Le 29 avril 2025, les autorités françaises ont lancé une alerte inédite sur le compte X du ministre des Affaires Etrangères : « La menace est toujours active. » peut-on y lire. Pourquoi un tel état d’alerte ? Parce que le groupe de hackers russes APT28, aussi connu sous le nom de Fancy Bear, est aujourd’hui désigné comme l’un des acteurs majeurs de la cyberguerre menée par Moscou contre la France et ses alliés. Mais qui sont les membres d’APT28, à l’origine des “Macrons Leaks” survenus en 2017 ?
APT28, acronyme de « Advanced Persistent Threat 28 », désigne un groupe de hackers russes actifs depuis au moins 2004 selon l’Agence nationale de la sécurité des systèmes d’information (Anssi). Leur spécialité : des opérations de piratage sophistiquées, ciblant prioritairement les institutions gouvernementales, les secteurs stratégiques (défense, énergie, médias) et les infrastructures critiques, principalement en Europe et en Amérique du Nord.
Ce groupe n’est pas un acteur isolé. Il est publiquement attribué par l’Union européenne et les États-Unis au renseignement militaire russe, le GRU. Plusieurs enquêtes et sanctions internationales ont établi des liens étroits entre APT28 et ce service, faisant de Fancy Bear un bras armé du Kremlin dans la guerre de l’information et la déstabilisation numérique.
Le service de renseignement militaire russe (GRU) déploie depuis plusieurs années contre la France un mode opératoire cyber-offensif appelé APT28. Il a ciblé une dizaine d’entités françaises depuis 2021.
Dans le cyberespace, la France observe, bloque et combat ses adversaires. pic.twitter.com/9NUdyG9hxa
— Jean-Noël Barrot (@jnbarrot) April 29, 2025
Les « Macron Leaks » : une opération de déstabilisation
L’affaire des « Macron Leaks » marque un tournant dans la perception de la menace. À deux jours du second tour de la présidentielle de 2017, des milliers de documents internes à l’équipe de campagne d’Emmanuel Macron sont publiés sur Internet. L’objectif est clair : semer le doute, manipuler l’opinion publique et fragiliser le processus démocratique français. Malgré l’ampleur de la fuite, la manœuvre échoue à influer significativement sur le scrutin, Emmanuel Macron l’emportant face à Marine Le Pen.
Ce 29 avril 2025 marque une étape importante dans l’histoire des relations internationales : c’est la première fois que la France accuse officiellement le GRU et APT28 d’être à l’origine de cette opération, rejoignant ainsi les conclusions déjà établies par les États-Unis et plusieurs partenaires européens. Cette reconnaissance officielle s’inscrit dans une stratégie de transparence et de sensibilisation face à une menace qui ne faiblit pas.
Car APT28 peut se montrer redoutable. Le groupe de hackers se distingue par une panoplie de techniques éprouvées et évolutives. Il privilégie le phishing (hameçonnage) ciblant les messageries électroniques, la force brute (test systématique de mots de passe) ainsi que l’exploitation de vulnérabilités logicielles pour s’introduire dans les réseaux. Une fois infiltré, il cherche à collecter des renseignements sensibles, à compromettre d’autres systèmes et parfois à obtenir des droits administrateurs pour maximiser les dégâts potentiels.
Depuis 2021, l’Anssi recense une multiplication des attaques contre des entités françaises : ministères, collectivités territoriales, entreprises de l’armement, de l’aérospatiale, du secteur économique et financier, mais aussi une organisation sportive impliquée dans la préparation des Jeux Olympiques et Paralympiques de Paris 2024.
Une menace mondiale ?
APT28 n’agit pas seulement en France. Le groupe est accusé d’avoir mené des cyberattaques majeures contre le Bundestag allemand en 2015, contre le Parti démocrate américain lors de la présidentielle de 2016, et plus récemment contre des membres du parti social-démocrate allemand. Depuis l’invasion de l’Ukraine, l’Anssi relève que l’Ukraine est devenue l’une des priorités du groupe, avec des campagnes d’hameçonnage visant à dérober les identifiants des utilisateurs de services de messagerie locaux.
Les autorités françaises insistent : APT28 infiltre les réseaux numériques avec deux objectifs principaux. D’une part, collecter des renseignements au profit du Kremlin ; d’autre part, déstabiliser les sociétés ciblées en y instillant la défiance et la confusion.
Face à l’intensification de la menace, la France a choisi de rendre publiques ses investigations et de sensibiliser l’opinion. « Dans le cyberespace, la France observe, bloque et combat ses adversaires », affirme le ministre des Affaires étrangères Jean-Noël Barrot. L’Anssi publie régulièrement des rapports détaillant les attaques et les modes opératoires d’APT28, dans l’espoir de prévenir de futures intrusions et de renforcer la résilience nationale.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
