Ciblage et compromission d’entités françaises par le Centre du service fédéral de sécurité de la fédération de Russie (FSB)

Publié le lundi 13 juillet 2026

Depuis 2010, le Centre de coordination des Crises Cyber (C4) [1] a observé le ciblage et la compromission d’entités françaises au moyen du mode opératoire d’attaque (MOA) Turla, opéré par le 16e Centre du service fédéral de sécurité de la fédération de Russie (FSB). Après la dénonciation des activités du MOA APT28, rattaché au service de renseignement russe (GRU), en avril 2025, les autorités françaises poursuivent ainsi leurs efforts en termes d’attribution des cyberattaques.

Des répercussions à l’international

Depuis au moins 2004, le 16e centre du FSB emploie le MOA Turla à des fins de collecte de renseignement, d’activités de reconnaissance et d’espionnage informatique contre des entités publiques et privées appartenant aux secteurs gouvernemental, diplomatique, de la défense, de la recherche, des technologies, de l’éducation, des médias, ou encore de l’énergie ainsi que des personnes physiques à l’échelle mondiale.

L’unité militaire 61240 est un des onze centres d’interception, répartis sur l’ensemble du territoire russe, sur lequel peut s’appuyer le 16e centre du FSB afin de mener ses activités. Plus particulièrement chargée du ciblage de la France cette unité entretient des liens étroits avec des entreprises russes telles que AO AST ou NPP Gamma, connues pour apporter un appui aux activités cyber offensives des services de renseignement russes.

Turla n’est pas le seul MOA employé par le FSB. Ce dernier a par exemple employé Berserk Bear en décembre 2025 pour cibler des infrastructures du réseau électrique polonais à des fins de sabotage.

Les intérêts français ciblés

Depuis 2010 les intérêts stratégiques, diplomatiques et économiques français sont visé à travers de nombreuses victimes intermédiaires et finales, issues du secteur diplomatique, de la défense, de la justice et des technologies notamment.

Le C4 distingue deux typologies de victimes françaises du MOA Turla :

La première constitue les victimes finales compromises à des fins d’espionnage. Parmi ces compromissions, on retrouve notamment celle de comptes de messagerie Internet du ministère des Armées depuis 2017, celle du réseau du ministère de l’Europe et des Affaires étrangères à l’ambassade de France à Moscou en 2018, celle d’une entité du secteur de la justice hébergeant un service au bénéfice de la formation continue de personnels en 2019, ou encore plus récemment celle du système d’information d’une entité travaillant sur des technologies avancées, en 2025.

La seconde constitue les victimes intermédiaires, issues de secteurs variés, dont les systèmes d’information sont compromis de manière opportuniste afin d’être intégrés en tant que relais dans les infrastructures malveillantes du MOA et de faciliter la conduite d’attaques ultérieures menées contre des victimes finales. Le C4 a pu constater plusieurs compromissions de ce type entre 2021 et 2025.

Un mode opératoire d’attaque sophistiqué

Sur la base des rapports techniques établis pendant des opérations de réponse à incident, les membres du C4 ont été en mesure d’identifier plusieurs chaînes de compromissions en lien avec le MOA Turla.

On retrouve dans ces chaînes de compromission l’utilisation de codes malveillants ayant servi à exploiter des vulnérabilités se trouvant dans des services de messagerie. Ces codes malveillants ont également été utilisés contre des navigateurs et autres applications métier ou encore des serveurs web.

Pour compromettre des systèmes d’information, les opérateurs du MOA Turla ont déjà employé des techniques d’accès initial telles que l’hameçonnage ciblé et les attaques par points d’eau, visant par exemple à inciter des cibles à télécharger des fichiers malveillants usurpant des logiciels légitimes.

Par ailleurs, les conclusions des rapports techniques font état d’un MOA sophistiqué utilisant des infrastructures le rendant très difficile à détecter, en partie grâce à l’utilisation de ressources louées ou déjà compromises.

Une réponse française et européenne ferme face aux agissements russes

L’attribution du MOA Turla au FSB russe s’inscrit dans une démarche coordonnée de dénonciation et de sanctions des acteurs de l’écosystème offensif russe par l’ensemble de l’Union européenne et de ses Etats-membres.

Cette déclaration a également été rendue possible grâce au renforcement des capacités françaises d’attribution des attaques informatiques, dans un contexte d’intensification et d’aggravation des attaques hybrides contre la France.

Elle entend rappeler la Russie à ses responsabilités et lui signifier que ses activités offensives, ciblant les intérêts français, feront toujours l’objet d’une réponse ferme de la part de la France et de l’Union européenne.

1 Le Centre de Coordination des Crises Cyber (C4) est une instance interministérielle qui rassemble dans son format technico-opérationnel l’ANSSI, le COMCYBER, la DGA, la DGSE et la DGSI. Rejoints par le MEAE dans son format stratégique, il a alors en particulier pour mission de préparer et alimenter les stratégies globales de réponse de l’Etat aux menaces cyber - validées par l’autorité politique - et d’en suivre la mise en œuvre.