Le C4 attribue au FSB quinze ans d’espionnage contre la France
Un rapport du C4 retrace les compromissions d'entités françaises par le service russe depuis 2010
Le 13 juillet 2026, le C4 publie un rapport d'attribution formel le 16e Centre du FSB (unité 61240) cible la France via Turla depuis 2010.
Les enjeux
Ce qu'il faut comprendre
Attribution formelle d'un État
Paris nomme explicitement le 16e Centre du FSB et l'unité 61240 comme responsables des intrusions. Une démarche rare qui expose l'adversaire et justifie des sanctions diplomatiques.
Victimes intermédiaires comme relais
Entre 2021 et 2025, le FSB a compromis des PME, associations et particuliers pour accéder aux cibles finales. Ces entités deviennent des vecteurs d'attaque involontaires qu'il faut désormais sécuriser.
Quinze ans de compromissions récurrentes
Depuis 2010, les intrusions se répètent sur les mêmes cibles (ministère des Armées depuis 2017). La persistance de l'attaquant interroge sur la capacité de détection et d'éviction des systèmes français.
Coordination européenne des sanctions
L'UE sanctionne neuf individus et quatre entités. La dénonciation conjointe France-UE marque une réponse diplomatique coordonnée face à l'intensification des actions cyber russes depuis la guerre en Ukraine.
L'essentiel
Ce qu'il faut retenir
-
2004
Début opérations Turla
Le FSB emploie le mode opératoire Turla depuis au moins cette année pour des campagnes mondiales d'espionnage.
-
2010
Ciblage France documenté
Le C4 retrace les premières activités d'espionnage ciblant des entités françaises.
-
2017
Ministère Armées compromis
Début de compromissions récurrentes de comptes de messagerie Internet du ministère des Armées.
-
2018
Ambassade Moscou infiltrée
Intrusion et compromission du réseau du MEAE au sein de l'ambassade de France à Moscou.
-
2019
Secteur justice touché
Compromission d'une entité du secteur de la justice hébergeant une plateforme de formation.
-
2021-2025
Victimes intermédiaires
Le FSB compromet des PME, associations et particuliers comme relais vers les cibles finales.
-
fév. 2025
Technologies avancées exfiltrées
Un institut de recherche en technologies sensibles pour la défense est compromis avec exfiltration de données.
-
13 juil. 2026
Attribution publique
Le C4 publie le rapport CERTFR-2026-CTI-004 et Paris convoque l'ambassadeur russe. L'UE impose des sanctions.
Le local du C4 ne fait pas dans la dentelle. Le 13 juillet 2026 - l’organisme qui réunit l’ANSSI, le COMCYBER, la DGA, la DGSE et la DGSI publie un rapport référencé CERTFR-2026-CTI-004. Le titre tient en une ligne: « Ciblage et compromission d’entités françaises au moyen du mode opératoire d’attaque Turla ». Dedans, des années d’intrusions russes sur le sol français depuis 2010 - du ministère des Armées à l’ambassade de Moscou, en passant par un institut de recherche en technologies avancées. L’attribution est formelle: 16e Centre du FSB - unité militaire 61240. Pas de conditionnel. Pas de « présumé ». Paris nomme l’adversaire.
2010: début de l’observation
Le C4 retrace le ciblage d’entités françaises depuis 2010. Cette première période reste peu documentée dans le rapport public. On sait que le FSB observe, cartographie, identifie les systèmes vulnérables. Mais le rapport ne détaille aucune intrusion majeure confirmée durant les premières années. Soit les compromissions de cette période n’ont pas été détectées à l’époque, soit elles ne franchissent pas le seuil de divulgation publique. Le rapport du C4 parle d’« observation » du ciblage sans préciser l’ampleur des accès obtenus durant ces années. Ce qui est documenté avec certitude commence en 2017.
Depuis 2017, le ministère des Armées sous surveillance
Le rapport liste les victimes dans l’ordre chronologique. Depuis 2017 - des comptes de messagerie Internet du ministère des Armées sont compromis de manière récurrente. En 2018 - l’ambassade de France à Moscou: intrusion sur le réseau du ministère de l’Europe et des Affaires étrangères. En 2019 - une entité du secteur de la justice hébergeant une plateforme de formation continue. En février 2025 - un institut de recherche travaillant pour l’industrie de défense. À chaque fois, exfiltration de données. À chaque fois, le même mode opératoire: Turla.
Persistance sur le ministère des Armées
Le terme « récurrent » mérite qu’on s’y arrête. Le FSB compromet des comptes du ministère des Armées depuis 2017. Le rapport est publié en 2026. Cela fait plusieurs années. Un attaquant qui reste plusieurs années dans un système, c’est un attaquant que personne n’a chassé. Pourquoi a-t-il pu revenir? Trois hypothèses techniques: soit l’attaquant a planté des portes dérobées suffisamment furtives pour survivre aux audits de sécurité, soit les audits n’ont pas été menés avec l’intensité requise, soit l’attaquant a compromis des comptes à privilèges qui permettent de réouvrir l’accès après chaque éviction. Le rapport du C4 ne tranche pas. Il constate la persistance sans expliquer les failles qui l’ont rendue possible. Cette récurrence soulève une question de doctrine: à quel moment un système compromis doit-il être reconstruit à zéro plutôt que simplement nettoyé?
