assez ensoleillé23°
DE | FR
burger
Suisse
Espionnage

Ruag a payé ses hackers: l'affaire est plus explosive que prévu

Le groupe d'armement suisse Ruag a payé une rançon pour récupérer des données volées par le groupe de hackers russes Akira, proche des services de renseignements russes
Schwere Turbulenzen: Bundesrat Martin Pfister (hier im Flugsimulator) ist als VBS-Chef für den skandalgeplagten Schweizer Rüstungskonzern zuständig. Image: watson/agence

Poutine pourrait avoir mis la main sur des données volées chez Ruag

Ruag a payé un groupe de hackers russe pour éviter la publication de données volées. L'affaire pourrait être bien plus grave qu'il n'y paraît. On fait le point.
16.06.2026, 18:5216.06.2026, 18:52
Daniel Schurter
Daniel Schurter

A Ruag, le groupe d'armement suisse détenu par la Confédération, les déclarations de la direction au sujet d'un vol de données subi par sa filiale américaine révèlent une méconnaissance préoccupante de certains aspects de la cybersécurité.

Car des informations confidentielles seraient toujours détenues par des criminels. Pire encore, certaines pourraient déjà avoir atterri dans les mains des services de renseignement russes. Nous avons enquêté sur cette affaire.

POUR ALLER PLUS VITE
Les faitsLa victimeLes données voléesLa rançonLes auteursLes données de Ruag se trouvent-elles à Moscou?Ruag garde le silencePourquoi il est déconseillé de payer une rançonLes précédentes cyberattaques russes contre Ruag

Les faits

A l'origine de la polémique: en 2025, les responsables de Ruag ont cédé aux exigences de maîtres chanteurs en ligne. Ils ont versé une rançon pour récupérer des données volées dans une filiale américaine. Cette décision est intervenue après que le groupe de hackers Akira a menacé de publier les fichiers dérobés sur le dark web.

Ruag a payé une rançon à des hackers
  • Premier problème: l'Office fédéral de la cybersécurité recommande expressément de ne jamais céder au chantage, car les paiements financent directement les organisations criminelles.
  • Deuxième problème: le Département fédéral de la défense, de la protection de la population et des sports (DDPS), représentant de la Confédération en tant que propriétaire de l'entreprise, n'a pas été consulté avant le versement de la rançon.

Mais le principal problème n'a jusqu'ici été évoqué ni dans les articles consacrés à l'affaire ni dans les réactions de certains parlementaires:

  • Premièrement, les responsables de Ruag pensent-ils réellement que les cybercriminels ont intégralement supprimé les données volées après avoir reçu la rançon?
  • Deuxièmement, le paiement a-t-il permis d'empêcher non seulement la publication des «informations confidentielles» sur le dark web, mais aussi leur transmission discrète à des tiers?

Tout cela serait bien naïf.

Même si Ruag a versé une rançon et qu'Akira n'a pas divulgué les données sur son site, cela signifie uniquement que celles-ci n'ont pas été rendues accessibles au grand public. Rien n'empêche les auteurs de l'attaque d'en avoir conservé des copies ou de les avoir transmises à d'autres acteurs.

Le président du conseil d'administration de Ruag, Jürg Rötheli, a déclaré à la SRF:

«Nous avons payé et, heureusement, récupéré l'ensemble des données»

Face aux critiques, les responsables du groupe ont défendu leur décision. Selon eux, ce choix était le bon. Ils ont affirmé avoir pu «réduire au minimum les dommages financiers et les risques pour la sécurité». Comment peuvent-ils en être aussi certains?

En réalité, l'idée même qu'il serait possible de «récupérer» des données volées est une illusion trompeuse. En versant une rançon, Ruag n'a obtenu qu'une promesse temporaire de la part de criminels: celle de ne pas publier les données dans l'immédiat.

Cela relève d'une illusion psychologique que le secteur de la cybercriminalité entretient délibérément afin de donner aux victimes le sentiment qu'elles gardent une forme de contrôle et qu'elles peuvent limiter les dégâts. Dans le monde numérique, les données ne sont jamais véritablement restituées: dès qu'elles sont piratées, il en existera toujours des copies quelque part, potentiellement en nombre illimité.

La victime

La société Ruag LLC, anciennement Mecanex USA, est une filiale américaine de Ruag. Les données dérobées proviennent donc d'un environnement militaire ou étroitement lié à l'industrie de l'armement.

Darknet-Leak-Site der Ransomware-Bande Akira. Screenshot: watson (Juni 2026).
Les menaces diffusées par le groupe Akira sur le dark web en novembre 2025.image: capture d'écran watson

Les données volées

Les cybercriminels affirmaient avoir dérobé, lors de leur attaque, des données personnelles, des «informations militaires confidentielles» ainsi que «de nombreux contrats et accords, y compris militaires». Selon Akira, le volume atteignait 24 gigaoctets (Go), une quantité relativement faible dans l'absolu, mais qui peut représenter des millions de pages s’il s’agit de fichiers texte. De plus, ce volume ne dit rien de la valeur ni du caractère sensible des informations volées.

