Illustration de Truthmeter.mk, utilisée avec permission.
[Sauf mention contraire, tous les liens de ce billet renvoient vers des pages web en français.]
Cet article a été à l’origine publié par Truthmeter.mk [en] le 15 mai 2025, qui fait partie du Réseau Anti-Désinformation des Balkans de l’Ouest [en]. Une version rééditée est republiée sur Global Voices dans le cadre d’un accord de partenariat de contenu avec la Fondation Metamorphosis.
Les accusations du gouvernement français de cyberattaques de la part de la direction générale des renseignements de l’État-Major des Forces armées de la fédération de Russie, un organisme militaire russe aussi connu sous l’acronyme « GRU », ne sont pas les premières venant d’une puissance occidentale. En revanche, c’est la première fois que Paris accuse Moscou sur la base d’informations de ses propres services de renseignement.
Le 28 avril, le ministère des Affaires étrangères français a condamné les cyber-attaques continues du GRU sur des dizaines d’entités françaises, notamment des ministères, des cabinets de défense et des thinktanks, afin de déstabiliser la France.
Le ministère explique dans un communiqué que les attaques perpétrées par l’unité APT28 du GRU sur le pays remontent à 2015, quand la chaîne de télévision TV5Monde a cessé d’émettre à cause d’un hacker. Le gouvernement pense qu’APT28 (qui serait originaire de Rostov-sur-le-Don, au Sud de la Russie) était derrière cette attaque, même si des militants de l’État islamique ont par la suite revendiqué cette cyberattaque..
La France a aussi accusé APT28 d’avoir participé à un autre incident durant l’élection présidentielle de 2017 : des adresses e-mail des membres du parti et de la campagne du candidat Emmanuel Macron avaient fuité et furent mélangées à de la désinformation :
La France condamne avec la plus grande fermeté le recours par le service de renseignement militaire russe (GRU) au mode opératoire d’attaque APT28, à l’origine de plusieurs cyber-attaques contre des intérêts français.
Depuis 2021, ce mode opératoire d’attaque (MOA) a été utilisé dans le ciblage ou la compromission d’une dizaine d’entités françaises. Ces entités sont des acteurs de la vie des Français : services publics, entreprises privées, ainsi qu’une organisation sportive liée à l’organisation des Jeux olympiques et paralympiques 2024. Par le passé, ce mode opératoire a également été utilisé par le GRU dans le sabotage de la chaîne de télévision TV5Monde en 2015, ainsi que dans la tentative de déstabilisation du processus électoral français en 2017.
Le communiqué fait des suppositions sur l’utilisation du groupe d’attaque APT28 pour exercer une pression sur les infrastructures ukrainiennes dans le contexte de l’invasion militaire de la Russie en Ukraine, ainsi que sur un grand nombre de ses partenaires européens ces dernières années. Le ministère détaille :
À ce titre, l’UE a imposé des sanctions aux personnes et entités responsables des attaques menées à l’aide de ce mode opératoire.
Aux côtés de ses partenaires, la France est résolue à employer l’ensemble des moyens à sa disposition pour anticiper les comportements malveillants de la Russie dans le cyberespace, les décourager et y réagir le cas échéant.
Le discours au Conseil de sécurité des Nations Unies
Selon un rapport de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), APT28 a été utilisée afin de rassembler des renseignements stratégiques sur des entités situées en France, en Europe, en Ukraine et en Amérique du Nord.
L’ANSSI dénote aussi un pic du nombre d’attaques en France sur des ministères, des collectivités territoriales, des entreprises du secteur de l’armement et de l’aéronautique, des thinktanks et des organisations dans les secteurs de la finance et de l’économie. Selon le rapport, l’attaque la plus récente daterait de décembre dernier. Environ 4 000 cyberattaques seraient d’origine russe en 2024, soit une augmentation de 15 % par rapport à 2023.
Le ministre des Affaires étrangères français Jean-Noël Barrot, dans un discours prononcé au Conseil de sécurité des Nations Unies, accuse la Russie (dont le représentant était présent) d’avoir mené ces attaques, et demande leur cessation immédiate.
