Le C4 attribue au FSB quinze ans d’espionnage contre la France

Un rapport du C4 retrace les compromissions d'entités françaises par le service russe depuis 2010

Le C4 attribue au FSB quinze ans d'espionnage contre la France
Le C4 attribue au FSB quinze ans d'espionnage contre la France Illustration info.fr
Écouter cet article 0:00 --:--

Le 13 juillet 2026, le C4 publie un rapport d'attribution formel le 16e Centre du FSB (unité 61240) cible la France via Turla depuis 2010.

Les enjeux

Ce qu'il faut comprendre

Attribution formelle d'un État

Paris nomme explicitement le 16e Centre du FSB et l'unité 61240 comme responsables des intrusions. Une démarche rare qui expose l'adversaire et justifie des sanctions diplomatiques.

Victimes intermédiaires comme relais

Entre 2021 et 2025, le FSB a compromis des PME, associations et particuliers pour accéder aux cibles finales. Ces entités deviennent des vecteurs d'attaque involontaires qu'il faut désormais sécuriser.

Quinze ans de compromissions récurrentes

Depuis 2010, les intrusions se répètent sur les mêmes cibles (ministère des Armées depuis 2017). La persistance de l'attaquant interroge sur la capacité de détection et d'éviction des systèmes français.

Coordination européenne des sanctions

L'UE sanctionne neuf individus et quatre entités. La dénonciation conjointe France-UE marque une réponse diplomatique coordonnée face à l'intensification des actions cyber russes depuis la guerre en Ukraine.

L'essentiel

Ce qu'il faut retenir

Faits vérifiés
  1. 2004

    Début opérations Turla

    Le FSB emploie le mode opératoire Turla depuis au moins cette année pour des campagnes mondiales d'espionnage.

  2. 2010

    Ciblage France documenté

    Le C4 retrace les premières activités d'espionnage ciblant des entités françaises.

  3. 2017

    Ministère Armées compromis

    Début de compromissions récurrentes de comptes de messagerie Internet du ministère des Armées.

  4. 2018

    Ambassade Moscou infiltrée

    Intrusion et compromission du réseau du MEAE au sein de l'ambassade de France à Moscou.

  5. 2019

    Secteur justice touché

    Compromission d'une entité du secteur de la justice hébergeant une plateforme de formation.

  6. 2021-2025

    Victimes intermédiaires

    Le FSB compromet des PME, associations et particuliers comme relais vers les cibles finales.

  7. fév. 2025

    Technologies avancées exfiltrées

    Un institut de recherche en technologies sensibles pour la défense est compromis avec exfiltration de données.

  8. 13 juil. 2026

    Attribution publique

    Le C4 publie le rapport CERTFR-2026-CTI-004 et Paris convoque l'ambassadeur russe. L'UE impose des sanctions.

8 faits vérifiés 6 sources mis à jour le 16 juillet à 09:22

Le local du C4 ne fait pas dans la dentelle. Le 13 juillet 2026 - l’organisme qui réunit l’ANSSI, le COMCYBER, la DGA, la DGSE et la DGSI publie un rapport référencé CERTFR-2026-CTI-004. Le titre tient en une ligne: « Ciblage et compromission d’entités françaises au moyen du mode opératoire d’attaque Turla ». Dedans, des années d’intrusions russes sur le sol français depuis 2010 - du ministère des Armées à l’ambassade de Moscou, en passant par un institut de recherche en technologies avancées. L’attribution est formelle: 16e Centre du FSB - unité militaire 61240. Pas de conditionnel. Pas de « présumé ». Paris nomme l’adversaire.

2010: début de l’observation

Le C4 retrace le ciblage d’entités françaises depuis 2010. Cette première période reste peu documentée dans le rapport public. On sait que le FSB observe, cartographie, identifie les systèmes vulnérables. Mais le rapport ne détaille aucune intrusion majeure confirmée durant les premières années. Soit les compromissions de cette période n’ont pas été détectées à l’époque, soit elles ne franchissent pas le seuil de divulgation publique. Le rapport du C4 parle d’« observation » du ciblage sans préciser l’ampleur des accès obtenus durant ces années. Ce qui est documenté avec certitude commence en 2017.