Ruag touchée par un incident de cybersécurité aux Etats-Unis

Lors de ce que les spécialistes appellent l'«exfiltration» de données, les pirates sont sous pression de temps. Le but est de soutirer les informations les plus sensibles en un minimum de temps. Dans un premier temps, les pirates utilisent des scripts automatisés pour rechercher des termes tels que «Conseil d'administration» ou «Confidentiel». Puis, ils dérobent ces fichiers cruciaux, et uniquement ceux-ci, ce qui explique pourquoi la quantité de données volées est assez faible.

Au vu des éléments connus, les serveurs de Ruag LLC n'ont pas été endommagés par la cyberattaque. L'entreprise n'a donc pas payé parce que son activité était interrompue et qu'il fallait restaurer les systèmes. Il ne s'agit que d'un vol de données.

La rançon

On ignore pour quelle raison Ruag a payé. Le groupe a fait savoir que le versement de la rançon a permis de «réduire au minimum les dommages financiers et les risques pour la sécurité». Les responsables du groupe cherchaient-ils à éviter un préjudice réputationnel majeur? Craignaient-ils que des informations sensibles concernant la filiale américaine ne soient rendues publiques?

La méthode la plus couramment utilisée consiste à transférer automatiquement les données volées vers des plateformes de stockage cloud grand public et parfaitement légales. Les attaquants ont-ils ensuite détruit l'infrastructure des serveurs et effacé les sauvegardes, rendant irrécupérables des données essentielles à l'activité de l'entreprise? Ce scénario paraît hautement improbable.

Les auteurs

Spoiler alert: les indices mènent vers la Russie et des liens avec les services de renseignement russes. Pour comprendre cela, il faut s'intéresser au fonctionnement d'Akira. Il s'agit d'un groupe de cybercriminels spécialisés dans le modèle dit «ransomware-as-a-service» (RaaS).

Son modèle criminel repose sur la collaboration avec des partenaires indépendants, ou «affiliés». Ce sont eux qui mènent concrètement les attaques informatiques. Le noyau dur de l'organisation est composé d'individus qui louent ou vendent leur logiciel malveillant ainsi que l'infrastructure nécessaire aux attaques, sous forme d'abonnement. Ce système permet à des acteurs moins expérimentés sur le plan technique de mener des opérations de cyber-extorsion complexes.

Des analyses réalisées par plusieurs entreprises de cybersécurité montrent qu'Akira fonctionne selon une répartition des tâches très structurée. Même si le noyau dur du groupe respecte un accord conclu avec une victime, rien n'empêche les affiliés d'avoir conservé leurs propres copies des données.

Les hackers pro-russes prennent à nouveau d'assaut la Suisse

Autre élément établi: l'infrastructure centrale d'Akira a été exploitée pendant plusieurs années par d'anciens membres du groupe russophone de hackers Conti. Après l'invasion de l'Ukraine par la Russie en 2022, le groupe Conti avait publiquement et clairement pris parti pour l'agresseur. Dans un communiqué diffusé sur le dark web, il affirmait sa loyauté envers le gouvernement russe de Vladimir Poutine et menaçait l'Occident d'attaques contre des «infrastructures critiques».

Selon plusieurs témoignages internes, cette prise de position pro-russe avait provoqué des tensions avec les membres ukrainiens du groupe. Conti avait alors édulcoré son communiqué. Mais le mal était déjà fait et un chercheur ukrainien en cybersécurité, qui serait parvenu à accéder aux serveurs de Conti, a ensuite publié les communications internes du groupe sur Internet. Celles-ci montrent que l'organisation entretenait des liens directs avec des membres des services de renseignement russes.

De mèche avec l'Etat
En 2022, le département recherche et analyse de l'entreprise de cybersécurité Trellix a passé au crible les «Conti Leaks». Elles montrent que la direction du groupe entretenait vraisemblablement des contacts directs avec des officiers du FSB, le service de renseignement intérieur russe.

Les chercheurs de l'entreprise de cybersécurité Mandiant ont étudié la structure du groupe Conti. Leurs travaux mettent en évidence la porosité entre le chantage à but lucratif et l'espionnage toléré par l'Etat: le réseau criminel transmettait aux autorités des données présentant une valeur stratégique.
infobox image
Vladimir Poutine est lui-même un agent de renseignement chevronné.Bild: keystone

Les données de Ruag se trouvent-elles à Moscou?

