Espionnage, furtivité, sabotage : comment Turla est devenu l’arme numérique de Moscou
Considéré comme le groupe de cyberespionnage le plus sophistiqué du FSB russe, Turla est accusé d’avoir infiltré pendant des années des administrations françaises et européennes.
Discret, patient et redoutablement efficace. Loin des cyberattaques spectaculaires destinées à paralyser des infrastructures, le groupe Turla s’est imposé au fil des deux dernières décennies comme l’un des outils d’espionnage les plus précieux du Kremlin. Lundi, cette unité affiliée au FSB, le service fédéral de sécurité russe, est devenue la cible d’une offensive diplomatique coordonnée de la France, de l’Union européenne et du Royaume-Uni, qui ont annoncé une série de sanctions contre plusieurs individus et entités liés aux opérations cyber de Moscou.
Paris ira jusqu’à convoquer l’ambassadeur de Russie dans les prochains jours après avoir dénoncé une « vaste campagne cyber » visant une dizaine de pays européens. Les autorités françaises accusent notamment le FSB d’avoir conduit des opérations destinées à collecter des renseignements et à saboter certaines infrastructures critiques.
Au cœur de ces accusations figure Turla, présenté par les autorités françaises comme un « mode opératoire d’attaque » (MOA) utilisé par le FSB, « et plus particulièrement son unité 61240, chargée du ciblage de la France ». Cette unité est implantée près de Krasnoïe Selo, à proximité de Saint-Pétersbourg.
Le groupe russe le plus sophistiqué
Dans les milieux du renseignement, Turla jouit d’une réputation singulière. « Turla est considéré comme le groupe russe le plus techniquement avancé, le plus compétent », résume une source sécuritaire française.
Pour Halim Bourtala, consultant CERT chez Group Squad, Turla fait partie « des groupes d’attaquants mondialement connus, affilié d’après les différentes communautés cyber au FSB russe, spécialisé dans l’espionnage de différentes infrastructures gouvernementales. Ils ont fait des victimes dans une cinquantaine de pays ».
Contrairement à Sandworm, autre acteur russe attribué au renseignement militaire (GRU) et associé à des opérations destructrices comme NotPetya en 2017, Turla privilégie les infiltrations de longue durée. Son objectif est moins de perturber que d’observer, d’exfiltrer des données et de rester invisible le plus longtemps possible.
Cette discrétion explique sa remarquable longévité. « Turla a une longévité exceptionnelle puisqu’il remonte à 2004. Il se concentre sur de l’espionnage discret et n’essaie pas de nuire ou casser, c’est pour cela qu’il est généralement repéré tardivement », souligne Kris Vanhulst, responsable technique en cybersécurité opérationnelle chez Group Squad.
Une priorité depuis la guerre en Ukraine
Depuis l’invasion de l’Ukraine en février 2022, les missions confiées à Turla se sont intensifiées. Les autorités françaises estiment que « depuis le début de la guerre d’agression déclenchée par la Russie contre l’Ukraine le 24 février 2022, le MOA Turla est utilisé pour participer à l’effort de guerre russe à travers la collecte de renseignements sur l’Ukraine et ses alliés ».
La France figure parmi les cibles identifiées. Selon le ministère des Affaires étrangères, Turla a compromis des comptes de messagerie du ministère des Armées dès 2017, puis le réseau de l’ambassade de France à Moscou en 2018. Plus récemment, en février 2025, « un institut de recherche sur les technologies sensibles travaillant pour l’industrie de défense française a également été visé, conduisant à l’exfiltration d’un volume significatif de données », précise le Quai d’Orsay.
La réputation de Turla repose aussi sur des techniques particulièrement sophistiquées destinées à brouiller les pistes. Selon Halim Bourtala, le groupe n’hésite pas à réutiliser des infrastructures ou des outils auparavant attribués à des groupes iraniens afin de compliquer le travail d’attribution des enquêteurs.
Les opérateurs exploitent également des moyens de communication atypiques. « Ils ont acheté et exploité des connexions satellite pour ne pas être tracés depuis des datacenter classiques », explique Kris Vanhulst. Parmi les opérations notables figure l’intrusion dans les systèmes du département américain de la Défense en 2008 grâce à une simple clé USB, provoquant un électrochoc à Washington et contribuant à la création de l’US Cyber Command.
Une riposte occidentale coordonnée
Face à cette menace jugée persistante, Paris, Bruxelles et Londres ont décidé d’afficher un front commun. La France sanctionnera neuf individus et quatre entités liés aux opérations orchestrées par le FSB, tandis que le Royaume-Uni a annoncé des mes contre 24 personnes et organisations et que l’Union européenne vise treize individus et entités, dont plusieurs officiers du GRU.
Pour Jean-Noël Barrot, ces opérations poursuivent un double objectif : « soit de capter de l’information, soit de saboter le fonctionnement, par exemple, d’infrastructures ferroviaires, comme cela a été le cas en Pologne ».
Le ministre estime toutefois que la France dispose désormais d’outils robustes pour y faire face. « Nous disposons en matière de lutte contre cette agressivité ou ces agressions hybrides en provenance de la Russie, de l’un des dispositifs les plus aboutis en Europe et dans le monde », a-t-il assuré, en mettant en avant les capacités de l’Anssi et de Viginum pour détecter les cyberattaques et contrer les campagnes de désinformation.
Source : AFP