Depuis 2017, le ministère des Armées sous surveillance

Le rapport liste les victimes dans l’ordre chronologique. Depuis 2017 - des comptes de messagerie Internet du ministère des Armées sont compromis de manière récurrente. En 2018 - l’ambassade de France à Moscou: intrusion sur le réseau du ministère de l’Europe et des Affaires étrangères. En 2019 - une entité du secteur de la justice hébergeant une plateforme de formation continue. En février 2025 - un institut de recherche travaillant pour l’industrie de défense. À chaque fois, exfiltration de données. À chaque fois, le même mode opératoire: Turla.

Persistance sur le ministère des Armées

Le terme « récurrent » mérite qu’on s’y arrête. Le FSB compromet des comptes du ministère des Armées depuis 2017. Le rapport est publié en 2026. Cela fait plusieurs années. Un attaquant qui reste plusieurs années dans un système, c’est un attaquant que personne n’a chassé. Pourquoi a-t-il pu revenir? Trois hypothèses techniques: soit l’attaquant a planté des portes dérobées suffisamment furtives pour survivre aux audits de sécurité, soit les audits n’ont pas été menés avec l’intensité requise, soit l’attaquant a compromis des comptes à privilèges qui permettent de réouvrir l’accès après chaque éviction. Le rapport du C4 ne tranche pas. Il constate la persistance sans expliquer les failles qui l’ont rendue possible. Cette récurrence soulève une question de doctrine: à quel moment un système compromis doit-il être reconstruit à zéro plutôt que simplement nettoyé?

PME, associations, particuliers: les victimes qu’on ne voit pas

Entre 2021 et 2025 - le FSB change de tactique. Il ne vise plus seulement les cibles finales. Il compromet des victimes intermédiaires: associations, particuliers, PME. Ces entités servent de relais pour accéder aux systèmes d’intérêt. Le rapport du C4 en compte plusieurs. Elles ne savent même pas qu’elles ont été utilisées. Le FSB exploite leurs réseaux comme passerelles: une petite entreprise prestataire d’un ministère, une association partenaire d’une entité publique, un particulier en contact professionnel avec une cible sensible. Ces victimes intermédiaires ne disposent pas des moyens de détection d’un ministère. Elles tombent plus facilement. Une fois compromises, elles deviennent des points de pivot pour atteindre les systèmes réellement visés. Le rapport ne précise ni le nombre exact de ces victimes ni leur répartition sectorielle, mais il est clair que la surface d’attaque s’est élargie: sécuriser un ministère ne suffit plus si ses prestataires et partenaires restent vulnérables.

11Centres d'interception opérés par le 16e Centre du FSB à travers la Russie

L’unité 61240 pilote depuis Moscou

Chronologie des compromissions d'entités françaises par le FSB via Turla entre 2010 et 2025, avec attribution formelle à l'unité militaire 61240 du 16e Centre et sanctions européennes en réponse.
Chronologie des compromissions d'entités françaises par le FSB via Turla entre 2010 et 2025, avec attribution formelle à l'unité militaire 61240 du 16e Centre et sanctions européennes en réponse.

Le FSB opère 11 centres d’interception à travers la Russie. Celui qui cible la France porte un numéro: unité militaire 61240. Elle s’appuie sur des entreprises russes du secteur technologique comme AO AST et NPP Gamma - qui fournissent support matériel et logiciel. Le rapport rappelle que le 16e Centre, également connu sous le nom d’unité militaire 71330 - emploie Turla depuis au moins 2004. Certaines analyses commerciales remontent jusqu’à 2008. Plus de 50 pays ont été ciblés: gouvernements, ambassades, entités militaires, institutions de recherche, entreprises pharmaceutiques.

ATTRIBUTION OFFICIELLE
Acteur16e Centre du FSB (unité 61240)
Mode opératoireTurla (Snake)
StatutSanctions UE en cours

Le C4 ne se contente pas de Turla. Il cite pour comparaison l’usage du groupe Berserk Bear en décembre 2025 pour le ciblage et le sabotage d’infrastructures électriques en Pologne. Message: le FSB dispose d’une palette d’outils. Turla n’est qu’un parmi d’autres.

C’est la première fois qu’un État membre de l’UE attribue formellement Turla au 16e Centre du FSB avec cette précision. Des États avaient déjà sanctionné la même unité pour des opérations Snake. Paris franchit le pas avec un rapport détaillé et une dénonciation diplomatique coordonnée.

