Passwork : Le gestionnaire de mots de passe « européen » cache un lien direct avec le FSB russe
Espionnage. Un gestionnaire de mots de passe, c’est sans doute l’outil le plus rassurant du monde numérique : on y enferme en un seul endroit tout ce qui compte, accès professionnels, comptes bancaires, clés d’API, et pour beaucoup d’utilisateurs crypto, les identifiants qui protègent un portefeuille entier. Rien d’étonnant à ce qu’il soit devenu indispensable pour la gestion d’informations critiques, en entreprise comme dans l’administration.
Passwork, commercialisé depuis l’Espagne comme une solution européenne, a justement séduit des organismes publics irlandais : un laboratoire d’État, des gestionnaires de bâtiments gouvernementaux. Sauf qu’une enquête d’un consortium de médias publiée ce vendredi 17 juillet 2026 vient jeter un pavé dans cette mare bien tranquille. Le logiciel partagerait code source, manuels et calendrier de mises à jour avec une version russe homonyme, certifiée par les services de renseignement de Moscou. Autant dire que la promesse de souveraineté numérique en prend un sacré coup. On fait le point sur le travaille brillant de nos confrères.
- Un scandale a éclaté autour du gestionnaire de mots de passe Passwork, qui partage son code source avec une version russe certifiée par Moscou.
- L’enquête a révélé que ce logiciel, prétendument européen, dissimule une dépendance stratégique à la Russie, posant une menace pour la souveraineté numérique.
Passwork : made in Arkhangelsk, pas à Barcelone
L’enquête, menée par l’OCCRP en collaboration avec l’Irish Times, StateWatch en Ukraine et Le Monde en France, remonte le fil jusqu’en 2014. Tout commence dans le port subarctique d’Arkhangelsk, où deux Russes, Ilya Garakh et Andreï Piankov, déposent le nom de domaine Passwork.ru. C’est la Belotte.
Puis, le lendemain, ils enregistrent aussi la version .pro : celle qui deviendra la façade européenne du produit. Un investisseur proche du Kremlin les aide à monter une structure finlandaise dès 2017. C’est la Rebelotte.
Ensuite, en novembre 2022, dix de der’ : une société russe est créée à Arkhangelsk, avec pour clientèle des entreprises sanctionnées par l’Occident, missiliers et industriels du spatial compris. Des poupées russes commerciales, en somme, où chaque structure en cache une autre.
Comme le rapportent Le Monde et l’OCCRP dans leur enquête, les deux versions du logiciel tournent toujours sur la même base de code. Même calendrier de mises à jour. Manuels d’utilisation identiques une fois traduits. Et la version russe, elle, est homologuée par le FSB et par le FSTEC, l’agence militaire russe de contrôle technique et à l’export, rattachée au ministère de la Défense et chargée notamment de certifier les systèmes de protection de l’information. L’ours russe pointe le bout de son museau derrière un logiciel qui se voulait pourtant 100 % espagnol. Difficile de faire plus embarrassant pour un produit vendu comme purement européen.
Autre détail que l’enquête met en lumière : Alexander M. , l’actuel propriétaire de Passwork Europe, a ouvert sa société à Barcelone en août 2024, en revendiquant des droits logiciels totalement indépendants. Sauf que, comme souvent avec Moscou, le rideau de fer numérique ne tombe pas si facilement : la Russie ne lâche jamais complètement la bride sur ce qu’elle considère comme un savoir-faire national.

Vos clés privées dorment-elles à côté d’un logiciel russe ?
Voilà la question qui devrait tarauder les équipes sécurité des entreprises crypto, et pas seulement pour le mot de passe de la messagerie professionnelle. Comme le rappelait Le Journal du Coin dans son analyse sur les clés privées, talon d’Achille de la sécurité crypto, près de 40 % des pertes liées à des hacks crypto proviennent justement d’une mauvaise gestion des clés privées.
