En bref

  • Reuters révèle le 16 avril 2026 la compromission de plus de 170 boîtes mail de procureurs et enquêteurs ukrainiens par des hackers liés à la Russie.
  • 284 intrusions documentées entre septembre 2024 et mars 2026 sur des infrastructures de justice ukrainienne et de pays voisins.
  • Cible probable : renseignement sur les enquêtes pour crimes de guerre et la coopération judiciaire internationale.

Les faits

Le 16 avril 2026, Reuters a publié une enquête révélant qu'un groupe d'attaquants lié à la Russie avait compromis plus de 170 comptes email de procureurs et enquêteurs en Ukraine. Les logs analysés par les chercheurs documentent au moins 284 intrusions distinctes dans des boîtes mail entre septembre 2024 et mars 2026, touchant l'Ukraine et plusieurs États voisins de l'OTAN. Les victimes incluent des magistrats du parquet général ukrainien et des enquêteurs de la police nationale chargés des dossiers de crimes de guerre.

L'attribution pointe vers un cluster aligné avec les intérêts de Moscou, sans qu'un nom de groupe précis (APT28, APT29, Sandworm) n'ait été confirmé publiquement par CERT-UA au 16 avril. Les vecteurs d'accès initiaux identifiés combinent password spraying contre Microsoft 365, exploitation de tokens OAuth volés via phishing, et abus de comptes administratifs faiblement protégés. Plusieurs intrusions ont permis l'exfiltration de pièces jointes et la lecture de fils de discussion entiers, sans déclencher d'alerte.

Impact et exposition

Les conséquences vont bien au-delà de l'Ukraine. Les boîtes mail des procureurs contiennent des éléments sensibles sur les enquêtes en cours pour crimes de guerre, des échanges avec Eurojust, la Cour pénale internationale et les services partenaires des États membres de l'UE. Une fuite peut compromettre des témoins, dévoiler des stratégies d'enquête et exposer des sources humaines. Pour les juridictions européennes coopérant avec Kiev, cet incident impose une revue immédiate des canaux d'échange : tout document partagé par email avec un magistrat ukrainien depuis septembre 2024 doit être considéré comme potentiellement compromis.

Recommandations

  • Pour les juridictions européennes en lien avec l'Ukraine : auditer immédiatement les comptes correspondants et basculer sur des canaux chiffrés bout-en-bout (Signal, Element).
  • Activer la MFA résistante au phishing (FIDO2, clés matérielles) sur tous les comptes administratifs et magistrats ; bannir SMS et notifications push simples.
  • Configurer des alertes M365 sur les connexions depuis des géolocalisations atypiques et les activités de download massif via OAuth apps.
  • Réviser la liste des applications OAuth tierces autorisées dans le tenant et révoquer celles non strictement nécessaires.

Alerte critique

Le ciblage de magistrats nationaux par un acteur étatique constitue une escalade dans la guerre informationnelle. Les juridictions françaises et européennes en lien avec l'Ukraine doivent traiter cet incident comme un signal d'alarme et non comme une affaire ukrainienne.

Comment des comptes M365 protégés par MFA peuvent-ils être compromis ?

Trois vecteurs principaux : MFA fatigue (l'utilisateur valide une notification par lassitude), phishing AiTM (Adversary-in-the-Middle qui capture le cookie de session après MFA légitime), et abus d'OAuth apps qui contournent l'étape MFA après un consentement initial trompeur. Seuls les facteurs FIDO2 résistent à ces attaques.

La France est-elle directement concernée par cette campagne ?

Pas de victimes françaises confirmées au 16 avril, mais les magistrats français qui coopèrent sur les dossiers de crimes de guerre via Eurojust ou la CPI sont des cibles cohérentes pour le même acteur. L'ANSSI et le CERT-FR disposent d'éléments à diffuser sur demande aux SI judiciaires concernés.

Vos cadres dirigeants sont-ils protégés contre le phishing avancé ?

Ayi NEDJIMI conduit des audits de sécurité ciblés sur les comptes à privilèges et les flux email sensibles, avec des recommandations actionnables.

Demander un audit