La France et l'Union européenne attribuent officiellement à la Russie une vaste campagne de cyberespionnage, baptisée Turla. Pilotée par le FSB, elle vise des ministères, ambassades et l'industrie de défense françaises depuis plus de dix ans.

Le cyberespionnage russe qui vise à déstabiliser la France a port un nom : Turla. Ce lundi 13 juillet, la France et l'Union européenne ont formellement attribué à la Russie cette campagne d'espionnage informatique, active depuis 2004 dans le pays et pilotée par le 16e Centre du FSB, le service de renseignement russe. Qu'il s'agisse de ministères, du secteur diplomatique, de la défense, de la justice ou des technologies françaises, les cibles se comptent par dizaines depuis les années 2010.
Turla, la machine d'espionnage russe qui vise l'Europe et la France
Le mode opératoire Turla n'est pas nouveau, puisque ses premiers signes remontent à 2004, et plus de 20 ans plus tard, il est toujours très actif. Ce dernier est mené par le 16e Centre du FSB, également appelé unité militaire 71330. Dans le petit monde de la cybersécurité, on le connaît aussi sous les noms de Secret Blizzard, Venomous Bear, Pensive Ursa, Pacifier ou Waterbug, autant de pseudonymes qui désignent, selon les analystes français, une seule et même organisation russe, déjà formellement rattachée à Moscou par plusieurs pays partenaires, dont les États-Unis, l'Estonie, la République tchèque et l'Ukraine.
Ce service assez tentaculaire ne travaille pas seul depuis Moscou. Extrêmement bien organisé, il s'appuie sur onze centres d'écoute, chargés d'intercepter les communications, et ils sont disséminés aux quatre coins de la Russie, de Sotchi à Vladivostok. Parmi eux, l'unité militaire 61240, postée près de Saint-Pétersbourg, est spécifiquement chargée de surveiller la France et l'Europe, tandis que d'autres sites, tournés vers l'Asie, ciblent plutôt cette zone du globe. Cette unité ne fait pas qu'écouter mais collabore aussi avec des sociétés technologiques russes comme AO AST ou NPP Gamma, réputées pour prêter main-forte aux services de renseignement lorsqu'il s'agit de mener de véritables cyberattaques.
Depuis le début de la guerre en Ukraine en février 2022, Turla a changé de braquet. Le groupe participe de manière active à l'effort de guerre russe en espionnant les soutiens de Kiev. On parle ici de gouvernements, des armées et acteurs technologiques alliés, en Ukraine comme dans plusieurs pays européens. Membre de l'OTAN et de l'UE, la France se retrouve donc logiquement dans le viseur de cette machine d'espionnage bien rodée, une pression qui rejoint d'ailleurs les menaces hybrides russes (désinformation, ingérences électorales, incursions aériennes) que Paris surveille de près à l'approche des élections de 2027.
Des malwares et des failles jour-zéro redoutablement efficaces
Pour s'inviter chez ses cibles, Turla mélange du bricolage habile avec un arsenal maison. Les attaquants piochent parfois dans des logiciels de piratage disponibles librement en ligne, comme Mimikatz ou Metasploit, qui sont capables par exemple de récupérer des mots de passe stockés sur un ordinateur infecté. Mais l'essentiel de leur travail repose sur des virus informatiques développés en interne, héritiers directs des tristement célèbres Agent.BTZ et Uroburos, deux programmes espions qui ont fait leurs preuves dès la fin des années 2000. Leur boîte à outils compte aussi d'autres logiciels malveillants aux noms qui sonnent presque comme des noms de code d'espions, comme Epic, Carbon, Mosquito, Gazer ou Crutch. Aucun système d'exploitation ni aucune boîte mail, que ce soit Windows, Linux, macOS, messageries Outlook ou Exchange ne semble échapper à leur curiosité technique.
Depuis 2016, un programme baptisé Kazuar revient sans cesse dans les campagnes du groupe. C'est une portée dérobée, donc une fois installée sur un ordinateur, elle permet aux attaquants d'y entrer et d'en sortir à leur guise, sans être repérés, et le logiciel est toujours d'actualité en 2026 après plusieurs métamorphoses. Pour entrer dans la place, les pirates misent sur l'hameçonnage ciblé, de faux e-mails soigneusement personnalisés pour piéger une personne précise, ou sur les attaques dites « de point d'eau », qui consistent à piéger un site web fréquenté par leurs cibles pour leur faire télécharger de faux logiciels légitimes. Ils exploitent aussi des failles de sécurité parfois inédites, y compris des vulnérabilités dites « jour zéro » (zero day), c'est-à-dire des failles si récentes qu'aucun correctif n'existe encore pour les combler. Certaines campagnes vont jusqu'à combiner plusieurs de ces failles au sein d'une seule et même chaîne d'attaque, chacune ouvrant la porte à la suivante.
Une fois à l'intérieur, les assaillants soignent leur discrétion. Ils louent ou détournent des serveurs, s'appuient sur des sites WordPress compromis, et vont jusqu'à utiliser des connexions satellitaires pour piloter leurs opérations en toute discrétion. L'autre signature du groupe, c'est qu'il n'hésite pas à récupérer et réutiliser à son profit les capacités offensives d'autres acteurs malveillants, qu'ils soient étatiques ou cybercriminels, de quoi brouiller un peu plus les pistes pour les enquêteurs.
La France, une cible récurrente depuis dix ans
Sur le sol français, les victimes se répartissent en deux catégories bien distinctes. Il y a, d'un côté, les cibles finales, visées pour leurs informations sensibles, et les cibles intermédiaires, compromises de façon plus opportuniste pour servir de relais technique vers d'autres attaques. Ces dernières incluent des associations, des particuliers ou encore des entreprises de secteurs très variés. Dès 2014, des entités ministérielles ont été touchées via le code malveillant Uroburos, probablement à des fins d'espionnage, et le ministère des Armées a vu des boîtes mail de cadres piratées dès 2017, une menace toujours active aujourd'hui.
En 2018, le réseau du ministère de l'Europe et des Affaires étrangères à l'ambassade de France à Moscou a été infiltré ; les attaquants y auraient mené des activités de balayage réseau et d'exfiltration de données. Un épisode qui fait écho à une campagne plus récente documentée par Microsoft, qui a associé Turla au ciblage d'ambassades étrangères basées à Moscou depuis au moins 2024, preuve, s'il en fallait, de l'intérêt constant du groupe pour les cibles diplomatiques. Un an après l'incident de 2018, un serveur du secteur de la justice, dédié à la formation continue de personnels, a lui aussi été compromis via une faille SharePoint, exposant potentiellement plusieurs milliers de comptes utilisateurs.
Entre 2019 et 2025, plusieurs autres victimes intermédiaires françaises ont été recensées. En février 2025, point d'orgue de cette série, un institut de recherche sur les technologies sensibles de l'industrie de défense française a été visé par une opération ayant conduit à l'exfiltration d'un volume significatif de données. Le phénomène dépasse nos seules frontières, puisque l'Union européenne a elle aussi attribué au 16e Centre du FSB une série de cyberattaques contre plusieurs de ses 27 États membres, dont des opérations de sabotage visant l'eau et l'énergie en Pologne. Paris et Bruxelles ont donc choisi, ce 13 juillet, de nommer publiquement la Russie et son FSB, tout en frappant de sanctions treize individus et entités liés à cet écosystème cyber malveillant, parmi lesquels un groupe ayant revendiqué des actions de déstabilisation contre les Jeux olympiques de Paris en 2024.