Le 7 avril 2025, des hackers pro-russes ont ouvert à distance les vannes d'un barrage à Bremanger, en Norvège, libérant plus de 7,2 millions de litres d'eau sans causer de blessés ni de dommages majeurs. Les autorités norvégiennes ont confirmé que l'attaque était liée au groupe de hackers pro-russes Z-Alliance, qui visait à démontrer ses capacités cybernétiques et à semer la peur plutôt qu'à causer des dommages physiques. Les responsables ont averti que cet incident mettait en évidence les cybermenaces croissantes de la Russie visant les infrastructures énergétiques norvégiennes dans un contexte de tensions plus larges liées à la guerre hybride.
Le 7 avril 2025, un petit barrage symboliquement important situé à Bremanger, dans l'ouest de la Norvège, est devenu le dernier point chaud d'un conflit cybernétique croissant entre la Russie et ses voisins européens. Pendant quatre heures, le système de contrôle numérique du barrage a été sous l'emprise de hackers pro-russes, qui ont ouvert à distance ses vannes et libéré des torrents d'eau dans la rivière Riselva. Bien que personne n'ait été blessé et qu'aucun dommage majeur n'ait été signalé, cet incident a suscité une vague d'inquiétude dans toute la Norvège et dans la communauté européenne au sens large, soulevant de nouvelles questions sur la sécurité des infrastructures critiques à l'ère de la guerre hybride.
Selon le Service de sécurité de la police norvégienne (PST), les pirates ont réussi à ouvrir les vannes du barrage, libérant environ 500 litres d'eau par seconde. Au moment où les opérateurs ont repris le contrôle, plus de 7,2 millions de litres s'étaient déversés à travers le barrage. Comme l'ont rapporté les médias locaux, le barrage lui-même est principalement utilisé à des fins de pêche et n'est pas directement relié au réseau électrique norvégien, mais cet événement a néanmoins mis en évidence les vulnérabilités d'un pays où l'hydroélectricité est le pilier de la production d'électricité.
L'attaque a été officiellement attribuée pour la première fois à des acteurs pro-russes le 13 août 2025, lorsque Beate Gangås, directrice du PST norvégien, a parlé ouvertement de la brèche lors du forum national Arendalsuka. « Ils ne cherchent pas nécessairement à causer des destructions, mais à montrer ce dont ils sont capables », a déclaré Gangås. Elle a en outre souligné : « Le but de ce type d'actions est d'exercer une influence et de semer la peur ou l'agitation parmi la population. »
L'intention des pirates informatiques semblait être davantage de montrer leur puissance numérique que de causer des dommages physiques réels. Cela a été souligné par la publication d'une vidéo de trois minutes sur Telegram le jour même de l'attaque, montrant le panneau de contrôle du barrage. La vidéo portait un filigrane associé à un collectif de pirates informatiques pro-russes, identifié dans certains rapports comme Z-Alliance, qui a revendiqué la responsabilité de la violation. Selon Recorded Future News, ce groupe s'est déjà vanté d'avoir infiltré des systèmes de contrôle industriels dans d'autres pays.
Les autorités norvégiennes, notamment le Service national d'enquête criminelle (Kripos), ont depuis confirmé l'authenticité de la vidéo et son lien avec l'attaque. Le Kripos a noté que le groupe à l'origine du piratage « réunissait plusieurs acteurs commettant des crimes dans le domaine cybernétique » et avait été lié à d'autres cyberattaques contre des entreprises occidentales ces dernières années.
Bien que la sophistication technique de l'attaque ait été décrite comme modeste, son impact symbolique était difficile à ignorer. La Norvège, premier fournisseur de gaz en Europe et important producteur d'énergie hydroélectrique, est une cible de choix pour ceux qui cherchent à perturber la sécurité énergétique occidentale. Les services de renseignement d'Oslo avaient déjà averti en février 2025 que la Russie allait probablement poursuivre ses activités subversives visant les infrastructures logistiques et énergétiques de la Norvège. L'incident du barrage, ont-ils déclaré, était un exemple clair de cette évolution du paysage des menaces.
