Depuis 2021, un groupe cybercriminel affilié au renseignement militaire russe multiplie les attaques contre des institutions françaises. Objectif : espionnage stratégique à grande échelle.
Dans l’ombre de la guerre en Ukraine, une autre offensive s’intensifie, plus silencieuse mais tout aussi redoutable : celle menée dans le cyberespace. Depuis plusieurs années, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) alerte sur une menace persistante et sophistiquée, attribuée au groupe de pirates informatiques APT28. Ce dernier, soutenu par l’État russe, cible les infrastructures stratégiques françaises à des fins de collecte de renseignements. Le dernier rapport du CERT-FR, publié le 29 avril 2025, lève le voile sur l’ampleur et la précision chirurgicale de ces opérations d’espionnage numérique.
APT28, également connu sous les noms de Fancy Bear, Sofacy ou encore Sednit, n’est pas un inconnu dans l’univers du cyber espionnage. Actif depuis au moins 2004, ce groupe a été officiellement désigné par l’Union européenne comme émanant du renseignement militaire russe, le GRU. Ses cibles privilégiées ? Les administrations gouvernementales, les armées, les entreprises de défense, de l’énergie, des médias, mais aussi les think tanks et les institutions de recherche. En d’autres termes, les nerfs stratégiques des États occidentaux.
Depuis l’invasion de l’Ukraine par la Russie en février 2022, les activités d’APT28 ont connu une recrudescence marquée, avec un pivot vers les infrastructures critiques des pays de l’OTAN, de l’Union européenne et, plus récemment, de la France. Le document du CERT-FR décrit en détail les mécanismes de compromission, les tactiques employées, et la diversité des entités ciblées sur le territoire national.
Une chaîne d’attaque rodée et furtive
L’ingéniosité du mode opératoire d’APT28 réside dans sa capacité d’adaptation. Les attaques ne suivent pas un schéma figé, mais une logique évolutive basée sur des opportunités technologiques et humaines. L’entrée en matière se fait le plus souvent par du phishing — des courriels d’hameçonnage ciblant des messageries web telles que Roundcube, ZimbraMail ou Outlook Web Access. Ces messages contiennent des liens piégés ou des pièces jointes malveillantes qui déclenchent, en un clic, l’infiltration du système.
Parmi les techniques les plus récentes, le rapport évoque l’utilisation de failles de type « zero-day« , comme la vulnérabilité CVE-2023-23397 dans Microsoft Outlook, qui a permis de contourner les mécanismes de sécurité traditionnels. Les attaquants s’en prennent également à des équipements périphériques souvent négligés : routeurs, serveurs de messagerie, VPN ou firewall (pare-feux numérique). Ces points d’entrée, mal surveillés, deviennent les maillons faibles du réseau.
Une fois à l’intérieur, APT28 opère avec discrétion. Contrairement à d’autres groupes malveillants qui installent des portes dérobées persistantes, le groupe russe se contente parfois d’un accès temporaire, suffisant pour extraire des carnets d’adresses, des documents confidentiels ou des identifiants d’accès. Cette stratégie sans persistance rend la détection d’autant plus complexe pour les équipes de cybersécurité.
“APT28 exploite des infrastructures infogérées à bas coût, combinant services d’hébergement gratuits, VPN et messageries temporaires, brouillant ainsi les pistes de ses attaques.”
Le recours à des services comme InfinityFree ou Mocky.io pour héberger des fichiers malveillants et transmettre des commandes illustre cette volonté de se fondre dans le trafic web légitime. Cette méthode rend le pistage difficile, car ces mêmes services sont aussi utilisés par des entreprises ou des particuliers sans lien avec des activités malveillantes.
Une campagne continue et ciblée
En 2023, plusieurs vagues d’attaques se sont succédé, marquant une montée en puissance de la menace. APT28 a notamment déployé la backdoor HeadLace, dissimulée dans des archives ZIP diffusées par phishing. Cette porte dérobée était capable de récupérer des informations système, des identifiants de connexion, voire d’installer d’autres outils offensifs. Dans certains cas, les opérateurs ont programmé des tâches planifiées sur les machines infectées pour garantir une présence furtive.
