Plus de 284 boîtes postales ont été piratées entre septembre 2024 et mars 2026 — c'est le chiffre avancé par les chercheurs britanniques et américains de Ctrl-Alt-Intel, qui ont découvert une fuite. Les pirates informatiques liés à la Russie ont commis une erreur : un serveur contenant des journaux de piratages réussis et des milliers de lettres volées s'est avéré accessible sur Internet ouvert. C'est ainsi qu'il a été découvert — pas par les services de contre-espionnage, pas par CERT-UA, mais par un groupe de recherche indépendant.

Qui a été piraté : des militants anticorruption à un hôpital à Pokrovsk

Parmi les victimes — plusieurs institutions sensibles. Les pirates ont piraté des comptes au Parquet spécialisé dans le domaine de la défense — un organe militaire qui enquête sur la corruption et l'espionnage au sein des Forces armées ukrainiennes. Au moins un employé du Parquet spécialisé anticorruption (SAP) figurait également sur la liste des victimes, bien que Reuters ne divulgue pas le nom.

L'Agence de recherche et de gestion des actifs (ARMA) a également été victime d'un piratage — une structure qui gère les biens confisqués aux corrupteurs et aux collaborateurs. Selon Reuters, parmi les boîtes compromises se trouve le compte de l'ancienne chef de l'ARMA Yaroslava Maksymenko. Au Centre de formation des procureurs, 44 boîtes ont été piratées, y compris le compte du directeur adjoint Oleg Douka.

La géographie de l'attaque s'étend au-delà de l'Ukraine. Selon Ctrl-Alt-Intel, les pirates ont également piraté au moins 67 comptes de l'Armée de l'air roumaine — y compris des comptes sur les bases aériennes de l'OTAN et au moins celui d'un officier supérieur. En outre, des attaques ont été enregistrées en Grèce, en Bulgarie et en Serbie.

«Les pirates suivaient probablement les enquêteurs pour devancer ceux qui démasquaient les agents russes, ou rassemblaient des informations compromettantes sur les fonctionnaires de Kyiv»

Keir Giles, chercheur associé au Chatham House (Londres), qui a examiné la liste des victimes

Technique — hameçonnage, attribution — contestée

Ctrl-Alt-Intel relie l'opération au groupe connu Fancy Bear (APT28, GRU RF). Cependant, deux chercheurs indépendants — Matthieu Faou d'ESET et Feike Hacquebard de TrendAI — ont confirmé un lien avec Moscou, mais divergent sur le groupe spécifique : Faou a déclaré qu'il ne pouvait pas vérifier l'implication de Fancy Bear, Hacquebard l'a niée.

• L'attaque a duré au moins de septembre 2024 à mars 2026
• Plus de 170 boîtes en Ukraine ont été piratées, au total au moins 284 dans différents pays
• Les pirates ont laissé le serveur avec les preuves en accès ouvert — c'est ce qui a permis aux chercheurs de documenter l'opération
• CERT-UA a confirmé sa connaissance d'une partie des piratages et a signalé les investigations menées

Faou d'ESET met en garde contre les exagérations : l'opération découverte, selon lui, n'est qu'une «petite partie de tout l'écosystème d'espionnage russe». C'est-à-dire que ce qui a été découvert n'est pas l'ampleur complète, mais seulement le fragment où les auteurs des malveillances ont commis une erreur.

Ce que cela signifie pour les enquêtes anticorruption

Le SAP mène des affaires qui affectent directement le pouvoir : parmi ses enquêtes les plus médiatisées — l'investigation qui en novembre 2024 a conduit à la démission du principal négociateur du président Zelenski Andriy Yermak. Si la correspondance des enquêteurs et procureurs de cette institution est réellement compromise — ce n'est pas seulement une fuite de données, mais une occasion potentielle pour Moscou d'anticiper les actions des organes anticorruption ou de préparer la pression sur les principaux acteurs des dossiers.

Toutes les organisations nommées — Maksymenko, Douka, ARMA, SAP et les parquets — n'ont pas répondu aux demandes de commentaires de Reuters.

Si CERT-UA a déjà «enquêté sur une partie des piratages», comme l'agence l'affirme — pourquoi les victimes n'ont-elles pas été informées ou d'autres institutions au profil de risque similaire n'ont-elles pas été averties publiquement ? La réponse à cette question déterminera si cet épisode a été un simple échec opérationnel des pirates — ou aussi un problème du système de réaction aux menaces de cybersécurité en Ukraine.