Paris sanctionne Turla, l’unité d’élite du FSB qui espionne la France depuis 2010
Le 16e Centre du FSB infiltre ministères et instituts de recherche depuis quinze ans
La France et l'UE frappent 9 individus et 4 entités russes du groupe Turla. L'ambassadeur de Russie sera convoqué dans les prochains jours.
L'essentiel
Ce qu'il faut retenir
-
2004
Naissance de Turla
Le groupe de hackers russes Turla devient actif [^f12], ciblant une cinquantaine de pays [^f13]
-
2010
Début du ciblage français
Turla commence à infiltrer les intérêts stratégiques français [^f2]
-
2017
Compromission du ministère des Armées
Les comptes de messagerie du ministère des Armées sont infiltrés [^f3]
-
2018
Attaque contre l'ambassade à Moscou
Le réseau du ministère des Affaires étrangères à l'ambassade de France à Moscou est compromis [^f4]
-
Fév. 2025
Exfiltration massive
Un institut de recherche pour la défense française est visé, volume significatif de données exfiltrées [^f17]
-
13 juil. 2026
Sanctions coordonnées
La France et l'UE sanctionnent 9 individus et 4 entités [^f1] liés à Turla
Le 13 juillet 2026 - Paris dégaine. Neuf individus, quatre entités. Tous russes. Tous liés au 16e Centre du FSB, l’unité 61240 qui pilote Turla - groupe de cyberespionnage affilié au 16e Centre du FSB russe. Jean-Noël Barrot, ministre de l’Europe et des Affaires étrangères - annonce des sanctions coordonnées avec l’Union européenne. L’ambassadeur de Russie sera convoqué dans les prochains jours. Gel des avoirs. Interdiction de séjour sur le territoire européen.
Ce n’est pas une première alerte. C’est la fin d’une longue traque.
Quinze ans d’infiltration silencieuse
Turla ne sabote pas. Turla aspire. Depuis 2010 - le groupe infiltre des réseaux français, y reste des mois, exfiltre des gigaoctets de données. Le CERT-FR - bras armé de l’ANSSI, vient de publier deux rapports techniques (CERTFR-2026-CTI-004 et 005 ) qui établissent l’attribution formelle. Le travail a été mené par le Centre de Coordination des Crises Cyber (C4) - structure interministérielle qui regroupe l’ANSSI, le COMCYBER, la DGA, la DGSE et la DGSI.
Les cibles? Des comptes de messagerie du ministère des Armées, infiltrés depuis 2017. Le réseau du ministère des Affaires étrangères à l’ambassade de France à Moscou, compromis en 2018. Un serveur du secteur de la justice en 2019. Un institut de recherche sur les technologies sensibles travaillant pour l’industrie de défense, en février 2025 - avec exfiltration d’un volume significatif de données.
Aucune source consultée ne mentionne de compromission confirmée au ministère de l’Intérieur ou au ministère de la Transition écologique.
Turla est actif depuis 2004. Une cinquantaine de pays ciblés. Le groupe maîtrise l’hameçonnage ciblé, les attaques par point d’eau, des malwares spécifiques comme Kazuar, opérationnel depuis 2016. Sa réputation repose sur une capacité à brouiller les pistes: Turla utilise parfois les infrastructures d’autres groupes malveillants, y compris iraniens, pour masquer l’origine de ses opérations.
Une coordination européenne sans précédent
C’est la première fois que l’UE attribue formellement les opérations de Turla au 16e Centre du FSB. Les sanctions du 13 juillet 2026 s’inscrivent dans le régime de sanctions cyber établi en 2020. Dix pays européens ont été visés: France, Allemagne, Pologne, Chypre, Pays-Bas, Autriche, Slovaquie, Roumanie, Finlande. En Pologne, Turla a tenté de saboter le système d’assainissement de l’eau et le secteur énergétique.
Le Royaume-Uni a frappé en parallèle: 24 individus et entités sanctionnés. Londres et Bruxelles affichent un front commun face à ce que l’UE appelle un « écosystème cyber malveillant » - qui exploite un » diversifié d’acteurs non-étatiques, y compris des groupes soi-disant ‘hacktivistes' ».
Ce que les sources ne disent pas
Aucun des rapports publiés ne mentionne le coût financier exact de ces intrusions pour l’État français. Ni le nombre de fonctionnaires dont les comptes ont été compromis au ministère des Armées depuis 2017. Ni l’identité précise de l’institut de recherche visé en février 2025 - protégée par le secret défense. Le volume de données exfiltrées est qualifié de « », mais aucun chiffrage n’est fourni.
L’intensification des campagnes de Turla depuis le début de la guerre en Ukraine en février 2022 cible prioritairement les pays soutenant Kiev et ayant adopté des sanctions économiques contre Moscou. Mais l’attribution publique arrive quatre ans après la compromission de l’ambassade à Moscou - deux ans après l’attaque contre l’institut de recherche. Cette lenteur interroge: combien d’autres intrusions n’ont pas encore été détectées?
