Skip to content

L'ANSSI attribue Turla au Centre 16 du FSB et documente cinq victimes françaises

CERTFR-2026-CTI-004 attribue Turla au 16e Centre du FSB, unité 61240. Ministère des Armées, Quai d'Orsay, secteur judiciaire, défense : compromissions françaises documentées depuis 2010.

Publié le 5 min de lecture

L'ANSSI a publié le 13 juillet 2026 le rapport de menaces CERTFR-2026-CTI-004 — Ciblage et compromission d'entités françaises au moyen du mode opératoire d'attaque Turla et une actualité de synthèse sur cyber.gouv.fr. Le document attribue formellement le mode opératoire Turla au 16e Centre du FSB, et plus précisément à son unité 61240 dédiée au ciblage de la France. Le Quai d'Orsay a publié en parallèle sa déclaration d'attribution et annoncé la convocation de l'ambassadeur de Russie. L'attribution est coordonnée à l'échelle européenne avec un paquet de sanctions cyber UE + UK adopté le même jour.

Ce que documente le rapport

D'après l'ANSSI, le Centre 16 du FSB opère Turla depuis au moins 2004 pour de la collecte de renseignement, de la reconnaissance et de l'espionnage informatique contre des entités publiques et privées dans les secteurs gouvernemental, diplomatique, de la défense, de la recherche, de la technologie, de l'éducation, des médias et de l'énergie, ainsi que contre des individus ciblés dans le monde entier.

Sur la France spécifiquement, le rapport documente un ciblage continu depuis 2010 contre des intérêts stratégiques, diplomatiques et économiques via de nombreuses victimes intermédiaires et finales dans les secteurs diplomatique, de la défense, de la justice et de la technologie.

Cinq compromissions françaises listées

Le CTI-004 nomme les compromissions suivantes :

  • Depuis 2017 — Ministère des Armées. Ciblage des comptes de messagerie Internet.
  • 2018 — Ministère de l'Europe et des Affaires étrangères. Compromission du réseau de l'Ambassade de France à Moscou.
  • 2019 — Secteur judiciaire. Compromission d'un serveur d'une entité du secteur.
  • Février 2025 — Industrie de défense. Institut de recherche sur des technologies sensibles travaillant pour l'industrie de défense française. L'ANSSI qualifie l'exfiltration de données de « volume significatif ».

Le rapport indique que d'autres victimes intermédiaires — non nommées publiquement — ont servi de relais depuis 2010.

Attribution : Centre 16, unité 61240

L'attribution repose sur des éléments accumulés par le Centre de coordination des crises cyber (C4) et croisés avec les partenaires européens. Le 16e Centre du FSB — la même entité que celle traditionnellement associée à la famille Snake / Uroburos par MITRE ATT&CK — est identifié comme opérateur du mode opératoire Turla. L'unité 61240 est nommée comme la cellule responsable du ciblage français.

C'est la première fois que le gouvernement français attribue formellement une campagne de cyberespionnage au FSB, et non plus au GRU. Les attributions publiques précédentes visaient APT28 / Fancy Bear (unité GRU 26165) et Sandworm (unité GRU 74455).

Réponse coordonnée UE + UK

Le Conseil de l'Union européenne a adopté le 13 juillet, au titre du régime de mesures restrictives contre les cyberattaques, des sanctions contre 9 personnes physiques et 4 entités — y compris un groupe ayant revendiqué des actions de déstabilisation à l'encontre des Jeux de Paris 2024. Le Royaume-Uni a publié en parallèle son propre paquet visant 24 personnes et entités liées aux services de renseignement russes (Foreign Office : UK and EU strike Russian cyber networks with new sanctions). C'est le premier paquet cyber conjoint UE + Royaume-Uni.

Les attaques attribuées visent au total la France, l'Allemagne, la Pologne, Chypre, les Pays-Bas, l'Autriche, la Slovaquie, la Roumanie et la Finlande.

Que faire

  1. Consulter CERTFR-2026-CTI-004 intégralement. Le rapport contient des indicateurs de compromission et des indications sur les TTP à jour du mode opératoire. Si votre organisation appartient à l'un des secteurs cités — défense, diplomatie, technologies sensibles, recherche, énergie — c'est le document de référence à intégrer aux règles de détection.
  2. Réviser la posture messagerie sur les comptes de responsables et de personnels exposés. Le ciblage documenté sur les comptes de messagerie Internet du Ministère des Armées depuis 2017 confirme que la messagerie personnelle reste un point d'entrée privilégié. MFA résistant au phishing, révocation périodique des jetons, journalisation des accès historiques à conserver hors du système compromis potentiel.
  3. Reprendre les indicateurs historiques Turla / Snake / Kazuar publiés par les partenaires occidentaux et les cross-checker sur au moins 12 mois de télémétrie — l'ANSSI documente un ciblage remontant à 2017 sur le Ministère des Armées et à 2010 sur des victimes intermédiaires : la fenêtre à examiner est longue.
  4. Périmètre défense / recherche sensible : si vous opérez un institut sous convention DGA, mettre en cohérence avec la victime documentée en février 2025 — le vecteur d'entrée et l'ampleur de l'exfiltration seront précisés dans les annexes techniques du CTI-004.
  5. Périmètre NIS2 / LPM. Le CTI-004 est référençable comme information menace qualifiée par l'autorité nationale — utilisable pour justifier des mesures de renforcement auprès de la direction sans nouvelle homologation.

Contexte

C'est la quatrième attribution publique française d'une campagne cyber à un service russe en dix-huit mois, après le ciblage Nobelium documenté par l'ANSSI en 2024 et les attributions récentes à APT28. La bascule notable : cette fois-ci, ce n'est pas le GRU (renseignement militaire) qui est visé mais le FSB (service intérieur), et une unité — 61240 — est nommée. La granularité de nomination remonte au niveau de la coopération partagée entre partenaires européens depuis les paquets de sanctions du deuxième semestre 2025.

L'autre point structurant : le rapport arrive le jour même où l'UE et le Royaume-Uni publient leur premier paquet de sanctions cyber conjoint. C'est un basculement de rythme diplomatique — la France, qui a longtemps privilégié l'attribution en coulisses, aligne désormais son calendrier de publication sur celui des mesures restrictives européennes. Cela change l'usage opérationnel côté défenseur : un rapport CTI de l'ANSSI ne vaut plus seulement pour la détection, il vaut aussi comme référence pour toute décision d'exclusion ou de rupture contractuelle qui se fondera sur les sanctions du même jour.

Articles liés