La France a franchi un cap dans la guerre hybride. Dans un rapport publie le 13 juillet, le CERT-FR nomme et localise le 16e Centre du FSB russe, l’unite militaire responsable d’une campagne de cyberespionnage baptisee Turla qui cible les ministeres francais depuis les annees 2010. Une demarche diplomatique rare, accompagnee de sanctions europeennes et d’une cartographie precise des infrastructures ennemies.
Onze centres d’interception identifies sur le territoire russe
Le document technique rendu public par le CERT-FR (Centre gouvernemental de veille, d’alerte et de reponse aux attaques informatiques) est d’une precision inedite. Il identifie le 16e Centre du FSB, egalement connu sous le nom d’unite militaire 71330, comme la structure responsable de la majeure partie du cyberespionnage d’Etat russe vise la France. Le rapport enumere onze centres d’interception repartis sur le territoire russe avec leurs coordonnees geographiques, leurs equipements et leurs zones de ciblage respectives. L’orientation des antennes installees sur chaque site permet de deduire la ou chaque centre concentre ses efforts : Pskov, Krasnoie Selo et Zelenogradsk pointent vers l’Europe selon le rapport. Ce niveau de detail technique est rarissime de la part d’un Etat qui revele habituellement peu ses sources et ses methodes.
L’unite militaire 61240, installee a proximite de Krasnoie Selo, au sud-ouest de Saint-Petersbourg, est specifiquement chargee du ciblage de la France en renseignement electromagnetique (SIGINT). En rendant publique l’infrastructure et les capacites de l’adversaire, la France cherche a dissuader d’autres cibles potentielles et a perturber le calcul cout-avantage des operateurs russes. C’est aussi un signal envoye aux allies de l’OTAN sur les capacites de detection francaises dans le cyberespace.
Turla : deux decennies de compromissions systematiques
Le mode operatoire Turla, connu de la communaute internationale de la cybersecurite depuis au moins 2004, cible la France depuis les annees 2010. La liste des victimes documentees est longue. En 2014, des entites ministerielles sont deja compromises. Depuis au moins 2017, des comptes de messagerie de cadres du ministere des Armees sont regulierement pirates. Le rapport precise que la menace reste active sur certaines boites aux lettres encore en service, ce qui signifie que les attaquants ont conserve un acces persistant non detecte sur certains comptes pendant pres de dix ans. Un scenario redoute par toutes les directions des systemes d’information.
En 2018, le reseau de l’ambassade de France a Moscou est compromis avec balayage reseau et exfiltration massive de donnees. En 2019, une vulnerabilite zero-day sur le logiciel collaboratif SharePoint permet de s’introduire dans un serveur du Secretariat general du gouvernement. Les codes malveillants employes par le groupe, dont le celebre Kazuar toujours operationnel en 2026, ciblent Windows et ses messageries Outlook et Exchange, mais egalement Linux et macOS. Kazuar est un cheval de Troie sophistique capable d’exfiltrer des fichiers, de capturer des frappes clavier, de prendre des captures d’ecran et de se maintenir discretement dans les systemes compromis via des mecanismes de persistence avances.
Escalade diplomatique et lecons pour la securite
La demarche francaise est doublement inedite. Le rapport technique est accompagne de deux declarations officielles d’attribution : l’une du ministre de l’Europe et des Affaires etrangeres au nom de la France, l’autre de la Haute Representante de l’Union europeenne pour les affaires etrangeres. Les Etats evitent generalement de divulguer des preuves aussi precises sur leurs methodes de detection, pour ne pas reveler leurs propres capacites de renseignement. Ce niveau de transparence signale une escalation dans la confrontation numerique entre Paris et Moscou, sur fond de conflit ukrainien et d’ingerences numeriques multipliees dans les democraties europeennes. Les sanctions europeennes qui accompagnent le rapport constituent un nouvel outil de reponse aux cyberattaques d’Etat.
Pour les professionnels de la cybersecurite, ce rapport est instructif a plusieurs titres. Il confirme des techniques de persistence avancees et la capacite d’acteurs etatiques a maintenir un acces non detecte pendant des annees. La compromission via SharePoint en 2019 rappelle l’importance de la securite des logiciels collaboratifs, souvent negligee au profit de la seule protection des serveurs de messagerie. L’absence d’environnement epargne (Windows, Linux, macOS) montre que la diversification des systemes d’exploitation ne protege pas d’un adversaire determine. La lecon est claire : aucune organisation, qu’elle soit gouvernementale ou privee, n’est a l’abri d’une compromission ciblee quand l’attaquant dispose de ressources d’Etat et de patience strategique.
Le rapport du CERT-FR intervient dans un contexte de durcissement general des positions occidentales face aux cybermenaces russes. Depuis le debut du conflit ukrainien en 2022, les attaques attribuees a des groupes proches du FSB et du GRU se sont multipliees contre les infrastructures critiques europeennes, les reseaux diplomatiques et les acteurs economiques. En rendant publics les noms d’unites, les localisations precises et les techniques employees, la France franchit un cap : elle passe de la defense au contre-cyber, utilisant la transparence comme arme de dissuasion et de perturbation des operations adverses. Une approche que d’autres pays europeens pourraient suivre dans les mois a venir.
