Turla infiltre la France depuis 2010 : l’ANSSI nomme le FSB
Le CERT-FR publie deux rapports détaillant 16 ans d'opérations du 16e Centre FSB contre les ministères et la défense française
Le 13 juillet, Paris attribue officiellement à Moscou une décennie d'intrusions dans ses réseaux stratégiques. L'unité 61240 du FSB pilote depuis Saint-Pétersbourg.
L'essentiel
Ce qu'il faut retenir
-
2004
Turla actif mondialement
Le groupe Turla opère depuis au moins 2004, certains experts suggèrent des activités dès les années 90.
-
2010
Début du ciblage français
Le 16e Centre FSB commence à infiltrer les intérêts stratégiques français via Turla.
-
2014
Ministères attaqués
Plusieurs ministères français compromis, dont un avec le malware Uroburos. Le Bundestag allemand tombe la même année.
-
2018
Ambassade de Moscou infiltrée
Le réseau du Quai d'Orsay à l'ambassade de France à Moscou est compromis, données exfiltrées.
-
Fév. 2025
Recherche défense ciblée
Un institut de recherche travaillant pour l'industrie de défense perd un volume significatif de données.
-
13 juil. 2026
Attribution officielle
La France et l'UE attribuent formellement les opérations au FSB et annoncent des sanctions coordonnées.
Le 13 juillet 2026 - l’ANSSI publie deux rapports qui nomment l’adversaire: Turla, mode opératoire d’attaque du 16e Centre du FSB russe - cible la France depuis 2010. Ministères, défense, justice, diplomatie, les réseaux stratégiques français sont infiltrés depuis seize ans par une unité basée près de Saint-Pétersbourg.
Les faits sont là. Depuis 2014: plusieurs ministères attaqués. Depuis 2017: comptes de messagerie du ministère des Armées compromis. 2018: le réseau du Quai d’Orsay à l’ambassade de Moscou infiltré, données exfiltrées. 2019: un serveur de la justice tombe. Février 2025: un institut de recherche pour la défense perd un volume significatif de données.
L’exploitation d’une faille SharePoint a permis d’accéder à plusieurs milliers de comptes d’utilisateurs français. Le détail technique figure dans les rapports CERTFR-2026-CTI-004 et CTI-005. L’analyse d’attribution a mobilisé le Centre de Coordination des Crises Cyber (C4) - groupe interministériel qui rassemble l’ANSSI, le COMCYBER, la DGA, la DGSE et la DGSI.
Un écosystème actif depuis 2004
Turla opère depuis au moins 2004 - certains experts suggèrent des activités remontant aux années 90. Le groupe a ciblé des entités gouvernementales, sous-traitants de la défense, missions diplomatiques et infrastructures critiques dans une cinquantaine de pays. Europe, OTAN, Moyen-Orient, Amérique du Nord. Les attaques notables incluent le Pentagone, le Bundestag allemand en 2014 - le gouvernement afghan.
Le 16e Centre FSB opère onze centres d’interception à travers la Russie. L’unité 61240 - près de Saint-Pétersbourg, serait spécifiquement dédiée au ciblage français. En France, les premières traces remontent à 2010. Depuis le 24 février 2022 - date du début de la guerre d’agression russe contre l’Ukraine, les campagnes s’intensifient contre les pays soutenant Kiev et ayant adopté des sanctions économiques contre Moscou.
Attribution officielle et sanctions coordonnées
Le 13 juillet 2026 - la France, en coordination avec l’Union Européenne, attribue formellement ces cyberattaques à la Russie. Le Ministre de l’Europe et des Affaires étrangères condamne « avec la plus grande fermeté » les opérations russes sur le territoire français. L’ambassadeur de Russie en France sera convoqué dans les prochains jours.
Paris annonce des sanctions contre 9 individus et 4 entités russes liés au groupe Turla et au 16e Centre du FSB. L’Union Européenne place sous sanction 9 individus et 4 entités dans l’ Turla. La Haute Représentante de l’UE pour les affaires étrangères et la politique de sécurité dénonce « l’ cyber malveillant » de la Russie. Le Conseil de l’UE condamne explicitement le « sabotage numérique ».
L’UE identifie 9 pays membres touchés par les opérations du 16e Centre: France, Allemagne, Pologne, Chypre, Pays-Bas, Autriche, Slovaquie, Roumanie, Finlande. L’Union impute également au Centre 16 l’attaque contre le réseau électrique polonais en décembre 2025. Le Royaume-Uni annonce des sanctions similaires.
Ce que les rapports ne disent pas
Les deux rapports du CERT-FR détaillent le mode opératoire, les indicateurs de compromission, la chronologie des intrusions. Ils ne quantifient pas le volume de données exfiltrées lors des compromissions de 2018 et 2025. Ils ne précisent pas combien de comptes du ministère des Armées ont été compromis. Ils ne nomment pas l’institut de recherche visé en février 2025 - ni les technologies sensibles exfiltrées.
L’attribution officielle intervient seize ans après le début du ciblage français en 2010 - huit ans après l’infiltration de l’ambassade de Moscou, dix-huit mois après l’attaque contre la recherche défense. Le délai entre intrusion et attribution publique reste une constante des opérations cyber étatiques. La publication coordonnée du 13 juillet 2026 avec l’UE marque un durcissement diplomatique dans un contexte où Paris soutient activement Kiev depuis le 24 février 2022.
Vincent Strubel - Directeur Général de l’ANSSI, supervise la publication des rapports techniques. Les deux documents sont disponibles sur le site du CERT-FR. La France nomme l’adversaire. Le FSB ne commente pas.
Sources
Voir le détail de chaque fait sourcé (3)
« dont Turla, accusé d'opérations agressives contre l'UE, ses États membres (France, Allemagne, Pologne, Chypre, Pays-Bas, Autriche, Slovaquie, Roumanie et Finlande) et l'Ukraine. »
diplomatie.gouv.fr ↗ ↩
« L'UE a également imputé au Centre 16 du FSB l'attaque contre le réseau électrique polonais en décembre 2025. »
diplomatie.gouv.fr ↗ ↩
« L'exploitation d'une faille SharePoint a notamment permis d'accéder à plusieurs milliers de comptes d'utilisateurs français. »
cert.ssi.gouv.fr ↗ ↩
