Julia Shepeleva - stock.adobe.co

Cyberattaques : l’Europe, le Royaume-Uni et les États-Unis accusent Moscou

L’UE et le Royaume-Uni sanctionnent des agents présumés du FSB et des cybercriminels russes après des cyberattaques d’espionnage, notamment. Paris et Berlin convoquent les ambassadeurs de Russie.

Ce lundi 13 juillet au matin, Jean-Noël Barrot, ministre des Affaires étrangères, a annoncé la convocation de l’ambassadeur de Russie en France, après avoir dénoncé, sur BFMTV-RMC « une vaste campagne cyber aux buts de sabotage et d’espionnage » pilotée depuis Moscou, et ayant visé « une dizaine de pays européens ». Ce n’est pas une action isolée : son homologue allemand, Johann Wadephul, vient d’en faire autant.

En fait, c’est l’Union européenne tout entière qui « dénonce les activités cybermalveillantes de la Russie et l’exploitation d’un cyberécosystème englobant des acteurs étatiques et non étatiques, allant des services de renseignement aux groupes de cybercriminels, aux hacktivistes et aux entreprises privées ». Dans un communiqué de presse, c’est en particulier le 16e centre du service fédéral de sécurité (FSB) russe qui est visé : « pendant des années, le FSB a mené un large éventail de cyberactivités malveillantes avec une gravité croissante affectant l’UE, ses États membres, ainsi que des partenaires internationaux, notamment l’Ukraine. Ces activités ont inclus l’infiltration des réseaux gouvernementaux et le sabotage des infrastructures critiques. Entre autres, la France, l’Allemagne, la Pologne, Chypre, les Pays-Bas, l’Autriche, la Slovaquie, la Roumanie et la Finlande ont été ciblés ».

À Paris, un nom est posé sur ces activités : le mode opératoire d’attaque (MOA) du Turla. Avec lui, « le FSB a notamment visé des comptes de messagerie Internet du ministère des Armées depuis 2017, ainsi que le réseau du ministère de l’Europe et des Affaires étrangères à l’Ambassade de France à Moscou en 2018 ».

Plus tard, « en 2019, une compromission d’un serveur appartenant à une entité du secteur de la justice a été détectée. En février 2025, un institut de recherche sur les technologies sensibles travaillant pour l’industrie de défense française a également été visé par des cyberattaques conduites par le 16e Centre du FSB, conduisant à l’exfiltration d’un volume significatif de données ».

« Les cybercriminels, les hacktivistes autoproclamés et les entreprises privées liées à la Russie, [...] ont également mené, lancé et facilité un large éventail d’activités malveillantes. »
Conseil de l'EuropeCommuniqué de presse

L’Agence nationale de la sécurité des systèmes d’information (Anssi) détaille de son côté l’arsenal et l’infrastructure associés à Turla. À cela s’ajoute une alerte à laquelle s’associe une vingtaine d’agences de sécurité d’une dizaine de pays, sur la manière dont le 16e centre du FSB compromet les équipements de bordure de réseau mal configurés ou vulnérables.

Des sanctions… y compris pour ces cybercriminels

Cette dénonciation collective est assortie de sanctions, prononcées par Bruxelles, mais également Londres. Demi-surprise : les noms de cybercriminels notoires y figurent.

Car pour l’Europe, dans son communiqué, « les cybercriminels, les hacktivistes autoproclamés et les entreprises privées liées à la Russie, y compris les acteurs opérant sous ses instructions, sa direction ou son contrôle, ont également mené, lancé et facilité un large éventail d’activités malveillantes ».

Pour l’essentiel, ces sanctions s’apparentent à un alignement tardif sur d’autres, prononcées parfois bien plus tôt aux États-Unis, avec des membres des groupes hacktivistes Cyber Army of Russia Reborn (CARR) et NoName057 (16). Et l’on trouve là également des personnes liées aux hébergeurs Zservers et Media Land, dont Alexander Alexandrovich Volosovik, également connu sous le pseudonyme de Yalishanda.

Mais la liste européenne contient un nom que d’aucuns ne manqueront pas de relever : Vitaly Nikolayevich Kovalev. Il s’agit de l’individu que Berlin a identifié l’an dernier comme Stern, soupçonné d’avoir fondé le groupe à l’origine de Trickbot, un outil clé de l’activité de feu Conti pour établir des accès initiaux. La justice américaine lui attribue également les pseudonymes de Bentley et Alex Konor.

Les communications internes à Conti, divulguées peu après l’invasion de l’Ukraine par la Russie, début 2022, faisaient ressortir Stern comme l’un des leaders du groupe. Des liens entre Conti et le FSB avaient été mis en lumière, mais sans que rien ne vienne ouvertement établir leur teneur, leur intensité, ni leur régularité. Et de telles suspicions sont très loin d’être isolées.

Il y a quelques mois, Dan Cimpean, directeur du directoire national de la cybersécurité roumain, voyait ouvertement la main de Moscou derrière certaines cyberattaques subies par son pays. « Ces attaques sont systématiques, bien préparées et coïncident souvent avec des décisions politiques ou des évolutions sociales en Roumanie, notamment celles liées au soutien apporté à l’Ukraine », expliquait-il alors.

Si 80 % des incidents de cybersécurité constatés dans le pays sont le fait de cybercriminels, selon Dan Cimpean, ils profitent du soutien de Moscou : « la Russie a tout intérêt à encourager ces groupes et à veiller à ce qu’ils se renforcent et acquièrent une autonomie financière ».

Pour approfondir sur Cyberdéfense