Le Département fédéral de la Défense a ouvert une enquête administrative sur une présumée transmission d'informations sensibles du Service de renseignement de la Confédération (SRC) à la Russie entre 2015 et 2020, notamment via l'entreprise russe de cybersécurité Kaspersky. Cette affaire de fuites de données sensibles apparaît dans un rapport interne du SRC que SRF Investigativ a pu consulter.
En novembre 2020, des services secrets alliés mettent en garde le service de renseignement suisse de potentielles fuites d'informations sensibles aux services secrets russes. Après enquête, le SRC reconnaît ces allégations de "partage illégal de données" dans un rapport secret datant de 2021, que SRF Investigativ a pu consulter. Selon ce rapport, un agent des services de renseignement suisses aurait effectivement transmis des informations hautement sensibles à Kaspersky, une société russe de cybersécurité.
L'information aurait ensuite été divulguée aux services de renseignement russes via Kaspersky, d'après une deuxième agence de renseignement alliée, faisant courir "un risque de mise en danger de vies humaines". Les deux services de renseignement "amis", essentiels pour le travail du SRC et la sécurité de la Suisse, ont menacé de "cesser toute coopération avec le SRC" si l'employé mis en cause à la tête du service cyber du SRC continuait à y travailler.
Kaspersky, le premier des "contacts réguliers" de l'équipe cyber du SRC
Kaspersky a déjà été accusé à plusieurs reprises de collaborer avec le Kremlin et ses services secrets. L'entreprise, avec laquelle le SRC a collaboré, est donc évitée depuis des années par les services gouvernementaux de nombreux pays occidentaux.
Mais pour l'équipe cyber du SRC, l'entreprise Kaspersky arrive en tête d'un rapport classé sous la rubrique "Contacts réguliers". La société de cybersécurité serait "essentielle" pour le travail de l'équipe cyber, avait d'ailleurs déclaré l'ancien chef de cette équipe mis en cause par les services de renseignement alliés. Selon lui, "le SRC ne dispose pas de l'expertise et des ressources suffisantes pour détecter de manière indépendante et préventive les activités de pira
Depuis la fin de l’année 2023, VIGINUM observe et documente les activités d’un mode opératoire informationnel russe susceptible d’affecter le débat public numérique francophone et européen, connu sous le nom de « Storm-1516 ».
Le mode opératoire informationnel (MOI) Storm-1516, actif depuis plus d’un an et demi, est responsable de plusieurs dizaines d’opérations informationnelles ayant ciblé des audiences occidentales, dont française. S’appuyant sur l’analyse de 77 opérations informationnelles documentées par VIGINUM et conduites par Storm-1516 entre la date de son apparition supposée et le 5 mars 2025, ce rapport détaille les principaux narratifs et contenus employés, leur chaîne de diffusion, ainsi que les acteurs étrangers impliqués dans la conduite du MOI.
L’analyse par VIGINUM de ces différentes opérations informationnelles démontre que le dispositif d’influence informationnelle russe a investi des efforts conséquents pour coordonner les actions d’un important réseau d’acteurs, d’organisations et de MOI agissant depuis le territoire russe et dans les pays ciblés, et ce depuis le début de l’invasion à grande échelle de l’Ukraine par la Russie en 2022.
Storm-1516 constitue aujourd’hui un mode opératoire informationnel mature, qui offre à ses commanditaires la capacité de mener à la fois des actions de court terme en réaction à l’actualité, mais également de s’inscrire dans des stratégies de long terme, visant à décrédibiliser des personnalités ou des organisations européennes et nord-américaines, notamment en amont de grands événements et de processus électoraux.
Si l’impact réel sur le débat public numérique demeure difficile à estimer, VIGINUM observe que de nombreux narratifs propagés via ce MOI ont atteint une visibilité très importante en ligne, et qu’ils sont parfois repris, de manière inconsciente ou opportuniste, par des personnalités et des représentants politiques de premier plan.
