Cyberguerre : la France attribue les #MacronLeaks à la Russie, et menace de « réagir »
GRU, moche et méchant
L’ANSSI alerte sur le ciblage et la compromission d’entités françaises par le service de renseignement militaire russe. Cette publication est coordonnée avec le ministère des Affaires étrangères qui dénonce de son côté les agissements russes. Elle attribue à la Russie les attaques de TV5Monde et la fuite des MacronLeaks. Elle promet enfin de « réagir le cas échéant ».
Faisons les présentations : le mode opératoire d’attaque (MOA) APT28 (ou Fancy Bear) est actif depuis au moins 2004 selon l’Agence de cybersécurité. Il est « attribué publiquement par l’Union européenne à la Russie ». Pour rappel, l’ANSSI n’attribue pas directement les attaques, mais s’en fait l’écho lorsque c’est fait publiquement par des instances officielles.
APT28, nous en avons déjà parlé à plusieurs reprises sur Next. Il faut dire que, comme le rappelle le rapport que l'ANSSI vient de lui consacrer, il « est régulièrement employé pour cibler des organisations gouvernementales et militaires, ainsi que les secteurs de la défense, de l’énergie et des médias, notamment en Europe et en Amérique du Nord ».
Chine, France, Russie et USA sont dans un cyberbateau…
À propos de la situation cyber mondiale, Vincent Strubel (patron de l’ANSSI) affirmait il y a peu que la France était en Ligue 1 face à deux fortes nations : la Russie et la Chine. Pour l’instant, les États-Unis sont toujours des alliés, « avec une coopération étroite ».
Concernant la Russie, Vincent Strubel parlait d’une « forme de singularité [avec] une multiplicité d’acteurs ». Il y a évidemment les services étatiques et les services de renseignements, mais aussi des « groupes criminels qui sont au moins tolérés, et dont on peut se poser la question de leur lien de cohabitation avec l’État russe ».
Les intérêts français régulièrement pris pour cible
Depuis 2021, plusieurs organisations françaises ont été ciblées ou compromises par le groupe APT28 : entités ministérielles, collectivités territoriales, administrations, de l’industrie de la défense, de l'aérospatial, du secteur de l’économie et de la finance, des groupes de réflexions et de recherche.
En 2024, il était toujours actif et la victimologie comprenait « des entités appartenant majoritairement aux secteurs gouvernemental, diplomatique, et de la recherche ou des think tanks. Certaines campagnes ont notamment été dirigées contre des entités françaises du secteur gouvernemental ».
De quoi faire réagir le ministère des Affaires étrangères qui « condamne avec la plus grande fermeté le recours par le service de renseignement militaire russe (GRU) au mode opératoire d’attaque APT28 » contre des intérêts français.
De TV5Monde aux MacronLeaks : APT28 à la manœuvre
France Diplomatie rappelle au passage que, « par le passé, ce mode opératoire a également été utilisé par le GRU dans le sabotage de la chaîne de télévision TV5Monde en 2015 ». Guillaume Poupard, qui était alors directeur de l'ANSSI, parlait d’une « guerre de l'information ».
Le ministère des Affaires étrangères revient aussi sur une « tentative de déstabilisation du processus électoral français en 2017 ». Sans être directement cité, il s’agit évidemment de l’affaire des MacronLeaks. Sur X, Jean-Noël Barrot (ministre de l'Europe et des Affaires étrangères) a publié un tweet accompagné d’une vidéo de « présentation » d’APT28 et de ses principaux faits d’armes, du point de vue de la France.
Le service de renseignement militaire russe (GRU) déploie depuis plusieurs années contre la France un mode opératoire cyber-offensif appelé APT28. Il a ciblé une dizaine d’entités françaises depuis 2021.
— Jean-Noël Barrot (@jnbarrot) April 29, 2025
Dans le cyberespace, la France observe, bloque et combat ses adversaires. pic.twitter.com/9NUdyG9hxa
La vidéo revient aussi sur les MacronLeaks, là encore sans les citer directement : « 2017, en pleine élection présidentielle, APT28 participe à une opération de piratage massive. Objectif, semer le doute et influencer l’opinion publique. Des milliers de documents sont volés et diffusés, espérant manipuler les électeurs. Mais la manœuvre échoue à réellement impacter le processus électoral. La menace est toujours active ».