M. Barrot explique que la Russie a utilisé une branche du GRU, le groupe d’attaque « APT28 » (aussi connu sous le nom de « Fancy Bear ») afin de perpétrer ses cyberattaques partout dans le monde, notamment celles de l’élection de 2016 aux États-Unis, pendant lesquelles les mails de la candidate démocrate Hillary Clinton ont été dévoilés publiquement. Il a poursuivi en faisant le lien entre ces attaques continues et l’aide apportée par la France à l’Ukraine depuis les premiers jours de l’invasion de l’Ukraine par la Russie en février 2022. Durant un débat du Conseil de sécurité concernant l’Ukraine, M. Barrot ajouta :
Nous condamnons fermement ces cyberattaques. Elles ne sont pas dignes d’un membre permanent du Conseil de sécurité et vont à l’encontre des limites établies par les Nations Unies. Elles doivent donc cesser de toute urgence.
La France et la Russie sont deux des cinq membres permanents du Conseil de Sécurité des Nations Unies.
Comme l’a mentionné l’ANSSI dans son rapport, le groupe russe ciblerait des adresses mail personnelles afin d’obtenir des informations et des messages ou même accéder à d’autres infrastructures :
Enfin, depuis le début de l’année 2023, les opérateurs du MOA APT28 ont également conduit des campagnes d’hameçonnage visant à rediriger des utilisateurs des services de messagerie UKR.NET et Yahoo vers des fausses pages de connexion afin de voler leurs identifiants. Cette technique d’attaque a parfois été adaptée afin de déployer de fausses pages de connexion à ZimbraMail ou Outlook afin d’élargir le ciblage.
La désinformation russe dévoilée au grand jour
La France était l’une des principales cibles des cyberattaques et des campagnes de désinformation de la part de la Russie en 2024, et cela est principalement dû aux élections européennes de juin, et, par conséquent, à la crise parlementaire qui dure depuis les élections législatives de juillet. De plus, le pays a fait face à des campagnes de désinformation de la part de la Russie pendant les Jeux Olympiques de Paris, supposément afin de déstabiliser le pays et d’affaiblir l’Union Européenne et l’OTAN.
Le rapport sur l’information étrangère et les menaces de manipulation [en], publié en mars 2025 par l’EEAS (le Service d’action externe européen), l’arme de diplomatie étrangère de l’Union Européen visant à contenir les menaces mondiales, explique :
Avec l’Ukraine, la France était aussi l’une des cibles privilégiées des acteurs hostiles, avec 152 cas détectés par l’EEAS provenant de l’écosystème chino-russe FIMI. Les Jeux Olympiques et Paralympiques de Paris et les élections législatives en France furent parmi les principales cibles.
Plus tôt, en juin 2023, la France avait révélé l’existence [en] d’une campagne de désinformation à grande échelle d’origine russe intitulée « Recent Reliable News » [Les informations récentes et fiables], portant le même nom qu’un site Internet pro-russe. L’objectif de cette campagne, comme l’explique l’agence gouvernementale française Viginium, était de décourager l’Occident de venir en aide à l’Ukraine et de combattre les interférences numériques étrangères.
Selon le rapport de Viginium, la campagne servait à propager du contenu pro-russe en usurpant l’identité visuelle de médias français comme Le Monde, Le Figaro ou Le Parisien, mais aussi de sites Internet gouvernementaux comme celui du Ministère de l’Europe et des Affaires étrangères ou en créant des sites Internet francophones d’actualités avec des opinions partagées, le tout avec de faux comptes pour propager ce type de contenu.
En février 2024, le ministre des Affaires étrangères de l’époque Stéphane Séjourné avait déclaré que les services diplomatiques français avaient démantelé un vaste réseau de propagande russe nommé « Portal Kombat », propageant du contenu pro-russe et anti-Ukraine en France, en Allemagne et en Pologne. À l’époque, Euractiv avait cité un communiqué de presse du ministère des Affaires étrangères :
Ce réseau de 193 sites constitue bien une campagne de manipulation de l’information sur les plateformes numériques impliquant des acteurs étrangers et […] vise à nuire à la France et à ses intérêts.
Le ministère a publié un rapport du gouvernement français intitulé : « Désinformation russe : mieux connaître le phénomène pour y faire face ».
En mai 2024, l’Allemagne a elle aussi accusé APT28 de mener des cyberattaques sur ses entreprises d’armement et d’aéronautique, sur le parti politique au pouvoir, ainsi que des cibles d’autres pays. A l’époque, l’ambassade de Russie à Berlin avait désigné ses accusations comme étant « une nouvelle marque d’hostilité visant à instaurer une vision négative de la Russie en Allemagne ».