Espionner sans jamais rien casser : Turla a suivi cette règle pendant vingt-cinq ans. Cette équipe de pirates du FSB, le service de sécurité russe, vient de la rompre. Le 13 juillet 2026, Paris, Bruxelles et Londres l’ont sanctionnée. Les services occidentaux se demandent ce qu’un espion aussi patient fera d’une arme capable de détruire.
En Pologne, l’espion russe a voulu couper l’eau
À la fin de l’année 2025, des logiciels conçus pour effacer définitivement les données ont pénétré les systèmes qui alimentent la Pologne en eau potable. Au même moment, les attaquants s’en prenaient au secteur énergétique du pays, plusieurs entreprises et centrales de cogénération électrique et thermique, au plus fort de l’hiver. Le réseau ferroviaire figurait lui aussi parmi les cibles. Les techniciens appellent ces charges des wipers : elles ne dérobent aucune donnée, elles les détruisent, et une destruction, contrairement à un vol, se remarque immédiatement.
Les enquêteurs ont d’abord soupçonné Sandworm, l’équipe de sabotage du renseignement militaire russe, le GRU, déjà responsable de coupures d’électricité en Ukraine. Les investigations menées par les agences européennes ont abouti ailleurs. Elles ont rattaché ces attaques à une campagne pilotée par l’autre grand service russe, le FSB, héritier du KGB, et conduite par une équipe de pirates informatiques que les spécialistes de la cyberdéfense connaissent sous le nom de Turla. Ce groupe n’avait, jusque-là, jamais rien cassé.
La Pologne sert de plaque tournante logistique et militaire au soutien occidental livré à l’Ukraine. En cherchant à interrompre sa distribution d’eau et son approvisionnement en énergie en pleine période hivernale, les opérateurs de Turla frappaient l’arrière du front allié.
Vingt-cinq ans sans jamais rien détruire
Le MITRE, organisme américain de référence en cyberdéfense, qualifie la méthode de Turla de « furtivité innovante ». Le groupe pénètre le système informatique d’une administration, s’y installe, observe les échanges internes et en extrait les documents stratégiques par petites quantités, sans déclencher la moindre alerte, parfois pendant des années. Sa doctrine lui interdit, en temps normal, toute destruction ou perturbation visible du réseau qu’il occupe.
Le GRU, service de renseignement de l’armée russe, s’appuie de son côté sur des acteurs bruyants, Sandworm et APT28, alias Fancy Bear. Leur signature reste l’agression spectaculaire ; le logiciel destructeur NotPetya, déployé en 2017, a ravagé les réseaux de multinationales entières. Le FSB, service de sécurité intérieure et de contre-espionnage, a fait avec Turla le pari opposé, celui du silence prolongé.
Les chercheurs Thomas Rid et Juan Andres Guerrero-Saade ont établi en 2016 le lien entre Turla et l’opération Moonlight Maze, une vaste campagne d’espionnage lancée en 1996 contre le gouvernement américain. Les intrus avaient alors siphonné les systèmes de l’US Air Force, de la NASA et de l’agence américaine de protection de l’environnement. Certains analystes datent le début officiel des activités du groupe de 2004 ; les travaux les plus poussés en font remonter les racines au milieu des années 1990.
En 2008, une clé USB a suffi. Un employé du département américain de la Défense l’a branchée sur un poste appartenant à des réseaux volontairement coupés d’internet, réputés inviolables pour cette raison même. Le ver informatique Agent.btz s’y est propagé. Le choc fut tel à Washington que le gouvernement créa dans la foulée l’US Cyber Command, aujourd’hui chargé de coordonner l’ensemble des opérations cyber américaines.
Le Bundestag, le parlement allemand, a été visé en 2014. La chaîne française TV5 Monde l’a été en 2015. Les systèmes du gouvernement afghan ont été compromis peu avant le retrait des troupes américaines, par une porte dérobée, un accès clandestin laissé ouvert dans le réseau à l’insu de ses administrateurs. Turla a atteint des cibles dans 45 à 50 pays. Il n’en a saboté aucune.
Le 24 février 2022, l’espion change de mission
L’armée russe a lancé son invasion à grande échelle de l’Ukraine le 24 février 2022. Turla a alors abandonné l’espionnage patient et sans échéance qui faisait sa marque. Placé sous la supervision directe du FSB, le groupe a reçu pour consigne de concentrer ses moyens sur l’Ukraine et ses alliés occidentaux.
Le groupe se contentait jusque-là de surveiller des diplomates sur le long cours. Il fournit désormais au Kremlin du renseignement immédiatement exploitable, destiné à anticiper les décisions de l’OTAN et à appuyer les opérations russes sur le terrain. De cette collecte de guerre au sabotage d’infrastructures physiques, la pente conduisait droit à l’hiver polonais de 2025.
Une unité du FSB dédiée à espionner la France
L’unité 61240 dépend du 16e Centre du renseignement du FSB, aussi désigné comme l’unité militaire 71330, et opère près de Krasnoïe Selo, dans la région de Saint-Pétersbourg. Ses officiers ciblent spécifiquement la France. Le Quai d’Orsay désigne Turla comme un « mode opératoire d’attaque », une formule administrative qui décrit une manière de faire attribuée à un service, sans nommer les individus qui l’exécutent.
