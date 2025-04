Lecture Zen Résumer l'article

C’est une première. La France a décidé de désigner la Russie comme responsable de plusieurs attaques informatiques. Paris en profite pour dénoncer l’hostilité de la Russie dans le cyberespace, et cela depuis au moins dix ans.

C’est une prise de parole forte, mais qui traduit bien la lassitude et l’agacement des autorités françaises concernant les activités cyber de la Russie. Loin de sa réserve habituelle, Paris a pour la première fois attribué la responsabilité de certaines attaques informatiques à Moscou, menées à travers l’un de ses bras armés, le renseignement militaire russe (GRU).

Une prise de parole notamment matérialisée au plus haut niveau par Jean-Noël Barrot, le ministre de l’Europe et des Affaires étrangères. « Le GRU déploie depuis plusieurs années contre la France un mode opératoire cyber-offensif appelé APT28. Il a ciblé une dizaine d’entités françaises depuis 2021 », a-t-il écrit le 29 avril sur X (ex-Twitter).

Dix ans d’attaques cyber contre la France

Ce harcèlement informatique est jugé désormais assez grave pour le dénoncer publiquement. Cependant, celui-ci dure en réalité depuis bien plus longtemps que la date avancée par le chef de la diplomatie française. Dans un message distinct publié par le Quai d’Orsay, le gouvernement lie les activités d’APT28 à une décennie d’actes hostiles.

À ce titre, deux grands exemples sont donnés : le piratage retentissant de TV5 Monde en 2015, avec une attaque maquillée comme étant soi-disant une opération du cybercaliphate (la France était alors très engagée contre l’État islamique) et l’affaire des MacronLeaks en 2017, pour tenter de nuire à la candidature d’Emmanuel Macron à la présidentielle.

Plus récemment, il y a également le ciblage de l’organisation par la France des Jeux olympiques et paralympiques d’été en 2024. Selon la diplomatie française, le GRU a lancé une opération contre une organisation sportive liée à cet évènement. À chaque fois, un même « mode opératoire d’attaque » a été observé, selon Paris.

Si ces trois exemples sont parmi les plus symboliques et assourdissants (une tentative de déstabilisation du processus électoral français, une attaque contre la principale chaîne de télévision française tournée vers l’étranger et la principale compétition sportive internationale), il y a bien eu d’autres victimes, tout particulièrement depuis 2021.

Le ministère des Affaires étrangères mentionne une dizaine d’entités, dont des ministères, des collectivités territoriales, des think tanks, des entreprises de l’aérospatial, de la défense, de l’énergie ou de la finance. Des cibles variées, mais liées au gouvernement et à des secteurs sensibles — une liste qui n’est pas exhaustive. Toutes les attaques n’ont pas abouti.

Si l’on se réfère aux informations partagées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui a travaillé avec les autres membres du Centre de coordination des crises cyber, les compromissions ont surtout eu lieu de 2021 à mi-2023. Ensuite, le ciblage s’est poursuivi, mais sans forcément donner de résultats.

Une analyse technique pour déterminer l’origine, mais l’attribution reste politique

Ce centre C4 réunit également les services secrets français, dont la DGSE et la DGSI, mais aussi le commandement militaire de la cyberdéfense ainsi que la direction générale de l’Armement — ce dernier ayant mobilisé son centre d’expertise et d’essais « Maîtrise de l’information », a fait savoir le délégué général de la DGA.

Cette structure interministérielle, qui réunit des agences aux compétences diverses, est mobilisé pour « traiter l’analyse de la menace informatique », y compris son origine — une tâche forcément difficile, car les assaillants font en sorte de masquer au mieux leurs traces, mais pas forcément impossible. Mais la décision de l’attribution reste une prérogative politique.

C’est ce qui vient donc d’être fait. Et le ministère d’ajouter : « Ces activités déstabilisatrices sont inacceptables et indignes d’un membre permanent du Conseil de sécurité des Nations unies. Elles sont par ailleurs contraires aux normes des Nations unies en matière de comportement responsable des États dans le cyberespace, auxquelles la Russie a souscrit. »

APT28 est un acronyme qui renvoie à la formule anglaise « Advanced Persistent Threat », soit Menace persistante avancée, en français. Ce type de qualificatif est employé pour désigner une menace informatique de haut niveau, et qui est généralement soutenue par un État disposant de moyens étendus.

APT28, une structure active depuis au moins 2004, et qui opère dans le monde entier

En l’espèce, APT28 est lié au GRU et, selon l’analyse technique du C4, est « actif depuis au moins 2004 ». Ce nom a d’abord été donné par le milieu de la cybersécurité pour baptiser le groupe utilisant ledit mode opératoire. Mais APT28 a été aussi nommé sous d’autres appellations : Pawn Storm, Sofacy, Sednit, FrozenLake, Fancy Bear et UAC-0028.

Comme le rappelle l’ANSSI, les membres d’APT28 ont déployé quantité d’opérations ces vingt dernières années, et pas que contre la France. On retrouve en effet ce groupe, sous un nom ou sous un autre, dans bien des rapports d’éditeurs de sécurité, des articles de presse et des déclarations publiques, en Europe, en Amérique du Nord et en Ukraine.

Concernant d’ailleurs l’Ukraine, la France fait remarquer que ce groupe est « employé pour exercer une pression constante sur les infrastructures ukrainiennes dans le contexte de la guerre d’agression menée par la Russie contre l’Ukraine ». Un investissement guère surprenant vu l’acharnement militaire de Moscou contre Kiev.

Paris a historiquement fait preuve de retenue en matière d’attribution — en partie pour ne pas abîmer davantage la relation avec Moscou, qui s’est très dégradée depuis l’invasion russe de 2022, dans l’espoir de réengager un dialogue et l’arrêt des hostilités en Ukraine. Cela, même si des explications sur les cyberattaques ont eu lieu entre dirigeants dès 2017.

Dans le milieu de la cybersécurité, la notoriété d’APT28 et de ses différents avatars est maximale et un consensus assez large existe pour relier ce groupe à Moscou. Même le Conseil de l’Union européenne a attribué la responsabilité des agissements de ce groupe à la Russie, et placé plusieurs de ses membres et entités sous sanctions, et cela, dès 2020.

Un changement de ton de Paris, mais pour quel effet ?

Aujourd’hui, le ton de Paris a changé. « La France est résolue à employer l’ensemble des moyens à sa disposition pour anticiper les comportements malveillants de la Russie dans le cyberespace, les décourager et y réagir le cas échéant », écrit ainsi le Quai d’Orsay. « Dans le cyberespace, la France observe, bloque et combat ses adversaires », ajoute M. Barrot.

Des déclarations fermes et un changement de posture notable, qui se font dans un contexte où Emmanuel Macron a indiqué fin avril que la pression sur Moscou allait bientôt augmenter, vraisemblablement avec le concours d’autres puissances occidentales, et peut-être également avec l’appui des États-Unis. Mais les détails manquent à ce stade.

Reste que les effets de ce durcissement diplomatique et de ce reproche public sur la trajectoire actuelle de Moscou sont hautement incertains. En effet, les précédentes attributions faites par d’autres nations ou par l’UE n’ont pas dissuadé fondamentalement la Russie. Pas plus que les trains de sanctions ne l’ont incité à arrêter de bombarder l’Ukraine.