« Au cours de l'année écoulée, nous avons constaté un changement dans les activités des cyberacteurs pro-russes », a déclaré Gangås, ajoutant : « Notre voisin russe est devenu plus dangereux. » Le chef des services de renseignement norvégiens, Nils Andreas Stensønes, a fait écho à ces préoccupations, déclarant que même si la Norvège n'est pas en guerre avec la Russie, le président Vladimir Poutine continue de maintenir la tension par des attaques hybrides contre l'Occident, faisant de la Russie « la plus grande menace à laquelle la Norvège est actuellement confrontée ».
L'ambassade russe à Oslo a toutefois fermement rejeté toutes les allégations d'implication. Dans une déclaration à Reuters, les responsables de l'ambassade ont qualifié ces accusations d'« infondées et motivées par des considérations politiques », accusant la Norvège d'avoir inventé cette menace pour justifier ses propres politiques de sécurité. L'ambassade a fait valoir que ces allégations s'inscrivaient dans le cadre d'une « guerre hybride » plus large menée par la Norvège et ses alliés occidentaux contre la Russie, parallèlement à la fourniture d'armes à l'Ukraine et aux sanctions économiques. « Il est évident que le PST tente sans succès de corroborer la menace mythique d'un sabotage russe contre les infrastructures norvégiennes cette année, qu'il a lui-même inventée dans son rapport (annuel) de février », a déclaré l'ambassade.
Malgré ces démentis, le contexte de ces cyberattaques est clair. Depuis le début de la guerre en Ukraine en 2022, plus de 70 incidents impliquant des cyberattaques et d'autres pressions sur les infrastructures européennes ont été enregistrés, dont la plupart sont attribués à la Russie ou à ses mandataires. Des attaques similaires ont également été signalées en dehors de la Norvège : en avril 2024, un groupe russe a revendiqué la responsabilité d'une cyberattaque contre une usine de traitement de l'eau et des eaux usées dans l'Indiana, et un autre incident à Muleshoe, au Texas, a également été lié à des pirates informatiques russes.
Pour la Norvège, l'incident de Bremanger est devenu un catalyseur pour redoubler d'efforts afin de renforcer les cyberdéfenses. Le gouvernement a appelé à une coopération accrue entre les organismes publics et les opérateurs du secteur privé, à des exercices d'entraînement réguliers et à un partage d'informations plus étroit avec les partenaires européens. La responsable du contre-espionnage norvégien, Beate Hangaas, a souligné l'importance de « renforcer le niveau de cybersécurité et d'étendre la coopération entre les organismes gouvernementaux et le secteur privé afin de stabiliser l'approvisionnement en eau et en énergie des pays en situation de crise ».
Cette attaque a également attiré l'attention sur le phénomène plus large de la « guerre hybride », un mélange de cyberattaques, de campagnes de désinformation et de sabotages physiques occasionnels visant à semer la confusion et à éroder la confiance dans les institutions occidentales. Comme l'a fait remarquer Richard Moore, chef du MI6 britannique, en septembre 2024, la Russie mène une « campagne de sabotage incroyablement imprudente » en Europe, visant en partie à dissuader les pays de soutenir l'Ukraine. De son côté, Moscou continue de nier toute intention de ce type.
Pour les Norvégiens ordinaires, l'incident du barrage est un signal d'alarme. Si l'impact physique immédiat a été minime, en partie grâce au fait que la rivière et le réservoir étaient bien en dessous de leur capacité maximale, l'effet psychologique persiste. « Je veux que les Norvégiens soient préparés », a déclaré Gangås à Reuters après son discours, soulignant la nécessité de rester vigilant face à l'évolution constante des menaces numériques.
Alors que l'Europe prend conscience des réalités des conflits modernes, les événements de Bremanger constituent un rappel brutal : à l'ère de la cyberguerre, même les coins les plus tranquilles du continent peuvent devenir des champs de bataille, et la frontière entre démonstration et destruction est de plus en plus floue.
Une situation que Microsoft avait déjà rapporté. L'entreprise a révélé en 2024 que des acteurs de la menace affiliés à la Russie ont tenté de s'introduire dans ses systèmes dans le but de voler ses secrets ainsi que les secrets partagés entre Microsoft et ses clients. Elle a annoncé dans un rapport que l'attaque a conduit au vol d'une partie de son code source. Le rapport initial indiquait que des pirates russes avaient espionné les comptes de courriel de certains membres de son équipe dirigeante.
Source : Service de sécurité de la police norvégienne (PST)
