Pour la première fois, la France désigne l’auteur – ici la Russie – de campagnes de cyberattaques

L’attribution d’une attaque cyber exige de caractériser des indices techniques complexes tandis que les commanditaires étatiques se dissimulent derrière des outils technologiques et des mercenaires privés.

Ce 29 avril 2025 pourrait rester dans l’histoire de la géopolitique française. C’est en effet à cette date que, pour la première fois, la France a officiellement attribué à un Etat, en l’occurrence la Russie, plusieurs cyberattaques qui ont visé notre pays.

Alors que les technologies numériques sont utilisées depuis plusieurs décennies pour conduire à distance des opérations de manipulation de l’information, de vols de données, de blocage ou de destruction d’infrastructures techniques, il est toujours difficile d’en identifier les auteurs et commanditaires avec certitude. Contrairement aux opérations militaires terrestres où, à l’aide des satellites, de l’analyse des signes distinctifs des uniformes, de la nature des équipements utilisés voire des personnels interpellés sur le terrain, on peut plus aisément déterminer l’identité de l’attaquant.

Soucieuse de ne pas lancer des accusations à la légère, la France a donc toujours été très prudente dans la désignation publique de ses agresseurs numériques. Le communiqué officiel du Ministère de l’Europe et des affaires étrangères du 29 avril 2025 repris sur le réseau X par le ministre Jean-Noël Barrot marque donc une rupture.

Avec cette publication, la France cite la Russie comme étant à l’origine du ciblage ou de la compromission d’une dizaine d’entités françaises depuis 2021. En indiquant qu’il s’agit de services publics, d’entreprises privées, ainsi qu’une organisation sportive liée à l’organisation des Jeux olympiques et paralympiques de Paris 2024.

La mise en cause remonte même à une décennie, en désignant les services de renseignement de l’armée russe, le GRU, comme étant responsable de la tentative de prise de contrôle de l’antenne de la chaîne de télévision francophone TV5Monde en 2015. De même, les autorités françaises affirment que Moscou est à l’origine de ce qu’on a appelé les « Macron Leaks », l’exfiltration du contenu de la messagerie interne du parti « En Marche » à quelques heures du scrutin présidentiel en 2017.

Cette première attribution de campagnes de cyberattaques est donc une décision éminemment politique, qui se fonde sur des éléments techniques.

Cette conclusion est le fruit d’un travail d’experts qui sont principalement réunis au sein de 3 organisations : le COMCYBER, qui est l’autorité pour la cyberdéfense au sein du Ministère des Armées, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui assure la protection des services de l’Etat et surveille les infrastructures critiques du pays, et la DGSE, les services de renseignements extérieurs qui disposent d’une pratique cyber dans le domaine offensif.

Évidemment des informations sont partagées et recoupées avec les pays alliés, et des indices de compromission peuvent également émaner d’entreprises privées qui analysent la cybermenace.

C’est donc un faisceau d’indices qui est fourni à l’échelon politique pour lui permettre de graduer sa riposte. Celle-ci peut aller de la simple information des décideurs français, à la transmission de messages discrets par voie diplomatique aux autorités adverses concernées jusqu’à l’affichage public comme c’est le cas avec cette prise de position gouvernementale, en l’établissant comme étant une action hostile à part entière. Même si, ici, l’ambassade russe à Paris a émis un démenti dès le 30 avril.

Dans sa publication officielle, la France désigne des nébuleuses qui sont actives depuis au moins 2004, sous différents intitulés (Fancy Bear, APT28…). Et le Centre français de réponse aux incidents (CERT-FR) de l’Agence nationale de cybersécurité (ANSSI) insiste fin avril 2025 sur le fait que leurs actions perdurent dans le contexte de la guerre d’agression déclenchée par la Russie contre l’Ukraine depuis le 24 février 2022.

Bien sûr, la France est loin d’être la seule concernée puisque ces attaquants ont notamment ciblé en mai 2024 le parti social-démocrate allemand (SPD) du chancelier d’alors, Olaf Scholz, ainsi que des grands groupes industriels outre-Rhin. Washington avait officialisé en 2016 l’origine russe de l’intrusion dans la boite mail du directeur de campagne d’Hillary Clinton. Et Londres avait pointé la responsabilité de Moscou dès 2018 pour des actions concernant la Grande-Bretagne.

Cette décision d’officialiser l’attribution de cyberattaques a plusieurs effets. D’abord, elle témoigne de l’expertise des services de sécurité qui ont été à même d’identifier puis de remonter la chaîne de production des cyberattaques. Cela permet en outre de documenter des dispositifs de protection et de renforcer la connaissance technique des opérationnels en charge de la cybersécurité.

Ensuite, c’est une occasion de faire de la pédagogie en expliquant les risques pour inciter les entreprises, les administrations et les collectivités mais aussi les particuliers et les personnels de ces entités à s’approprier les sujets de sécurité numérique.

Enfin, cela donne des arguments supplémentaires dans le cadre des discussions internationales. Dès lors qu’on n’ignore plus son statut de victime et que l’on peut disposer d’éléments pour peser davantage sur la scène diplomatique face à des interlocuteurs dont on a démasqué les pratiques (qui, à l’occasion, peuvent aussi émaner d’alliés).