Rien ne permet de l'affirmer publiquement. Le risque que des données aient été transmises à des organismes étatiques russes doit toutefois être considéré comme réel et élevé. Plusieurs éléments structurels vont dans ce sens:

  • La coopération: les groupes de hackers comme Akira peuvent opérer depuis le territoire russe sans être véritablement inquiétés, à condition de ne pas s'en prendre à des cibles situées en Russie ou dans les Etats de la CEI. En échange de cette tolérance, Moscou attend des cybercriminels qu’ils coopèrent, si nécessaire, avec les services secrets russes (FSB, GRU).
  • L'intérêt militaire: lorsqu'un groupe de hackers s'empare des données d'un fabricant d'armement occidental, cela suscite automatiquement l'intérêt des autorités. Il est hautement probable que les services de renseignement russes cherchent à obtenir l'accès à de tels jeux de données – soit en donnant des instructions directes aux responsables d'Akira, soit en les rachetant aux criminels.

On ignore si Ruag a déposé une plainte pénale aux Etats-Unis. Le Ministère public de la Confédération n'a pas été saisi du dossier.

Ruag garde le silence

Le service de presse du groupe d'armement suisse n'a pas souhaité répondre à nos questions spécifiques. Son porte-parole, Fabian Vogt, a répondu laconiquement:

«Les faits sont actuellement examinés en collaboration avec le DDPS. Nous ne pouvons fournir aucune information complémentaire tant que cette enquête n’est pas terminée»

Pourquoi il est déconseillé de payer une rançon

Si les autorités et les spécialistes de la sécurité déconseillent de payer, ce n'est pas seulement pour des raisons éthiques ou politiques, mais aussi en raison d'un fait indéniable: les réseaux criminels ne respectent jamais leurs engagements.

«Ruag avait peut-être de bonnes raisons de verser une rançon. Mais dans ce cas, le groupe devrait expliquer sa décision. Cela pourrait même avoir des effets positifs, notamment celui de lancer un débat public sur la gestion des attaques par rançongiciel, qui permettrait de sensibiliser davantage le monde économique»
Lukas Mäder, NZZ

Les précédentes cyberattaques russes contre Ruag

Ces dix dernières années, le groupe Ruag a déjà été à la cible de cyberattaques. Dans certains cas, les indices pointaient clairement vers des acteurs russes.

En 2016, les systèmes informatiques du groupe ont été infectés par un logiciel d'espionnage particulièrement sophistiqué. Les analyses des services de renseignement ont montré que l'attaque remontait à décembre 2014 et qu'elle était restée longtemps inaperçue. Elle a été attribuée à un groupe de hackers russes, connu dans les milieux spécialisés sous le nom d’APT28 ou Fancy Bear.

En 2021, un nouvel incident a été révélé dans le cadre de la scission du groupe, voulue par les autorités, entre une entité nationale et une entité internationale. Des pirates ont réussi à pénétrer dans le réseau de Ruag International. L'audit externe ordonné par la suite a mis au jour de graves lacunes en matière de sécurité.

En 2024, Ruag et le DDPS ont été touchés par une fuite de données survenue chez un fournisseur. Un sous-traitant américain des Forces aériennes suisses a été piraté par le groupe de rançongiciels ALPHV, également connu sous le nom de BlackCat, aujourd'hui dissous. Selon les analystes en cybersécurité et les enquêteurs, ce groupe avait ses racines dans l'espace russophone. Les auteurs ont dérobé quelque 30 gigaoctets de données. Des contrats, des courriels et des justificatifs de paiement ont ensuite été publiés sur le dark web.

(traduction: mrs)

L'actu en Suisse c'est par ici
Les vols de vélos explosent en Suisse: voici la ville la plus ciblée
2
Les vols de vélos explosent en Suisse: voici la ville la plus ciblée
de Bruno Knellwolf
Immigration: «Nous ne devons pas mettre la prospérité suisse en péril»
2
Immigration: «Nous ne devons pas mettre la prospérité suisse en péril»
de Benjamin Rosch, Stefan Bühler
Examens pendant le G7: voici ce qui est prévu pour les étudiants
Examens pendant le G7: voici ce qui est prévu pour les étudiants
de Antoine Menusier
«Je veux servir la Suisse comme je l'entends»: on a suivi un civiliste
2
«Je veux servir la Suisse comme je l'entends»: on a suivi un civiliste
de Alexandre Cudré
Thèmes
Le témoignage de deux manifestantes anti-G7
Video: watson
Ceci pourrait également vous intéresser:
Avez-vous quelque chose à nous dire ?
Avez-vous une remarque ou avez-vous découvert une erreur ? Vous pouvez nous transmettre votre message via le formulaire.
0 Commentaires
Connexion
user avatar
Votre commentaire
YouTube Link
0 / 600
Vers les règles des commentaires..
Attention à cette vague d'arnaques près de Lausanne
Des fausses amendes de stationnement et de faux avis de passage de la Poste ciblent dernièrement les automobilistes et les habitants dans l'Ouest lausannois. La police vaudois met en garde.
La région de l'Ouest lausannois est victime d'une vague de fausses amendes de stationnement, a averti mardi la police vaudoise, notamment à Crissier, Renens et Bussigny. Ces fausses amendes incitent les destinataires à scanner un Code-QR pour prétendument régler une amende de stationnement.
L’article