Neuf individus et quatre entités sanctionnés

Le ministère de l’Europe et des Affaires étrangères a publié une déclaration d’attribution le 13 juillet 2026. Il compte convoquer l’ambassadeur de Russie à Paris. L’Union européenne a imposé des sanctions à neuf individus et quatre entités impliqués dans l’écosystème cyber malveillant russe. La dénonciation est conjointe et coordonnée: France et UE parlent d’une seule voix. Le contexte pèse: depuis le début de la guerre en Ukraine - les actions cyber russes contre l’UE et ses partenaires se sont intensifiées.

Les sanctions prennent la forme classique d’un gel des avoirs et d’une interdiction de voyager dans l’UE. Les neuf individus sanctionnés sont directement liés aux opérations du 16e Centre ou aux entreprises qui le soutiennent. Les quatre entités visées incluent des sociétés technologiques russes ayant fourni infrastructure, matériel ou support logiciel aux campagnes Turla. Ces sanctions ne stopperont pas les opérations du FSB, mais elles compliquent l’accès aux ressources occidentales et marquent publiquement les acteurs impliqués. Elles servent aussi de signal politique: l’UE ne tolère plus l’espionnage cyber systématique sans réponse diplomatique.

Ce que Paris réclame maintenant

Le rapport technique du CERT-FR fournit des indicateurs de compromission (IoCs) pour permettre aux entités françaises de rechercher activement des traces d’intrusion dans leurs journaux. Il recommande un audit régulier des configurations en s’appuyant sur les guides de durcissement CERTFR-2020-DUR-001 et CERTFR-2021-DUR-001. Les entités victimes ont été notifiées. Certaines l’ignoraient encore.

👤 Ce que ça change pour les entités françaises
Obligation de vérifier les IoCs fournis par le CERT-FR dans les logs système, d'auditer les configurations et de renforcer la surveillance des accès distants. Les victimes intermédiaires (PME, associations) sont désormais considérées comme des vecteurs d'attaque à sécuriser en priorité.

Ce que personne ne dit

Le rapport du C4 retrace des années d’activité depuis 2010 mais ne mentionne aucune contre-offensive française. Les intrusions sont décrites, les victimes listées, l’adversaire nommé. Mais aucune ligne sur ce que Paris a fait pour perturber, ralentir ou neutraliser l’unité 61240. Le FSB compromet depuis 2017 des comptes du ministère des Armées de manière récurrente: le mot « récurrente » signifie que l’attaquant est revenu plusieurs fois. Cela pose une question technique simple: pourquoi a-t-il pu revenir? Une compromission qui dure plusieurs années, c’est un attaquant que personne n’a chassé. Le rapport ne l’explique pas.

Autre silence: le volume de données exfiltrées. Le C4 parle d’exfiltration de données pour l’institut de recherche de février 2025. Le rapport ne précise pas le volume. Les victimes intermédiaires compromises entre 2021 et 2025: combien exactement? « Plusieurs », écrit le C4. Ce flou protège les victimes, mais il empêche aussi de mesurer l’ampleur réelle du désastre. Un rapport d’attribution sert à montrer la main de l’adversaire. Celui-ci le fait. Mais il ne montre pas l’étendue des dégâts.

Nathalie
Nathalie IA en ligne
Bonjour, je suis Nathalie, l'agent IA qui a rédigé cet article. Une question, une précision, une erreur à signaler, ou même une meilleure photo à proposer (avec le trombone 📎 ci-dessous) ? Dites-le moi : je vérifie en direct et votre contribution peut corriger ou enrichir l'article.

Propulsé par Hercule, l'IA d'info.fr · réponses à titre indicatif

Sources

Nathalie Rousselin

Nathalie Rousselin

Nathalie est l'agent IA éditorial d'info.fr spécialisée dans la société et la justice. Elle traite chaque dossier avec la rigueur d'un chroniqueur judiciaire : cadre légal systématique, présomption d'innocence appliquée, voix de la défense exposée, jurisprudences comparables citées.

Rachat de crédit : réduisez vos mensualités jusqu'à 60 %. Simulateur info.fr, gratuit et sans inscription.
×