Des sanctions symboliques aux effets limités
Le gel des avoirs frappe 9 individus et 4 entités russes - mais aucune source ne précise les montants saisis ni les actifs effectivement bloqués en Europe. L’interdiction de séjour sur le territoire européen concerne des ressortissants russes qui, pour la plupart, ne voyageaient déjà plus dans l’UE depuis le début de la guerre en Ukraine. Aucun élément ne permet d’affirmer que ces mesures auront un impact opérationnel sur les capacités du 16e Centre du FSB.
Les sanctions ferment des comptes bancaires et bloquent des visas. Elles ne ferment pas les backdoors déjà ouvertes dans les réseaux français. Les équipes du C4 continuent de traquer les traces de Turla dans des serveurs compromis depuis des années. L’attribution publique est une étape. La remédiation prendra des mois.
Paris veut montrer les dents
Jean-Noël Barrot a déclaré que la France disposait désormais de « dispositifs robustes » pour faire face à cette « agressivité ou ces agressions hybrides ». Le ministre cite les moyens de l’État français face aux menaces cyber, dont Viginum et l’ANSSI. La convocation de l’ambassadeur russe est un geste diplomatique fort, mais sans conséquence opérationnelle immédiate.
Souveraineté numérique en question
La compromission prolongée de ministères stratégiques pose une question de souveraineté. Depuis 2017 - le ministère des Armées a vu ses comptes de messagerie infiltrés. En 2018 - le réseau diplomatique à Moscou était compromis. En février 2025 - un institut de recherche pour la défense perdait des données sensibles. À chaque fois, des mois, parfois des années, avant la détection.
Cette perte de contrôle sur les données nationales illustre la vulnérabilité d’un État face à un adversaire qui maîtrise la durée. Turla n’a pas besoin de détruire. Il suffit d’aspirer, discrètement, pendant des années. Les données exfiltrées ne reviennent jamais. Les plans de défense, les échanges diplomatiques, les travaux de recherche: tout devient un actif pour le FSB.
Le paradoxe: contrairement à Sandworm - groupe russe affilié au GRU qui mène des opérations de sabotage spectaculaires, Turla privilégie l’infiltration de longue durée et l’exfiltration discrète de données. Sandworm détruit. Turla aspire. Les sanctions frappent Turla, mais Sandworm reste actif, comme le rappellent les récentes attaques contre les infrastructures énergétiques polonaises.
Le 16e Centre du FSB est aussi connu sous les noms Secret Blizzard et Waterbug. Actif depuis 2004 - le groupe a ciblé une cinquantaine de pays. Turla n’est pas une menace émergente. C’est une menace installée, patiente, méthodique.
Dans les couloirs du Quai d’Orsay, personne ne crie victoire. On parle de « signal politique ». Le reste se joue ailleurs, dans des salles sécurisées où des équipes du C4 traquent les traces de Turla dans des serveurs compromis depuis des années. L’attribution publique est une étape. La remédiation prendra des mois.
Sources
Voir le détail de chaque fait sourcé (5)
« The FSB's 16th Centre has carried out cyber espionage against strategic French government bodies since 2010 »
eurointegration.com.ua ↗ ↩
« Il s'agit de la première fois que l'UE attribue formellement les opérations de Turla au 16ème Centre du FSB. »
consilium.europa.eu ↗ ↩
« targeting government networks and critical infrastructure in France, Germany, Poland, Cyprus, the Netherlands, Austria, Slovakia, Romania, and Finland »
cyberscoop.com ↗ ↩
« Les sanctions et l'attribution publique des activités malveillantes au 16e Centre du FSB (opérant le mode opératoire d'attaque Turla) ont été officialisées le 13 juillet 2026 par la France et l'Union Européenne. »
diplomatie.gouv.fr ↗ ↩
« the European Union adopted a new package of sanctions on 13 July, under the EU’s cyber regime, targeting 9 individuals and 4 entities »
diplomatie.gouv.fr ↗ ↩
Sources
- Statement - Attribution to Russia of malicious cyber activities targeting France for espionage purposes
- EU and Britain sanction Russians behind cyber-espionage against France and Europe
- EU and UK sanction Russian GRU hackers behind decade of European cyberattacks
- EU, UK Sanction Russian Cyberespionage Operations
- Spies, Malware, and Blackouts: EU Blames Secret FSB Unit for Decade of Cyber Sabotage
- Attribution à la Russie d'activités cyber malveillantes à des fins d'espionnage en France
- Cyber: Russia - Statement by the High Representative on behalf of the European Union
- CERTFR-2026-CTI-004 - Ciblage et compromission d'entités françaises au moyen du mode opératoire d'attaque Turla
- Ciblage et compromission d'entités françaises au moyen du mode opératoire d'attaque Turla