Selon les données publiées par l’Union européenne, cette unité espionne le territoire français sans interruption depuis au moins 2010. Les intrus ont infiltré, à partir de 2017, plusieurs comptes de messagerie stratégiques du ministère des Armées, ouvrant une fenêtre durable sur les échanges internes. En 2018, le réseau informatique de l’ambassade de France à Moscou est tombé, livrant la diplomatie française à une surveillance conduite depuis le sol russe. L’année suivante, un serveur du secteur de la Justice a été compromis, portant l’espionnage au-delà des ministères régaliens habituels. En février 2025, un institut de recherche travaillant pour l’industrie de défense française a vu s’échapper un volume significatif de données stratégiques.
Sur ce qui a réellement été dérobé, les autorités françaises n’ont rien dit. Ni le contenu des messageries du ministère des Armées, ni la nature des documents pris à l’institut n’ont été rendus publics. Sur le sol français, Turla a poursuivi son travail d’écoute sans rien détruire, fidèle à sa vieille discipline. Le même groupe qui sabote la Pologne continue d’espionner Paris en silence.
On sanctionne un espion, on affronte un saboteur
Le 13 juillet 2026, Jean-Noël Barrot, ministre français des Affaires étrangères, a convoqué l’ambassadeur de Russie à Paris, Alexeï Mechkov. Il a dénoncé une « vaste campagne cyber aux buts de sabotage et d’espionnage » visant une dizaine de pays européens. Le même jour, Paris, Bruxelles et Londres ont annoncé des sanctions coordonnées.
L’Union européenne a ajouté treize entités et individus à son régime de sanctions cyber, gels d’avoirs et interdictions de voyager à la clé. Neuf personnes et quatre entités figurent sur la liste française. Londres, de son côté, a visé vingt-quatre acteurs liés au renseignement de Moscou.
Le mot « sabotage », employé par Barrot, est nouveau dans le vocabulaire des chancelleries européennes à l’égard du FSB. Les instruments, eux, n’ont pas changé. Geler des avoirs et interdire des visas renchérit le coût d’une opération d’espionnage ; ces mesures s’appliquent aujourd’hui à un groupe qui a introduit des logiciels destructeurs dans une station d’épuration polonaise.
Les officiers de l’unité 61240 restent hors d’atteinte : aucun État occidental ne peut saisir les avoirs d’un fonctionnaire russe en poste à Saint-Pétersbourg. Les trois capitales ont donc visé ce qui gravite autour d’eux. Paris a sanctionné deux sociétés de bulletproof hosting, des hébergeurs qui louent des serveurs en garantissant à leurs clients de ne jamais répondre aux réquisitions judiciaires, et qui abritaient les serveurs de commande de Turla. Le groupe Cyber Army of Russia Reborn, qui avait menacé les stations d’épuration de la Seine pendant les Jeux olympiques de Paris 2024, figure sur les listes avec ses dirigeants présumés, Yuliya Pankratova et Denis Degtyarenko. Londres a frappé Rybar LLC, chaîne Telegram forte de 1,5 million d’abonnés, accusée d’ingérence électorale en Moldavie et en Arménie. Le FSB récupère par ailleurs les outils de cybercriminels ordinaires, le voleur de mots de passe Lumma Stealer, 2 100 victimes britanniques en six mois, ou le programme malveillant Trickbot, pour s’introduire à bas coût dans des systèmes d’État.
Les États-Unis ont créé l’US Cyber Command en 2008 sans faire disparaître Turla. Le FBI a démantelé une partie de Snake en 2023, lors de l’opération MEDUSA, sans faire disparaître Turla non plus. Ces ripostes visaient un espion. Elles n’ont pas empêché la naissance d’un saboteur.
Face à l’échéance présidentielle de 2027, la France s’appuie sur l’ANSSI, l’agence chargée de la sécurité des systèmes d’information, et sur le C4, qui réunit autour d’elle la DGSE, la DGSI, la DGA et le commandement militaire du cyberespace, ainsi que sur Viginum, chargé de traquer les manipulations de l’information. Reste une inconnue que les sanctions ne lèvent pas : ce qu’un espion aussi patient, désormais équipé pour détruire, choisira de couper la prochaine fois.
Comment Turla se rend invisible
Le groupe s’appuie depuis vingt ans sur un logiciel d’un genre particulier, Snake, aussi appelé Uroburos, apparu en 2003. Un rootkit de ce type s’installe au cœur du système d’exploitation, à un niveau si profond que les logiciels de sécurité ne le voient pas. Snake a infecté des réseaux dans plus de cinquante pays avant que le FBI n’en démantèle une partie en 2023.
Kazuar, actif depuis 2017, va plus loin. Les modules de ce programme, une fois répartis sur les différentes machines d’un même réseau, se reconnaissent entre eux et élisent un chef, selon les analystes de Microsoft : celui qui tourne depuis le plus longtemps sans avoir été redémarré l’emporte. Le module élu ordonne alors à tous les autres de se taire, ils passent en mode SILENT, et devient le seul à communiquer vers l’extérieur. Une seule machine parle, les autres attendent. Un défenseur qui repère un flux suspect ne découvre qu’un fragment de l’infection.
Turla brouille aussi les pistes. En 2019, les enquêteurs ont découvert que le groupe avait volé deux outils d’espionnage, Neuron et Nautilus, à des pirates iraniens du groupe Oilrig, puis les avait utilisés contre des serveurs de messagerie occidentaux. Les attaques ont été attribuées à Téhéran, jusqu’à ce que les experts constatent que ces outils étaient pilotés depuis l’infrastructure de Snake. Dès 2015, le groupe achetait par ailleurs des connexions satellites commerciales pour intercepter les données de ses victimes sans jamais révéler d’où il opérait.
lessentieldeleco.fr