renseignement militaire russe, pirate la base médicale de l'Agence mondiale antidopage. Il diffuse les autorisations thérapeutiques de sportifs occidentaux.
La gymnaste Simone Biles, traitée pour un trouble de l'attention, les sœurs Williams et d'autres y figurent.
Aucune de ces autorisations n'est illégale. Toutes respectent les règles. Mais là n'est pas le but.
En les présentant comme des « licences de dopage », Fancy Bear fabrique un faux équilibre moral.
Le message martèle que tout le monde triche, et que les Occidentaux ne sont que des hypocrites protégés. La fuite avance masquée. Le « Fancy Bears Hack Team » se présente en collectif de hacktivistes pour le sport propre. Cette façade masque un service d'État, que Moscou s'empresse de désavouer.
Le procédé est redoutable, car il ne diffuse aucune fausse information. Il sort de vraies données médicales de leur contexte pour nuire. Des années plus tard, ces dossiers ressurgissent encore pour contester les sanctions visant les athlètes russes.
La grammaire d'une guerre de l'information
Réunis, ces deux cas dévoilent une même grammaire. Sa première règle est une question de cible. Une attaque informationnelle traverse trois couches. La couche physique, faite de serveurs et de réseaux. La couche logique, faite de données et de code. La couche cognitive, faite de perceptions et de croyances. À Pyeongchang comme contre la WADA, l'assaut ne fait que franchir les deux premières. Son vrai champ de bataille est la troisième. Détruire un fichier reste un moyen. La cible, c'est ce que le public et les analystes vont croire.
Une opération aboutie joue sur trois registres. La captation d'abord, quand on vole des identifiants ou une base de données. Le déni ensuite, quand on prive l'adversaire de ses outils. Le récit enfin, quand on transforme l'information en arme. Capter, dénier, raconter : la manœuvre combine les trois.
Ses leviers sont identifiables. Le faux drapeau applique une vieille doctrine russe, le contrôle réflexif. Le principe : offrir à l'adversaire une fausse preuve pour qu'il se trompe de lui-même.
Son effet le plus corrosif vient après. Une fois le leurre démasqué, toute attribution future devient suspecte. Le doute devient l'arme. Le piratage-divulgation et le faux équilibre moral complètent la panoplie. Leur force tient à un ressort simple. Ils n'inventent pas de mensonge. Ils détournent des faits vrais.
Deux opérations, une même grammaire

Reste la chronologie de l'affrontement. Elle est toujours la même. Reconnaissance, pré-positionnement, déclenchement sur le temps fort, brouillage de l'attribution, puis exploitation du récit dans la durée.
Nommer, et tenir
Face au doute, la riposte la plus efficace n'a pas été technique. Elle a été un acte de nomination.
Le 19 octobre 2020, la justice américaine inculpe six officiers de l'unité 74455 du renseignement militaire russe. Le dossier leur attribue Olympic Destroyer, mais aussi les coupures électriques en Ukraine, le ver NotPetya et le piratage de la campagne d'Emmanuel Macron en 2017. Aucun de ces hommes ne sera jugé. L'enjeu n'est pas judiciaire. Il est informationnel. Nommer l'auteur, preuves à l'appui, défait le contrôle réflexif. C'est reprendre la main sur la couche cognitive.
Six ans après Pyeongchang, Paris offre la démonstration inverse. Entre mai et septembre 2024, l'Agence nationale de la sécurité des systèmes d'information recense 548 événements cyber liés aux Jeux, dont 83 attaques abouties. Pourtant, aucun n'a perturbé les cérémonies ni les épreuves. La France a traité l'événement comme un conflit de haute intensité. Là où la cérémonie de Pyeongchang s'était éteinte, celle de Paris a tenu. La leçon est claire. Protéger les serveurs ne suffit plus. Il faut défendre le récit, et savoir expliquer vite pour priver l'adversaire de sa narration.
Le stade, théâtre de défaite ?
Olympic Destroyer résume toute la guerre de l'information appliquée au sport. Le fichier effacé n'était qu'un prétexte. La vraie cible était la confiance d'un public et la crédibilité d'un État. Dans cette arène, la neutralité affichée des fédérations est la première des vulnérabilités. La souveraineté numérique du sport ne se mesure plus à la seule solidité des serveurs. Elle se mesure à la capacité de tenir, en même temps, l'infrastructure et le récit. Faute de quoi le stade cesse d'être un terrain de jeu. Il devient un théâtre de défaite.
Samir Amireche
Auditeur de la 49ème promotion MSIE MBA Exec Management Stratégique et Intelligence Economique
Sources
• Department of Justice (États-Unis) — acte d'inculpation de six officiers du GRU (unité 74455), 19 octobre 2020. https://www.justice.gov/archives/opa/pr/six-russian-gru-officers-charge…
• Cisco Talos — « Olympic Destroyer Takes Aim At Winter Olympics » (12 février 2018), autopsie technique du ver. https://blog.talosintelligence.com/olympic-destroyer/
• Kaspersky / Securelist (Costin Raiu) — « OlympicDestroyer is here to trick the industry » (2018), démontage du faux drapeau. https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/8…
• ANSSI — « Bilan cyber des Jeux Olympiques et Paralympiques de Paris 2024 » (septembre 2024). https://cyber.gouv.fr/actualites/bilan-cyber-des-jeux-olympiques-et-par…
• Agence mondiale antidopage (WADA) — « Cyber Security Update: WADA's Incident Response » (2016). https://www.wada-ama.org/en/news/cyber-security-update-wadas-incident-r…
Presse et enquête
• Andy Greenberg, Wired — « The Untold Story of the 2018 Olympics Cyberattack, the Most Deceptive Hack in History » (2019). https://www.wired.com/story/untold-story-2018-olympics-destroyer-cybera…
• Ellen Nakashima, The Washington Post — « Russian spies hacked the Olympics… » (24 février 2018) ; révélation confirmée par l'inculpation de 2020. https://www.washingtonpost.com/world/national-security/russian-spies-ha…
Cadre doctrinal
• Conseil de l'Europe (C. Wardle & H. Derakhshan) — « Information Disorder » (2017) : typologie dés-, més- et mal-information. https://rm.coe.int/information-disorder-toward-an-interdisciplinary-fra…
• Daniel Ventre — La Guerre de l'information (Hermès-Lavoisier) : registres « pour / par / contre » l'information.
• Timothy L. Thomas — « Russia's Reflexive Control Theory and the Military » (Journal of Slavic Military Studies, 2004) ; doctrine du contrôle réflexif et maskirovka.