Un gestionnaire de mots de passe compromis, ou simplement suspect, n’est jamais un problème isolé : il devient la porte d’entrée vers tout ce qu’il protège. Exchanges, portefeuilles institutionnels, accès à des infrastructures de garde (custody) : tout ce qui repose sur ces coffres-forts numériques mérite un audit sérieux.
D’ailleurs, la question de savoir où stocker ses secrets crypto ne date pas d’hier : Le Journal du Coin y consacrait déjà une analyse sur la solution idéale pour conserver ses secrets liés à la crypto, qui déconseillait déjà d’y loger une seed phrase sans précaution.
Nous évoquions aussi cette montée en flèche de la menace dans son analyse sur le cyber chaos en France, où les piratages de données ont bondi de +680 %. Rien de gravé dans le marbre ne garantit qu’un outil affichant un joli drapeau européen ne cache pas, en coulisses, une dépendance stratégique à Moscou. Utiliser un tel logiciel sans le savoir, c’est un peu jouer à la roulette russe avec ses données les plus sensibles.
Muntyan a d’ailleurs reconnu que Garakh continuait d’apporter un « transfert limité de connaissances » pendant une période de transition censée s’achever en août 2026. Traduction libre : le cordon n’est pas encore coupé. Et, tant que Moscou garde un pied dans la boîte, personne ne sait vraiment quand il le sera.
Bruxelles va-t-il enfin se réveiller ?
L’affaire tombe alors que l’Union européenne multiplie les paquets de sanctions contre la Russie et martèle son discours sur la souveraineté numérique. Le Parlement européen a même remplacé Google par le moteur français Qwant sur ses ordinateurs institutionnels depuis le 4 juin 2026, dans le cadre du paquet « Tech Sovereignty » de la Commission. Un symbole qui pèse bien peu, cela dit, face à un cas comme Passwork, où la dépendance se niche dans les entrailles du code plutôt que dans le nom de la marque. Nous avions déjà pointé ce paradoxe dans notre analyse sur la souveraineté numérique européenne, où l’Europe se retrouve prise en étau entre géants américains et dépendances technologiques mal identifiées.
D’après l’enquête du consortium, plusieurs agences d’État irlandaises, dont le State Laboratory et l’Office of Public Works, utilisent encore le logiciel à l’heure où ces lignes sont écrites. Reste à savoir combien d’autres administrations, ou d’entreprises du secteur crypto, ont installé sans le savoir un outil dont la conformité européenne tient davantage du vernis que du certificat.
De Crypto AG à Kaspersky : Passwork n’invente rien
L’histoire d’un outil de confiance piloté en coulisses par un État n’a rien de neuf. Et Moscou n’a pas le monopole du procédé. Pendant plus de cinquante ans, de 1970 jusqu’à sa révélation en février 2020, la société suisse Crypto AG a vendu ses machines de chiffrement à plus de 130 pays, tous convaincus d’acheter la neutralité helvétique. En réalité, l’entreprise appartenait en secret à la CIA et au BND allemand, comme l’a établi l’enquête conjointe de la SRF, de ZDF et du Washington Post, largement reprise en français par swissinfo.ch. Jusqu’à 40 % des communications chiffrées interceptées par la NSA passaient par cette porte dérobée. Autant dire que l’idée d’un outil de sécurité vendu comme neutre mais piloté depuis une capitale étrangère n’a rien d’un fantasme de romancier d’espionnage.
Plus proche de la Russie, l’antivirus Kaspersky a connu un sort comparable côté américain : interdit dans les agences fédérales dès 2017, puis totalement banni de la vente aux États-Unis à partir de septembre 2024, comme le rappelait Le Monde Informatique, sur fond de soupçons de liens avec le FSB que l’entreprise a toujours démentis. Deux précédents, deux issues différentes, un seul point commun : la confiance numérique se mérite, elle ne se décrète pas sur une brochure marketing. Passwork n’est peut-être que le dernier chapitre d’une histoire que l’Europe refuse encore de lire jusqu’au bout.