Entre décembre 2023 et février 2024, une nouvelle version du malware OceanMap a été détectée par le CERT ukrainien. Ce code malveillant, qui exfiltre des données via le protocole IMAP, s’appuyait sur d’autres composants comme SteelHook et MasePie, démontrant la sophistication croissante des attaques. OceanMap cible notamment les identifiants enregistrés dans les navigateurs, permettant ainsi à APT28 d’élargir son spectre de compromission.
Depuis le début de l’année 2024, les campagnes d’APT28 se sont concentrées sur des services de messagerie comme UKR.NET ou Yahoo, avec la création de fausses pages d’authentification. Ces sites de phishing ont été hébergés sur des serveurs dissimulés grâce à des DNS dynamiques, rendant leur détection particulièrement ardue. Les cibles ? Toujours les mêmes : diplomates, chercheurs, fonctionnaires, analystes politiques.
“Les entités françaises visées appartiennent aux sphères gouvernementales, diplomatiques, économiques, et de recherche : un ciblage stratégique assumé.”
La France, cible prioritaire
Le rapport du CERT-FR est sans ambiguïté : depuis 2021, plusieurs entités françaises ont été ciblées ou compromises. Parmi elles figurent des ministères, des collectivités territoriales, des acteurs de l’aérospatial, de la recherche, de la finance ou encore des institutions de la base industrielle et technologique de défense (BITD). En 2024, le ciblage s’est resserré autour des domaines diplomatiques et des think tanks.
Il ne s’agit pas de cybercriminalité opportuniste, mais bien d’une opération de renseignement stratégique pilotée dans une logique de guerre d’influence. L’ampleur des cibles et la cohérence des attaques laissent peu de place au doute sur la nature étatique de l’opération. La France, acteur clé de la diplomatie européenne et soutien affiché de l’Ukraine, constitue une cible logique pour les services russes dans un contexte géopolitique sous tension.
Le groupe APT28 s’inscrit dans une guerre hybride où les lignes entre actions militaires, opérations psychologiques et cyberattaques s’effacent. La cybersphère devient un théâtre d’opérations à part entière, sans front ni fusil, mais avec des conséquences bien réelles sur la souveraineté numérique des États.
Résilience et riposte : un défi européen
Face à cette menace, les autorités françaises, via l’ANSSI et le Centre de coordination des crises cyber (C4), ont renforcé la veille, l’alerte et la coordination interinstitutionnelle. Le rapport du CERT-FR mentionne également des recommandations publiées en octobre 2023 pour aider les entités publiques et privées à mieux se protéger. Toutefois, la capacité d’APT28 à évoluer et à se réinventer exige une vigilance constante.
L’enjeu dépasse d’ailleurs les frontières nationales. Plusieurs pays européens — Pologne, Tchéquie, Allemagne — ont récemment confirmé avoir été la cible d’APT28. L’Union européenne a d’ailleurs officiellement condamné ces attaques en mai 2024, appelant à une réponse collective et coordonnée pour protéger le cyberespace européen.
La question de la souveraineté numérique se pose avec acuité : comment garantir l’intégrité des systèmes d’information dans un monde interconnecté, où les frontières physiques ne protègent plus des agressions numériques ? La sécurité repose désormais autant sur les outils de sécurité que sur la coopération internationale, la formation des personnels, et la capacité à détecter et neutraliser des menaces toujours plus sophistiquées.
Certains pays, comme la Chine et les États-Unis ne cachent plus leurs « intrusions » informatiques pour des intérêts stratégiques.
Alors que les cyberattaques se multiplient et que les groupes d’État agissant dans l’ombre affinent leurs techniques, l’Europe saura-t-elle bâtir une véritable cyberdéfense commune à la hauteur des enjeux stratégiques du XXIe siècle ?
