La France a formellement attribué au FSB, le service de sécurité russe héritier du KGB, une vaste opération d’espionnage informatique menée contre ses intérêts stratégiques depuis 2010. Cette déclaration, publiée ce 13 juillet aux côtés d’une prise de position de l’Union européenne assortie de nouvelles sanctions, désigne le 16e Centre du FSB et son unité 61240 comme responsables du mode opératoire d’attaque Turla, toujours actif aujourd’hui contre l’Ukraine et plusieurs Etats membres.
Une unité identifiée, une méthode documentée depuis vingt ans
Le rapport publié par le C4, qui réunit ANSSI, COMCYBER, DGA, DGSE et DGSI, situe précisément l’origine des attaques. Le 16e Centre du FSB dispose de onze centres d’interception répartis sur le territoire russe, dont l’unité 61240, basée près de Saint-Pétersbourg, spécifiquement chargée du ciblage de la France en matière de renseignement électromagnétique et d’opérations cyber offensives. Cette unité entretient des relations étroites avec plusieurs entreprises russes déjà connues pour leur soutien aux activités offensives des services de renseignement.
Turla lui-même n’a rien d’un nouveau venu. Le mode opératoire s’appuie sur des techniques d’accès initial éprouvées, hameçonnage ciblé et attaques par point d’eau, où la cible est incitée à télécharger un fichier malveillant se faisant passer pour un logiciel légitime. Le code Kazuar, utilisé depuis 2016, reste actif en 2026 après plusieurs évolutions, signe que l’acteur préfère perfectionner ses outils plutôt que les renouveler. L’infrastructure d’attaque s’appuie sur des ressources louées ou compromises, sites WordPress détournés et parfois liaisons satellitaires, ce qui rend sa détection particulièrement difficile.
Des ministères à l’industrie de défense
La liste des cibles françaises dressée par le C4 s’étend sur plus d’une décennie. Des comptes de messagerie du ministère des Armées ont été compromis dès 2017. Le réseau du ministère de l’Europe et des Affaires étrangères à l’ambassade de France à Moscou a été infiltré en 2018, avec exfiltration de données. La même année, des machines appartenant à une entreprise française du secteur des technologies ont été détournées pour servir de relais dans l’infrastructure d’attaque. En 2019, une vulnérabilité SharePoint a permis de compromettre un serveur d’une entité du secteur de la justice, exposant potentiellement plusieurs milliers de comptes utilisateurs. En février 2025, un institut de recherche travaillant sur des technologies sensibles pour l’industrie de défense française a été visé, avec exfiltration d’un volume significatif de données.
Le C4 distingue à cet égard deux profils de victimes. D’un côté des cibles finales, compromises pour leur valeur de renseignement. De l’autre des victimes intermédiaires, associations, particuliers ou entreprises diverses, dont les systèmes sont détournés à leur insu pour servir de relais vers d’autres attaques.
Une réponse coordonnée à l’échelle européenne
L’Union européenne, au nom de ses vingt-sept Etats membres, a attribué ce même jour au 16e Centre du FSB une série de cyberattaques ayant visé plusieurs pays européens, parmi lesquels l’Allemagne, la Pologne, Chypre, les Pays-Bas, l’Autriche, la Slovaquie, la Roumanie et la Finlande. En Pologne, cet acteur a récemment mené des opérations de sabotage contre des installations de production de chaleur et d’électricité ainsi que contre le secteur de l’assainissement de l’eau.
Face à cette intensification, l’Union européenne a adopté un nouveau paquet de sanctions visant neuf individus et quatre entités de l’écosystème cyber malveillant russe, parmi lesquels des officiers du renseignement militaire et un groupe ayant revendiqué des actions de déstabilisation contre les Jeux olympiques de Paris en 2024. Cette attribution fait suite à celle d’APT28, rattaché au GRU, en avril 2025, et s’inscrit dans une vigilance affichée par Paris à l’approche des élections de 2027. La France rappelle à cette occasion son attachement au cadre normatif de comportement responsable des Etats dans le cyberespace porté par les Nations unies, et appelle la Russie à s’y conformer.



