Qu’est-ce que l’opération Turla, la cyberattaque russe contre la France ?
Espionnage militaire, diplomatique, judiciaire : dans une déclaration conjointe avec l’Union européenne, Paris a formellement attribué à une unité du FSB une vaste campagne de piratage visant ses intérêts stratégiques depuis plus d’une décennie. Ce 13 juillet 2026, la France a officiellement déclaré que cette campagne d’espionnage informatique ciblait ses institutions les plus sensibles depuis les années 2010, comme l’indiquent deux déclarations distinctes : l’une portée par le ministre de l’Europe et des Affaires étrangères, l’autre par la Haute Représentante de l’UE.
Cette attribution est basée sur un document récemment publié par l’ANSSI, le COMCYBER, la DGA, la DGSE et la DGSI, réunis au sein du Centre de Coordination des Crises Cyber (C4). La diplomatie cyber française se montre claire en désignant les acteurs responsables de ces opérations malveillantes.
Le service responsable de ces cyberattaques est identifié comme le 16e Centre du service fédéral de sécurité de la Fédération de Russie (FSB), également connu sous le nom d’unité militaire 71330. Selon les autorités françaises, ce service de renseignement électronique disposerait de onze centres d’interception en Russie. L’unité 61240, basée près de Saint-Pétersbourg, aurait pour mission spécifique de cibler la France, en collaboration avec des sociétés russes connues pour soutenir les opérations offensives des services russes.
Le mode opératoire utilisé, baptisé Turla, est reconnu par plusieurs pays occidentaux comme étant attribué à Moscou depuis longtemps. Actif depuis 2004, le groupe utilise divers malwares, tels que Agent.BTZ et Uroburos, ainsi que Kazuar, une backdoor plus récente et sophistiquée.
La liste des victimes françaises est longue. Dès 2014, des entités ministérielles auraient été ciblées. En 2018, le réseau du ministère de l’Europe et des Affaires étrangères à l’ambassade de France à Moscou a été infiltré, entraînant l’exfiltration de données. En 2019, un serveur lié au secteur de la justice a été compromis, exposant les données de milliers de comptes utilisateurs. Ces compromissions se poursuivent jusqu’en 2025.
Les activités de l’opération Turla se sont intensifiées dans le contexte de la guerre en Ukraine, étant également utilisées pour collecter des renseignements sur Kiev et ses alliés européens. Cela souligne la menace continue que représente ce service pour les intérêts français et européens.
Source : Ministère de l’Europe et des Affaires étrangères, Centre de Coordination des Crises Cyber (C4).