« La question de la temporalité, très retardée, de cette attribution officielle se pose »
C’est la première fois que la France attribue officiellement les MacronLeaks à la Russie, six ans après les faits. C’était néanmoins un secret de polichinelle. Sur Bluesky, le journaliste Nicolas Henin rappelle que « l'attribution des MacronLeaks étaient aussi connue dans le milieu cybersec depuis longtemps. La question de la temporalité, très retardée, de cette attribution officielle se pose ».
L’expert du sujet précise qu’il reste un point en suspens : « les MacronLeaks ne sont pas qu'une opération du GRU. Une grosse partie de la propagation avait été assurée par l'alt-right américaine, qui semble avoir été dans la boucle AVANT le leak d'origine. Si jamais Macron veut en garder sous le coude pour une attribution ultérieure… ».
APT28 très actif contre des entités ukrainiennes
Depuis la guerre suite à l’invasion de la Russie en Ukraine, APT28 est régulièrement utilisé pour collecter des renseignements « contre des entités ukrainiennes gouvernementales, militaires, des infrastructures critiques, des entités médiatiques et financières, des collectivités territoriales et des individus », explique l’ANSSI.
Mais ce n’est pas tout. L’Agence ajoute que des campagnes récentes d’espionnage via APT28 « ont ciblé des entités gouvernementales de pays européens, des partis politiques, des entités du secteur de la défense, de la logistique, de l’armement, de l’industrie aérospatiale, de l’informatique ainsi que des fondations et associations ». Bref, une pêche au chalut qui ratisse très large.
L’ANSSI rappelle ses recommandations et préventions
Face à ces menaces, l’ANSSI rappelle que des analyses ont permis d’identifier des chaînes de compromission associées au MOA APT28. Au cours des dernières années, les techniques, tactiques et procédures (TTP) ont peu évolué, les recommandations et préventions formulées en 2023 restent donc d’actualité.
Le ministère des Affaires étrangères ne s’en cache pas, le but de la publication du rapport de l’ANSSI est de « prévenir de futures attaques ».
Les messageries, une cible de choix
APT28 utilise des campagnes d’hameçonnage, des attaques par force brute contre des messageries (notamment ROUNDCUBE), ainsi que des vulnérabilités zero-day telle que la CVE-2023-23397 dans Outlook. Le groupe s’attaque aussi à des équipements de bordure « généralement peu supervisés ». Pour mener leur attaque et tenter de se fondre dans la masse, les pirates s’appuient notamment « sur des infrastructures infogérées à moindre coût et prêtes à l’emploi ».
Les attaquants ne cherchent pas à rester dans le système, ils sont là pour collecter des « informations stratégiques » comme des conversations, des carnets d’adresses, des authentifiants… « L’objectif premier des attaquants pourrait être dans ces cas spécifiques d’accéder directement à des informations d’intérêt à des fins d’espionnage ».
Comment APT28 procède ?
L’ANSSI donne un exemple des agissements d’APT28 :
« Ces campagnes consistaient à envoyer des courriels d’hameçonnage contenant un lien de redirection vers un sous domaine fourni par le service INFINITYFREE pour délivrer des archives ZIP malveillantes contenant la porte dérobée HeadLace. Cette porte dérobée reposait sur la distribution de commandes depuis des points de terminaison web du service MOCKY.IO. Les commandes distribués par les points de terminaisons MOCKY.IO visaient à récupérer des informations sur le système d’information ainsi que des authentifiants de connexion, ou encore à déployer des outils offensifs. Dans certains cas, les opérateurs du MOA ont tenté d’établir des moyens de persistance en créant une tâche planifiée ».
L’ANSSI se fait aussi l’écho du CERT ukrainien qui a documenté l'utilisation d’un code malveillant s’appuyant « sur le protocole IMAP pour exfiltrer les authentifiants stockés dans des navigateurs ».
Autre vecteur d’attaque, depuis début 2023, « les opérateurs du MOA APT28 ont également conduit des campagnes d’hameçonnage visant à rediriger des utilisateurs des services de messagerie UKR.NET et YAHOO vers des fausses pages de connexion afin de voler leurs authentifiants ».
