GRU, moche et mĂ©chant LâANSSI alerte sur le ciblage et la compromission dâentitĂ©s françaises par le service de renseignement militaire russe. Cette publication est coordonnĂ©e avec le ministĂšre des Affaires Ă©trangĂšres qui dĂ©nonce de son cĂŽtĂ© les agissements russes. Elle attribue Ă la Russie les attaques de TV5Monde et la fuite des MacronLeaks. Elle promet enfin de « rĂ©agir le cas Ă©chĂ©ant ».
Faisons les prĂ©sentations : le mode opĂ©ratoire dâattaque (MOA) APT28 (ou Fancy Bear) est actif depuis au moins 2004 selon lâAgence de cybersĂ©curitĂ©. Il est « attribuĂ© publiquement par lâUnion europĂ©enne Ă la Russie ». Pour rappel, lâANSSI nâattribue pas directement les attaques, mais sâen fait lâĂ©cho lorsque câest fait publiquement par des instances officielles.
APT28, nous en avons dĂ©jĂ parlĂ© Ă plusieurs reprises sur Next. Il faut dire que, comme le rappelle le rapport que lâANSSI vient de lui consacrer, il « est rĂ©guliĂšrement employĂ© pour cibler des organisations gouvernementales et militaires, ainsi que les secteurs de la dĂ©fense, de lâĂ©nergie et des mĂ©dias, notamment en Europe et en AmĂ©rique du Nord ».
Chine, France, Russie et USA sont dans un cyberbateauâŠ
Ă propos de la situation cyber mondiale, Vincent Strubel (patron de lâANSSI) affirmait il y a peu que la France Ă©tait en Ligue 1 face Ă deux fortes nations : la Russie et la Chine. Pour lâinstant, les Ătats-Unis sont toujours des alliĂ©s, « avec une coopĂ©ration Ă©troite ».
Concernant la Russie, Vincent Strubel parlait dâune « forme de singularitĂ© [avec] une multiplicitĂ© dâacteurs ». Il y a Ă©videmment les services Ă©tatiques et les services de renseignements, mais aussi des « groupes criminels qui sont au moins tolĂ©rĂ©s, et dont on peut se poser la question de leur lien de cohabitation avec lâĂtat russe ».
Les intĂ©rĂȘts français rĂ©guliĂšrement pris pour cible
Depuis 2021, plusieurs organisations françaises ont Ă©tĂ© ciblĂ©es ou compromises par le groupe APT28 : entitĂ©s ministĂ©rielles, collectivitĂ©s territoriales, administrations, de lâindustrie de la dĂ©fense, de lâaĂ©rospatial, du secteur de lâĂ©conomie et de la finance, des groupes de rĂ©flexions et de recherche.
En 2024, il était toujours actif et la victimologie comprenait « des entités appartenant majoritairement aux secteurs gouvernemental, diplomatique, et de la recherche ou des think tanks. Certaines campagnes ont notamment été dirigées contre des entités françaises du secteur gouvernemental ».
De quoi faire rĂ©agir le ministĂšre des Affaires Ă©trangĂšres qui « condamne avec la plus grande fermetĂ© le recours par le service de renseignement militaire russe (GRU) au mode opĂ©ratoire dâattaque APT28 » contre des intĂ©rĂȘts français.
De TV5Monde aux MacronLeaks : APT28 Ă la manĆuvre
France Diplomatie rappelle au passage que, « par le passĂ©, ce mode opĂ©ratoire a Ă©galement Ă©tĂ© utilisĂ© par le GRU dans le sabotage de la chaĂźne de tĂ©lĂ©vision TV5Monde en 2015 ». Guillaume Poupard, qui Ă©tait alors directeur de lâANSSI, parlait dâune « guerre de lâinformation ».
