L'Agence française de cybersécurité, l'ANSSI, a détaillé mardi une vaste campagne d'espionnage numérique qui frappe la France. Le célèbre groupe APT28, affilié à la Russie, y dérobe des informations sensibles depuis 2021.

La Russie est occupée avec l'Ukraine, mais elle s'en prend aussi à la France sur le terrain cyber, pour voler des informations critiques. © DC Studio / Shutterstock
La Russie est occupée avec l'Ukraine, mais elle s'en prend aussi à la France sur le terrain cyber, pour voler des informations critiques. © DC Studio / Shutterstock

Alors que le conflit ukrainien fait rage, la guerre se déroule aussi dans l'ombre numérique, avec les hackers russes d'APT28 qui ont la France dans le viseur. L'Agence nationale de la sécurité des systèmes d'information (ANSS) tire la sonnette d'alarme dans un rapport publié ce mardi 29 avril 2025. Des pirates informatiques reliés au Kremlin, connus donc sous le nom d'APT28, ont orchestré depuis 2021 une série d'attaques ciblant spécifiquement des entités stratégiques sur le territoire français. Voyons cela dans les détails.

APT28, les cyber-espions au service de Moscou

Ces hackers d'élite, actifs depuis au moins 2004, ne sont pas des nouveaux venus dans le paysage des menaces cyber. Officiellement attribué à la Russie par l'Union Européenne, APT28 (également connu sous les noms de Fancy Bear ou Sofacy) s'est forgé une réputation redoutable dans les cercles de cybersécurité internationaux. Leur mission principale reste la collecte de renseignements stratégiques.

La France n'est pas leur unique cible. L'Ukraine, d'autres pays européens et l'Amérique du Nord figurent aussi sur leur tableau de chasse. Mais l'intensité des attaques contre l'Hexagone a particulièrement inquiété les autorités françaises, qui ont mobilisé le Centre de Coordination des Crises Cyber (C4) regroupant l'ANSSI, le COMCYBER, la DGA, la DGSE et la DGSI, tout le gratin du renseignement et de la cyber du pays, en somme.

L'étendue des cibles françaises illustre l'appétit vorace de ces espions numériques. Ils s'intéressent et s'attaquent aux ministères, aux entreprises de défense, au secteur aérospatial, aux collectivités territoriales, aux instituts de recherche, aux think-tanks, et même aux acteurs économiques et financiers. En 2024, ce sont d'ailleurs les entités gouvernementales, diplomatiques et de recherche qui ont été principalement visées.

Des techniques sophistiquées pour infiltrer les réseaux sensibles

L'arsenal d'APT28 s'avère aussi diversifié que redoutable. Les investigations de l'ANSSI révèlent par exemple de multiples chaînes d'infection élaborées, qui s'appuient d'abord sur des campagnes d'hameçonnage ciblé (phishing), des attaques par force brute contre les messageries web, et l'exploitation de vulnérabilités, y compris des failles dites « zero day ». Ces dernières, on le rappelle, sont exploitées par les hackers dans le dos des développeurs, qui n'ont pas connaissance de la compromission.

Subtilité inquiétante dont nous fait part l'ANSSI, ces hackers privilégient la compromission d'équipements en bordure de réseau souvent moins surveillés. On parle ici de routeurs, de VPN, de passerelles et de serveurs de messagerie. Cette stratégie réduit considérablement les risques de détection. Elle permet une infiltration discrète, mais profonde.

Pour brouiller les pistes, APT28 s'appuie sur des infrastructures infogérées à faible coût. Il peut s'agir de serveurs loués, d'hébergements gratuits, de services VPN et de messageries temporaires. Ces services, utilisés aujourd'hui de manière légitime par de nombreux particuliers et entreprises, offrent aux cybercriminels davantage de flexibilité et de discrétion.

Comment la France riposte face à cette menace persistante

L'ANSSI a, au fil des mois, documenté plusieurs campagnes emblématiques, notamment des attaques contre les serveurs de messagerie ROUNDCUBE visant à exfiltrer le contenu des boîtes mail. En 2023, les opérateurs d'APT28 ont également déployé la porte dérobée « HeadLace », qui s'appuie sur des services web gratuits comme INFINITYFREE et MOCKY.IO.

Plus récemment, entre décembre 2023 et février 2024, le groupe a utilisé une version actualisée du logiciel malveillant « OceanMap », capable d'extraire les identifiants stockés dans les navigateurs. Le CERT ukrainien a signalé que cette nouvelle version aurait été déployée via d'autres malwares nommés SteelHook et MasePie.

Les autorités françaises sont donc condamnées à renforcer leur vigilance, et pas qu'un peu ! Cette publication de l'ANSSI a aussi un objectif de sensibilisation, pas que d'alerte. Le message de l'agence est on ne peut plus clair : dans ce nouveau théâtre d'opérations qu'est le cyberespace, la première ligne de défense repose sur la connaissance des tactiques adverses et le partage d'informations entre les acteurs de la cybersécurité. Des initiatives comme MesServicesCyber, lancée récemment par l'ANSSI, peuvent y contribuer.