Présidentielle 2017 : la Russie serait derrière le piratage de la campagne d’Emmanuel Macron, selon la diplomatie française

Depuis quatre ans, la France est ciblée par une campagne de cyber-espionnage russe. Celle-ci a visé « des entités ministérielles, de collectivités territoriales, des administrations, des entités de la base industrielle de défense, des entités du secteur de l’aérospatial, des entités du secteur de la recherche et des groupes de réflexion, des entités du secteur de l’économie et de la finance », explique l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans un rapport technique publié mardi. Chaque mot est pesé, aucune victime n’étant explicitement nommée. Mais la durée comme la liste des cibles ne laissent aucun doute sur l’ampleur de cette campagne, pour laquelle « le mode opératoire APT 28 » a été désigné comme responsable par l’ANSSI et le Centre de coordination des crises cyber (C4) qui regroupe aussi la DGSE, la DGSI, le ComCyber et la Direction générale pour l’armement. « Ce mode opératoire a été mis en œuvre à des fins de collecte de renseignements stratégiques contre de nombreuses entités en France, en Europe, en Ukraine et en Amérique du Nord », explique l’Agence dans son rapport.

Le renseignement militaire russe (GRU) a notamment fomenté des cyberattaques contre la chaîne TV5Monde en 2015 et a piraté des e-mails de l’équipe d’Emmanuel Macron lors de la campagne présidentielle de 2017, dénoncent les autorités françaises, mardi 29 avril 2025. «Le service de renseignement militaire russe (GRU) déploie depuis plusieurs années contre la France un mode opératoire cyber-offensif appelé APT28», a déploré Jean-Noël Barrot, chef de la diplomatie française dans un message posté sur X, attribuant ainsi officiellement pour la première fois ces cyberattaques au GRU.

Dans le cyber, on cache son identité et on brouille les pistes. Les hackers sont d’abord identifiés par leur mode opératoire, c’est-à-dire leurs techniques. Nommer des responsables relève ensuite d’un choix politique. Connu aussi sous les noms de FancyBear, Sednit, FrozenLake, Sofacy ou Pawn Storm, APT28 est « attribué à la Russie », commente l’ANSSI. Le groupe est lié au renseignement russe, ont dans le passé indiqué les services américains ou britanniques. Il n’est pas inconnu. Présent depuis 2004, son action a déjà été dénoncée dès 2023 par l’ANSSI, chargée de la protection cyber des intérêts français. La collecte de renseignements est probablement liée au conflit ukrainien. Dans certains cas, « l’objectif premier des attaquants pourrait (…) être d’accéder directement à des informations d’intérêt à des fins d’espionnage », estime l’ANSSI.

Des ministères ont été «compromis»

L’ANSSI ne détaille pas les conséquences de ces manœuvres. Mais les hackers russes ont non seulement ciblé des entités françaises mais ils en ont « compromis » certaines, soulignent les auteurs, sans indiquer les données et les informations qui ont pu être collectées. Des entreprises du secteur de la défense et des think-tanks français ont été « compromis » de 2021 à 2023, note-t-on. Des ministères ont aussi été « ciblés » durant la même période. Des ministères ont été « compromis » en 2023, précise le rapport. Plus largement, tout un écosystème lié à la défense a été visé.

Bien que connue dès 2023, la campagne n’a, semble-t-il, pas pu être entravée. Le mode opératoire s’est « adapté » en visant notamment des infrastructures « à moindre coût, prêtes à l’emploi » mais mal protégées, explique l’ANSSI. Il peut s’agir par exemple de VPN ou de messageries dont les entités visées utilisent les services. Ces systèmes peuvent présenter des vulnérabilités. En révélant ses analyses, l’ANSSI adresse un double message : aux attaquants, pour leur dire qu’ils ont été vus, et aux victimes, pour leur conseiller de réagir.