Les opérateurs de Storm-1516 poursuivent aujourd’hui leurs activités avec un rythme opérationnel soutenu, et devraient très probablement continuer à adapter leurs TTPs, notamment pour crédibiliser davantage leurs contenus, tenter de contourner les mécanismes de modération des plateformes, gêner le suivi et l’imputation technique de leurs activités, ou encore renouveler leurs infrastructures d’attaque.
Au regard de ces éléments, VIGINUM considère que les activités de Storm-1516 réunissent les critères d’une ingérence numérique étrangère, et représentent une menace importante pour le débat public numérique français et européen.
La France condamne avec la plus grande fermeté le recours par le service de renseignement militaire russe (GRU) au mode opératoire d’attaque APT28, à l’origine de plusieurs cyber-attaques contre des intérêts français.
Depuis 2021, ce mode opératoire d’attaque (MOA) a été utilisé dans le ciblage ou la compromission d’une dizaine d’entités françaises. Ces entités sont des acteurs de la vie des Français : services publics, entreprises privées, ainsi qu’une organisation sportive liée à l’organisation des Jeux olympiques et paralympiques 2024. Par le passé, ce mode opératoire a également été utilisé par le GRU dans le sabotage de la chaîne de télévision TV5Monde en 2015, ainsi que dans la tentative de déstabilisation du processus électoral français en 2017.
APT28 est aussi employé pour exercer une pression constante sur les infrastructures ukrainiennes dans le contexte de la guerre d’agression menée par la Russie contre l’Ukraine, notamment lorsqu’il est opéré par l’unité 20728 du GRU. De nombreux partenaires européens ont également été visés par APT28 au cours des dernières années. À ce titre, l’UE a imposé des sanctions aux personnes et entités responsables des attaques menées à l’aide de ce mode opératoire.
Un tribunal de Cracovie a condamné le 14 février deux Russes pour leur campagne de recrutement pour Wagner. Une opération directement pilotée depuis la Russie. Les détails du procès permettent de comprendre les contours de la "guerre hybride" que mène Moscou à l'Europe. - "Rejoignez-nous" : ce que révèle le procès de deux agents de Wagner sur leur activité en Europe (International).
Ce rapport présente sous la forme d’une synthèse les principaux modes opératoires informationnels observés depuis trois ans, dont la majeure partie est apparue en corollaire de la guerre d’agression menée par la Russie en Ukraine.
Après que la Confédération a mis en garde contre les cyberattaques, les CFF ont décidé de remplacer leur logiciel russe Infotrans. Plus facile à dire qu'à faire: la Suisse manque de compétences pour développer son système et cela est très coûteux.
Un ancien ministre de Vladimir Poutine et la famille du patron d'une entreprise publique russe, impliquée dans l'effort de guerre, se retrouvent dans les données inédites repérées par la RTS. Des liens avec la place financière suisse sont mis en lumière.
Ces révélations proviennent des documents confidentiels de la société de gestion de fortune zurichoise Finaport. Tout commence en janvier 2023 lorsque l'entreprise, sponsor officiel de l'Open de tennis de Zoug, est victime d'un piratage, comme le révélait le site Watson.
Les tensions internationales actuelles causées par l’invasion de l’Ukraine par la Russie s’accompagnent d’effets dans le cyberespace. Si les combats en Ukraine sont principalement conventionnels, l’ANSSI constate l’usage de cyberattaques dans le cadre du conflit. Dans un espace numérique sans frontières, ces cyberattaques peuvent affecter des entités françaises et il convient sans céder à la panique de l’anticiper et de s’y préparer. Aussi, afin de réduire au maximum la probabilité de tels événements et d’en limiter les effets, l’ANSSI partage des bonnes pratiques de sécurité ainsi que des éléments sur la menace et invite l’ensemble des acteurs à s’en saisir. A cette fin, ce bulletin centralise et diffuse les éléments d’intérêt cyber en lien avec le contexte actuel pour favoriser le renforcement du niveau de protection de l’ensemble des entités françaises. Il sera mis à jour régulièrement.