Cyberespionnage APT31 contre le ministère tchèque des Affaires étrangères

Le gouvernement tchèque a publiquement attribué à APT31, un groupe lié au ministère de la Sécurité d'État de Chine, une campagne de cyberespionnage de plusieurs années contre un réseau non classifié de son ministère des Affaires étrangères. L'intrusion, active depuis au moins 2022, visait une infrastructure critique nationale désignée.

Le 28 mai 2025, le gouvernement tchèque a publiquement attribué une campagne soutenue de cyberespionnage contre son ministère des Affaires étrangères à APT31, un acteur de menace soutenu par un État et associé au ministère de la Sécurité d'État de Chine. Cette attribution — appuyée par l'UE et l'OTAN — a constitué l'une des plus importantes dénonciations publiques tchèques du piratage d'État chinois à ce jour.

Ce qui s'est passé

Selon l'Agence nationale tchèque de cybersécurité et de sécurité de l'information (NÚKIB) et une déclaration conjointe du gouvernement, l'activité malveillante a débuté au plus tard en 2022 et visait l'un des réseaux non classifiés du ministère des Affaires étrangères — une institution désignée comme infrastructure critique tchèque. APT31 (également suivi sous les noms Zirconium et Judgment Panda) a un long historique de ciblage d'entités gouvernementales et politiques dans les États de l'UE et de l'OTAN à des fins de collecte de renseignement.

L'intrusion a été découverte et évaluée au moyen d'une vaste enquête conjointe menée par le Service de renseignement de sécurité (BIS) tchèque, le renseignement militaire, l'Office des relations extérieures et de l'information et le NÚKIB, qui a conclu avec un degré élevé de certitude qu'APT31 en était responsable.

Impact

La compromission a touché un réseau non classifié du ministère des Affaires étrangères, ce qui signifie que les systèmes classifiés les plus sensibles n'auraient pas été compromis.
En tant qu'opération d'espionnage, la campagne visait la collecte de renseignement plutôt que la perturbation — sans rançon, sans divulgation de données ni panne opérationnelle.
Le ciblage des communications diplomatiques d'un ministère des Affaires étrangères comportait d'importantes implications de sécurité nationale et de contre-espionnage.

Réponse internationale

L'attribution a suscité un soutien diplomatique immédiat. Les États membres de l'UE et les alliés de l'OTAN ont exprimé leur solidarité avec la République tchèque et ont appelé à l'unanimité la Chine à se comporter de manière responsable et à respecter les normes de l'ONU sur le comportement responsable des États dans le cyberespace, auxquelles elle s'était volontairement engagée. La haute direction diplomatique de l'UE a condamné la campagne comme une violation claire et inacceptable des normes internationales. La République tchèque a convoqué l'ambassadeur de Chine pour protester.

Pourquoi c'est important

L'affaire illustre la tendance de l'attribution publique comme outil stratégique : plutôt que de répondre de manière secrète, la République tchèque a choisi de nommer ouvertement APT31, en mobilisant le soutien allié pour imposer des coûts diplomatiques et réputationnels à un État commanditaire. Elle a confirmé que les ministères diplomatiques sont des cibles d'espionnage persistantes, que même les réseaux non classifiés présentent une valeur de renseignement, et que l'attribution coordonnée UE/OTAN est devenue un instrument central de la diplomatie cyber occidentale.

Chronologie

1 janvier 2022

Une activité cyber malveillante contre un réseau non classifié du ministère tchèque des Affaires étrangères débute, attribuée plus tard à APT31.

1 janvier 2024

Une enquête conjointe des services de renseignement tchèques et du NÚKIB s'emploie à identifier l'acteur et à sécuriser le réseau compromis.

28 mai 2025

Le gouvernement tchèque attribue publiquement la campagne à APT31, associé au ministère de la Sécurité d'État de Chine.

28 mai 2025

Les États membres de l'UE et les alliés de l'OTAN expriment leur solidarité, appelant la Chine à respecter les normes de l'ONU sur le comportement responsable des États.

1 mai 2025

La République tchèque convoque l'ambassadeur de Chine pour protester contre l'attaque.

Sources

nukib.gov.czhttps://nukib.gov.cz/en/infoservis-en/news/2263-the-czech-government-has-publicly-attributed-cyberattacks-to-china-actor-apt31-linked-to-the-chinese-ministry-of-state-security-has-targeted-the-infrastructure-of-the-czech-ministry-of-foreign-affairs/

mzv.gov.czhttps://mzv.gov.cz/jnp/en/issues_and_press/press_releases/statement_by_the_government_of_the_czech.html

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/czechia-blames-china-for-ministry-of-foreign-affairs-cyberattack/

securityaffairs.comhttps://securityaffairs.com/178399/apt/czech-republic-accuses-chinas-apt31-of-a-cyberattack-on-its-foreign-ministrys-unclassified-network.html

Incidents liés

EspionnageContenu16 mars 2026

Cyberattaque liée à l'Iran contre LA Metro (LACMTA) (2026)

Des pirates liés à l'Iran ont compromis l'agence de transport LA Metro en mars 2026, dérobant au moins 700 Go de données internes et perturbant l'information voyageurs et la billettique TAP.

Victim: Los Angeles County Metropolitan Transportation Authority

EspionnageContenu4 octobre 2024

Campagne d'espionnage Salt Typhoon contre les télécoms américains (2024)

Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.

Victim: Opérateurs de télécommunications américains (Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications, Windstream)

EspionnageContenu15 mai 2023

Vol de clé de signature Microsoft par Storm-0558 et accès aux courriels du gouvernement américain (2023)

Storm-0558, basé en Chine, a falsifié des jetons d'authentification à l'aide d'une clé de signature grand public Microsoft volée et a lu les courriels d'environ 25 organisations — dont le Département d'État américain, le Département du Commerce et l'ambassadeur des États-Unis en Chine. La « cascade d'erreurs » qui l'a rendu possible est devenue un cas emblématique de la garde des clés par les fournisseurs cloud.

Victim: Clients Microsoft (Département d'État américain, Département du Commerce, ~25 organisations)

EspionnageRésolu26 juillet 2022

Scandale de surveillance grec « Predatorgate »

Le scandale d'écoutes grec « Predatorgate » a révélé l'usage du logiciel espion Predator d'Intellexa/Cytrox et d'une surveillance légale parallèle contre des journalistes, politiciens et fonctionnaires, faisant tomber des chefs du renseignement et aboutissant aux condamnations historiques de 2026.

Victim: Journalistes, politiciens et fonctionnaires grecs