Le ministĂšre des Affaires Ă©trangĂšres revient aussi sur une « tentative de dĂ©stabilisation du processus Ă©lectoral français en 2017 ». Sans ĂȘtre directement citĂ©, il sâagit Ă©videmment de lâaffaire des MacronLeaks. Sur X , Jean-NoĂ«l Barrot (ministre de lâEurope et des Affaires Ă©trangĂšres) a publiĂ© un tweet accompagnĂ© dâune vidĂ©o de « prĂ©sentation » dâAPT28 et de ses principaux faits dâarmes, du point de vue de la France.
Le service de renseignement militaire russe (GRU) dĂ©ploie depuis plusieurs annĂ©es contre la France un mode opĂ©ratoire cyber-offensif appelĂ© APT28. Il a ciblĂ© une dizaine dâentitĂ©s françaises depuis 2021. pic.twitter.com/9NUdyG9hxa
â Jean-NoĂ«l Barrot (@jnbarrot) April 29, 2025 La vidĂ©o revient aussi sur les MacronLeaks, lĂ encore sans les citer directement : « 2017, en pleine Ă©lection prĂ©sidentielle, APT28 participe Ă une opĂ©ration de piratage massive. Objectif, semer le doute et influencer lâopinion publique. Des milliers de documents sont volĂ©s et diffusĂ©s, espĂ©rant manipuler les Ă©lecteurs. Mais la manĆuvre Ă©choue Ă rĂ©ellement impacter le processus Ă©lectoral. La menace est toujours active ».
« La question de la temporalité, trÚs retardée, de cette attribution officielle se pose »
Câest la premiĂšre fois que la France attribue officiellement les MacronLeaks Ă la Russie, six ans aprĂšs les faits. CâĂ©tait nĂ©anmoins un secret de polichinelle. Sur Bluesky , le journaliste Nicolas Henin rappelle que « lâattribution des MacronLeaks Ă©taient aussi connue dans le milieu cybersec depuis longtemps. La question de la temporalitĂ©, trĂšs retardĂ©e, de cette attribution officielle se pose ».
Lâexpert du sujet prĂ©cise quâil reste un point en suspens : « les MacronLeaks ne sont pas quâune opĂ©ration du GRU. Une grosse partie de la propagation avait Ă©tĂ© assurĂ©e par lâalt-right amĂ©ricaine, qui semble avoir Ă©tĂ© dans la boucle AVANT le leak dâorigine. Si jamais Macron veut en garder sous le coude pour une attribution ultĂ©rieure⊠».
APT28 trÚs actif contre des entités ukrainiennes
Depuis la guerre suite Ă lâinvasion de la Russie en Ukraine, APT28 est rĂ©guliĂšrement utilisĂ© pour collecter des renseignements « contre des entitĂ©s ukrainiennes gouvernementales, militaires, des infrastructures critiques, des entitĂ©s mĂ©diatiques et financiĂšres, des collectivitĂ©s territoriales et des individus », explique lâANSSI.
Mais ce nâest pas tout. LâAgence ajoute que des campagnes rĂ©centes dâespionnage via APT28 « ont ciblĂ© des entitĂ©s gouvernementales de pays europĂ©ens, des partis politiques, des entitĂ©s du secteur de la dĂ©fense, de la logistique, de lâarmement, de lâindustrie aĂ©rospatiale, de lâinformatique ainsi que des fondations et associations ». Bref, une pĂȘche au chalut qui ratisse trĂšs large.
LâANSSI rappelle ses recommandations et prĂ©ventions
Face Ă ces menaces, lâANSSI rappelle que des analyses ont permis dâidentifier des chaĂźnes de compromission associĂ©es au MOA APT28. Au cours des derniĂšres annĂ©es, les techniques, tactiques et procĂ©dures (TTP) ont peu Ă©voluĂ©es, les recommandations et prĂ©ventions formulĂ©es en 2023 restent donc dâactualitĂ© .
Le ministĂšre des Affaires Ă©trangĂšres ne sâen cache pas, le but de la publication du rapport de lâANSSI est de « prĂ©venir de futures attaques ».