PME, associations, particuliers: les victimes qu’on ne voit pas
Entre 2021 et 2025 - le FSB change de tactique. Il ne vise plus seulement les cibles finales. Il compromet des victimes intermédiaires: associations, particuliers, PME. Ces entités servent de relais pour accéder aux systèmes d’intérêt. Le rapport du C4 en compte plusieurs. Elles ne savent même pas qu’elles ont été utilisées. Le FSB exploite leurs réseaux comme passerelles: une petite entreprise prestataire d’un ministère, une association partenaire d’une entité publique, un particulier en contact professionnel avec une cible sensible. Ces victimes intermédiaires ne disposent pas des moyens de détection d’un ministère. Elles tombent plus facilement. Une fois compromises, elles deviennent des points de pivot pour atteindre les systèmes réellement visés. Le rapport ne précise ni le nombre exact de ces victimes ni leur répartition sectorielle, mais il est clair que la surface d’attaque s’est élargie: sécuriser un ministère ne suffit plus si ses prestataires et partenaires restent vulnérables.
L’unité 61240 pilote depuis Moscou
Le FSB opère 11 centres d’interception à travers la Russie. Celui qui cible la France porte un numéro: unité militaire 61240. Elle s’appuie sur des entreprises russes du secteur technologique comme AO AST et NPP Gamma - qui fournissent support matériel et logiciel. Le rapport rappelle que le 16e Centre, également connu sous le nom d’unité militaire 71330 - emploie Turla depuis au moins 2004. Certaines analyses commerciales remontent jusqu’à 2008. Plus de 50 pays ont été ciblés: gouvernements, ambassades, entités militaires, institutions de recherche, entreprises pharmaceutiques.
Le C4 ne se contente pas de Turla. Il cite pour comparaison l’usage du groupe Berserk Bear en décembre 2025 pour le ciblage et le sabotage d’infrastructures électriques en Pologne. Message: le FSB dispose d’une palette d’outils. Turla n’est qu’un parmi d’autres.
C’est la première fois qu’un État membre de l’UE attribue formellement Turla au 16e Centre du FSB avec cette précision. Des États avaient déjà sanctionné la même unité pour des opérations Snake. Paris franchit le pas avec un rapport détaillé et une dénonciation diplomatique coordonnée.
Neuf individus et quatre entités sanctionnés
Le ministère de l’Europe et des Affaires étrangères a publié une déclaration d’attribution le 13 juillet 2026. Il compte convoquer l’ambassadeur de Russie à Paris. L’Union européenne a imposé des sanctions à neuf individus et quatre entités impliqués dans l’écosystème cyber malveillant russe. La dénonciation est conjointe et coordonnée: France et UE parlent d’une seule voix. Le contexte pèse: depuis le début de la guerre en Ukraine - les actions cyber russes contre l’UE et ses partenaires se sont intensifiées.
Les sanctions prennent la forme classique d’un gel des avoirs et d’une interdiction de voyager dans l’UE. Les neuf individus sanctionnés sont directement liés aux opérations du 16e Centre ou aux entreprises qui le soutiennent. Les quatre entités visées incluent des sociétés technologiques russes ayant fourni infrastructure, matériel ou support logiciel aux campagnes Turla. Ces sanctions ne stopperont pas les opérations du FSB, mais elles compliquent l’accès aux ressources occidentales et marquent publiquement les acteurs impliqués. Elles servent aussi de signal politique: l’UE ne tolère plus l’espionnage cyber systématique sans réponse diplomatique.
Ce que Paris réclame maintenant
Le rapport technique du CERT-FR fournit des indicateurs de compromission (IoCs) pour permettre aux entités françaises de rechercher activement des traces d’intrusion dans leurs journaux. Il recommande un audit régulier des configurations en s’appuyant sur les guides de durcissement CERTFR-2020-DUR-001 et CERTFR-2021-DUR-001. Les entités victimes ont été notifiées. Certaines l’ignoraient encore.
Ce que personne ne dit
Le rapport du C4 retrace des années d’activité depuis 2010 mais ne mentionne aucune contre-offensive française. Les intrusions sont décrites, les victimes listées, l’adversaire nommé. Mais aucune ligne sur ce que Paris a fait pour perturber, ralentir ou neutraliser l’unité 61240. Le FSB compromet depuis 2017 des comptes du ministère des Armées de manière récurrente: le mot « récurrente » signifie que l’attaquant est revenu plusieurs fois. Cela pose une question technique simple: pourquoi a-t-il pu revenir? Une compromission qui dure plusieurs années, c’est un attaquant que personne n’a chassé. Le rapport ne l’explique pas.
Autre silence: le volume de données exfiltrées. Le C4 parle d’exfiltration de données pour l’institut de recherche de février 2025. Le rapport ne précise pas le volume. Les victimes intermédiaires compromises entre 2021 et 2025: combien exactement? « Plusieurs », écrit le C4. Ce flou protège les victimes, mais il empêche aussi de mesurer l’ampleur réelle du désastre. Un rapport d’attribution sert à montrer la main de l’adversaire. Celui-ci le fait. Mais il ne montre pas l’étendue des dégâts.
Sources
- CERT-FR - Rapport CTI CERTFR-2026-CTI-004
- Cyber.gouv.fr - Ciblage et compromission d'entités françaises par le FSB
- Ministère de l'Europe et des Affaires étrangères - Attribution à la Russie
- COMCYBER - Ciblage et compromission par Turla
- Clubic - La France accuse officiellement la Russie
- InCyber - France attributes major cyberespionnage campaign to Russia
