Ce lundi 13 juillet, la France et l’Union Européenne ont attribué des activités cyber-malveillantes et de cyber-espionnage au 16e Centre du service fédéral de sécurité de la fédération de Russie (FSB) qui ont ciblé la France, l’Ukraine, l’OTAN et l’Union Européenne. L’attribution menée par les autorités françaises s’appuie sur un travail d’imputation du centre de coordination des crises cyber (C4) dont le Commandement de la cyberdéfense est membre actif.
Cyberdéfense Commandement de la cyberdéfense (COMCYBER)Dans la continuité de l’attribution de la France du mode opératoire d’attaque (MOA) APT 28 au service de renseignement militaire russe (GRU) en avril 2025, les autorités françaises ont, par une déclaration d’attribution publiée le 13 juillet 2026, dénoncer les agissements du 16e Centre du service fédéral de sécurité de la fédération de Russie (FSB).
APT 28 : attribué publiquement par l'UE à la Russie
En avril 2025, l’Union Européenne a attribué publiquement le ciblage et la compromission d’entités françaises au moyen du mode opératoire d’attaque (MOA) APT 28 à la Russie.
En savoir plusDepuis les années 2010 et jusqu’à aujourd’hui, les membres du centre de coordination des crises cyber (C4) ont observé le ciblage et la compromission d’entités françaises publiques et privées au moyen du MOA Turla notamment dans les secteurs de la diplomatie, de la défense, de la justice et des technologies. Cette initiative diplomatique s’inscrit dans le contexte d’un renforcement des capacités françaises d’attribution des attaques informatiques, dans un contexte d’intensification et d’aggravation des attaques hybrides contre la France. Elle vise à rappeler la Russie à ses responsabilités et lui signaler que la France observe ce que ses services offensifs font à l’encontre des intérêts français. Cette démarche de communication a également pour objet de sensibiliser largement sur la réalité de la menace cyber russe, dans un contexte de confrontation hybride conduit par la Russie contre nos intérêts.
La présente attribution s’appuie sur un travail d’imputation issue de la complémentarité des capacités d’analyse technique de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), de la Direction générale de l’armement (DGA), du Commandement de la cyberdéfense (COMCYBER) et de renseignement de la DGSE et de la DGSI. Membres actifs du C4, le COMCYBER et la DGA démontrent ainsi leur expertise cyber et leur contribution à la cyberdéfense nationale.
Le centre de coordination des crises cyber (C4)
Instance interministérielle, le C4 rassemble l’ANSSI, le COMCYBER, la DGA, la DGSE la DGSI et le ministère de l’Europe et des Affaires étrangères. Il a en particulier pour mission de préparer et alimenter les stratégies globales de réponse de l’Etat aux menaces cyber et d’en suivre la mise en œuvre.
Le mode opératoire d’attaque Turla, attribué à la Russie par la France et l’Union européenne
Les membres du centre de coordination des crises cyber (C4) ont observé le ciblage et la compromission d’entités françaises au moyen du mode opératoire d’attaque (MOA) Turla, opéré par le 16e Centre du service fédéral de sécurité de la fédération de Russie (FSB).
Actif depuis au moins 2004, ce MOA Turla a été mis en œuvre à des fins de collecte de renseignement contre des entités stratégiques et des personnes physiques à l’échelle mondiale, dont en France. Les campagnes d’espionnage associées au MOA Turla contre l’Ukraine, les pays de l’Organisation du Traité de l’Atlantique Nord et de l’Union européenne se poursuivent dans le contexte de la guerre d’agression déclenchée par la Russie contre l’Ukraine le 24 février 2022, et constituent une menace persistante contre les intérêts français et européens.
Depuis les années 2010, les victimes françaises intermédiaires et finales du MOA Turla incluent notamment des ministères, des entités du secteur diplomatique, de la défense, de la justice et des technologies. Sont en particulier à noter la compromission de comptes de messagerie Internet du ministère des Armées depuis 2017, la compromission du réseau du ministère de l’Europe et des Affaires étrangères à l’ambassade de France à Moscou en 2018, la compromission d’une entité du secteur de la justice et hébergeant un service au bénéfice de la formation continue de personnels en 2019 ou encore plus récemment la compromission en 2025 du système d’information d’une entité travaillant sur des technologies avancées. Parmi les victimes intermédiaires du MOA, les membres du C4 ont également identifié des associations, des particuliers, et des entreprises diverses.
Visualiser et télécharger la note sur le ciblage et compromission d'entités françaises au moyen du MOA TURLAPDF - 1.85 Mo