Pour la France, les activités russes sont « inacceptables et indignes »
France Diplomatie rappelle que, l’Union européenne « a imposé des sanctions aux personnes et entités responsables des attaques menées à l’aide de ce mode opératoire ». Le ministère en profite pour taper du poing sur la table :
« Ces activités déstabilisatrices sont inacceptables et indignes d’un membre permanent du Conseil de sécurité des Nations unies. Elles sont par ailleurs contraires aux normes des Nations unies en matière de comportement responsable des États dans le cyberespace, auxquelles la Russie a souscrit ».
La France prévient : elle pourrait « réagir le cas échéant »
La France donne un coup de semonce : et annonce être « résolue à employer l’ensemble des moyens à sa disposition pour anticiper les comportements malveillants de la Russie dans le cyberespace, les décourager et y réagir le cas échéant ».
Commentaires (14)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 30/04/2025 à 14h34
Ma question est peut-être complètement idiote, mais malgré tout je préfères avoir l'air ridicule que de rester ignorant.
"Si tu sais, partage. Si tu ne sais pas, demande."
Le 30/04/2025 à 14h42
Le 02/05/2025 à 08h22
Modifié le 05/05/2025 à 09h35
Tu voudrais marquer au niveau le plus bas (physique) les "trames" comme tu les appelles dans ton autre tentative d'explication et remonter ces marques dans les couches supérieures et les stocker pour pouvoir investiguer sur les incidents, ce qui n'existe pas.
Quand on voit la difficulté à passer à l'IP V6 qui ne concerne qu'une couche, même en laissant de côté les aspects techniques qui seraient difficiles à mettre en place parce qu'aujourd'hui, au niveau transmission, on ne joue pas avec le temps mais on transmet des informations de façon synchrone quelle que soit la couche physique (je laisse le morse de côté), on aurait un truc partiellement mis en œuvre dans une trentaine d'années.
En plus, tes coupures feraient baisser la bande passante et si les passages de frontières se multiplient la charge utile diminuerait.
Enfin, les protocoles divers ne connaissent pas cette notion de frontière.
Le 05/05/2025 à 08h39
C'est pas comme si je disais qu'il fallait modifier un protocole existant ou en créer un nouveau (même si ce dernier point pourrait aider). Il s'agit ici d'avoir un comportement particulier sur les équipements réseaux des opérateurs internationaux (tous) et des hébergeurs qui le souhaitent.
Alors, certes, c'est pas simple, mais ça me semble moins complexe que le passage au IPv6 qui nécessite que TOUS les équipements réseaux soient compatibles.
Et, oui, on aurait une baisse de la bande passante. De quel ordre ? Je n'en sais rien. Est-ce que ce serait forcément non négligeable ? Je n'en sais rien non plus. C'est bien pour ça que je posais ma question ici. ^^
Modifié le 05/05/2025 à 09h34
J'arrête ici. Si tu veux reprendre la discussion, commence par apprendre comment marchent les télécoms à partir de la couche physique sur laquelle tu veux intervenir jusqu'à la couche application, tes 4 commentaires sur le sujet montrent que tu n'as pas les bases.
Donc, on va modifier un peu la devise d'ici : si tu ne sais pas, apprends puis demande.
Le 05/05/2025 à 11h56
Le ton montre un brin d'agressivité qui doit être lié à un agacement du fait de mes questions probablement stupides.
Du coup, j'ai ma réponse (en partie) : ça se fait pas parce qu'il y a une subtilité technique qui rend sa mise en place au mieux trop complexe, voire juste impossible.
Au moins, ça me permet de me rendre compte que je croyais avoir les bases, mais que je ne les avais pas, à priori.
Le 30/04/2025 à 16h51
Le 02/05/2025 à 08h24
Le 04/05/2025 à 13h16
Le 05/05/2025 à 08h34
Dans ce que je présente, il n'y a pas de dépendance à un protocole en particulier. De plus, traceroute s'arrête à l'équipement envoyant la requête, là où des micro-coupures permettraient de retrouver le pays d'où est émis l'ordre qui a fait que la requête a été envoyée.
Le 30/04/2025 à 16h19
La France est elle réellement plus ciblée par les Russes que d'autre pays ? Est ce que quelqu'un aurait une explication ? Est ce dû à notre présence en Afrique et à notre couverture maritime au travers du globe ? La France est elle réellement redoutée ?
Merci pour l'article.
Le 01/05/2025 à 21h27
Le 30/04/2025 à 16h53
On va aller loin avec ca....
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?