Les messageries, une cible de choix
APT28 utilise des campagnes dâhameçonnage, des attaques par force brute contre des messageries (notamment ROUNDCUBE), ainsi que des vulnĂ©rabilitĂ©s zero-day telle que la CVE-2023-23397 dans Outlook . Le groupe sâattaque aussi Ă des Ă©quipements de bordure « gĂ©nĂ©ralement peu supervisĂ©s ». Pour mener leur attaque et tenter de se fondre dans la masse, les pirates sâappuient notamment « sur des infrastructures infogĂ©rĂ©es Ă moindre coĂ»t et prĂȘtes Ă lâemploi ».
Les attaquants ne cherchent pas Ă rester dans le systĂšme, ils sont lĂ pour collecter des « informations stratĂ©giques » comme des conversations, des carnets dâadresses, des authentifiants⊠« Lâobjectif premier des attaquants pourrait ĂȘtre dans ces cas spĂ©cifiques dâaccĂ©der directement Ă des informations dâintĂ©rĂȘt Ă des fins dâespionnage ».
Comment APT28 procĂšde ?
LâANSSI donne un exemple des agissements dâAPT28 :
« Ces campagnes consistaient Ă envoyer des courriels dâhameçonnage contenant un lien de redirection vers un sous domaine fourni par le service INFINITYFREE pour dĂ©livrer des archives ZIP malveillantes contenant la porte dĂ©robĂ©e HeadLace. Cette porte dĂ©robĂ©e reposait sur la distribution de commandes depuis des points de terminaison web du service MOCKY.IO. Les commandes distribuĂ©s par les points de terminaisons MOCKY.IO visaient Ă rĂ©cupĂ©rer des informations sur le systĂšme dâinformation ainsi que des authentifiants de connexion, ou encore Ă dĂ©ployer des outils offensifs. Dans certains cas, les opĂ©rateurs du MOA ont tentĂ© dâĂ©tablir des moyens de persistance en crĂ©ant une tĂąche planifiĂ©e ».
LâANSSI se fait aussi lâĂ©cho du CERT ukrainien qui a documentĂ© lâutilisation dâun code malveillant sâappuyant « sur le protocole IMAP pour exfiltrer les authentifiants stockĂ©s dans des navigateurs ».
Autre vecteur dâattaque, depuis dĂ©but 2023, « les opĂ©rateurs du MOA APT28 ont Ă©galement conduit des campagnes dâhameçonnage visant Ă rediriger des utilisateurs des services de messagerie UKR.NET et YAHOO vers des fausses pages de connexion afin de voler leurs authentifiants ».
Pour la France, les activités russes sont « inacceptables et indignes »
France Diplomatie rappelle que, lâUnion europĂ©enne « a imposĂ© des sanctions aux personnes et entitĂ©s responsables des attaques menĂ©es Ă lâaide de ce mode opĂ©ratoire ». Le ministĂšre en profite pour taper du poing sur la table :
« Ces activitĂ©s dĂ©stabilisatrices sont inacceptables et indignes dâun membre permanent du Conseil de sĂ©curitĂ© des Nations unies. Elles sont par ailleurs contraires aux normes des Nations unies en matiĂšre de comportement responsable des Ătats dans le cyberespace, auxquelles la Russie a souscrit ».
La France prévient : elle pourrait « réagir le cas échéant »
La France donne un coup de semonce : et annonce ĂȘtre « rĂ©solue Ă employer lâensemble des moyens Ă sa disposition pour anticiper les comportements malveillants de la Russie dans le cyberespace, les dĂ©courager et y rĂ©agir le cas Ă©chĂ©ant ».
Connexion
Capcom, Activision, Sony, Bungie : tous semblent retenir leur souffle, guettant le moment oĂč Rockstar appuiera sur la gĂąchette. GTA 6 semble tout se permettre.
Pour 50 balles tu nâas plus rien.... 
Jeudi dernier, Arm a cĂ©lĂ©brĂ© les quarante annĂ©es de lâarchitecture Ă©ponyme. Lâoccasion pour lâentreprise de mettre en avant un chiffre impressionnant : 300 milliards de puces Arm livrĂ©es depuis 1985... 
