On ne va pas se mentir, la fin d’année 2025 a eu un goût de cendre numérique pour l’État français. Ce qui s’est passé au Ministère de l’Intérieur au début du mois de décembre, ce n’est pas juste un « incident » de plus à ranger dans la case faits divers ; c’est le crash-test grandeur nature de notre souveraineté numérique, et le résultat est flippant. On pensait la « Place Beauvau » imprenable, gardienne de nos secrets les plus lourds. Résultat ? On découvre qu’elle était défendue par des serrures rouillées.
Pour bien comprendre l’étendue des dégâts, je me propose de vous présenter dans la seconde partie de cet article, la chronologie de l’attaque, comment elle a été détectée et l’identification des failles structurelles ayant permis l’exfiltration. Toutes les informations rassemblées ici, étant celles parues de manières éparses dans la presse. Aucune n’a été démenti par une autorité de l’Etat lors de leurs publications.
A retenir
Obsolescence – Utiliser un logiciel de 2008 pour défendre la France en 2025, c’est comme fermer une banque avec un bout de ficelle.
TAJ – Plus qu’une base de données, c’est la vie intime des victimes et des témoins qui se retrouve potentiellement en solde sur le Dark Web.
Indra – On imaginait une cyber-armée étrangère, on a trouvé un gamin de 22 ans énervé dans sa chambre à Limoges.
Négligence – S’envoyer des mots de passe sensibles par email au sommet de l’État, ce n’est plus une boulette, c’est un sabotage (in)volontaire.
Quand la « Grande Muette » se fait hacker
Imaginez le tableau. On est au cœur du réacteur, là où sont stockés les fichiers de la Police, de la Gendarmerie, du Renseignement. Et boum. Une intrusion. Pas par des génies du mal planqués dans un bunker en Sibérie, mais via un scénario qui sent l’amateurisme éclairé et la vendetta.
L’attaquant, qui se fait appeler « Indra » (un pseudo piqué à un groupe d’élite pour se donner un genre), n’a pas utilisé une technologie du futur. Non, il a profité d’une faille béante : la vétusté. On parle d’un logiciel interne déployé en 2008. Oui en 2008 ! L’époque où l’iPhone n’avait même pas l’App Store. En informatique, c’est le Pléistocène. Ce truc servait à connecter tout le monde (Préfectures, Défense, Assemblée), une sorte de super-autoroute sans péage ni contrôle de sécurité moderne.
Le pire ? C’est le facteur humain. Le ministre Laurent Nuñez a parlé de manque « d’hygiène numérique ». En clair : des mots de passe balancés par mail, pas de double authentification (MFA) sur des accès critiques… C’est comme laisser la clé sous le paillasson de l’Élysée. Avec un parcours fléché vers le bunker sous l’Elysée pour lancer des missiles atomiques.
Le cauchemar des fichiers TAJ et FPR
C’est là que ça devient vraiment craignos. On ne parle pas de vols de numéros de sécu (déjà grave), mais du cœur de la machine judiciaire.
Le TAJ (Traitement des Antécédents Judiciaires), c’est la mémoire de toutes les enquêtes. Victimes, suspects, témoins. Si ces données se retrouvent dans la nature, c’est la porte ouverte au chantage pur et simple. Imaginez une victime de violences conjugales dont l’adresse et le témoignage fuitent. Ou un témoin clé dans une affaire de grand banditisme dont le nom apparaît sur le Dark Web. C’est une bombe à retardement sociale.
Et puis il y a le FPR (Fichier des Personnes Recherchées). Savoir qui est fiché S, qui est sous écoute… Pour le crime organisé, c’est de l’or en barre. C’est la capacité de savoir exactement où ne pas aller.
Il y a une guerre des chiffres ridicule entre le ministère qui jure que ce n’est « que quelques dizaines de fiches » et les pirates (car oui les premiers jours on parlait de nombreux individus) qui revendiquent des millions de dossiers. La vérité ? Elle est probablement entre les deux, mais même 0,000001% de fuite, c’est déjà une catastrophe irréversible.
« Indra » : Le mythe et la réalité du gamin de Limoges
L’enquête a été fulgurante, il faut le reconnaître. En cinq jours, l’Office Anti-Cybercriminalité (OFAC) a logé le suspect. Et là, surprise : pas de commando paramilitaire, mais un jeune de 22 ans, vivant chez sa mère à Limoges. Devait avoir encore son doudou de planqué sous l’oreiller. Voyez le tableau ?
C’est tout le paradoxe de la menace actuelle, un peu à la mode « Lapsus$ ». Un gamin brillant mais paumé, qui cherche la gloire (« le clout ») sur Telegram et Discord. Ce suspect voulait venger ses « potes » du groupe ShinyHunters1, récemment décapité par la justice (on se souvient de l’affaire Sébastien Raoult). C’est presque du cyber-terrorisme émotionnel : « Vous avez pris nos amis, on prend vos secrets« . Sauf que les conséquences, elles, sont bien réelles.
L’État passoire : Chronique d’un effondrement (2024-2025)
Ce qui est tragique, c’est que ce n’est pas un cas isolé. Si on dézoome un peu, on réalise que l’administration française prend l’eau de toutes parts depuis deux ans. Au niveau des données informatiques. C’est systémique. On a centralisé toutes nos données (une obsession française), créant des cibles géantes, mais on a oublié de payer les gardiens ou de réparer les murs. Pire, on ne forme pas le personnel ou si peu sur les dangers de l’emploi de l’informatique.
Regardez cette série noire, c’est hallucinant quand on y pense :
Pour résumer visuellement ce carnage administratif, voici ce qu’on a subi coup sur coup . Et je ne vous parle même pas des entreprises publiques ou privées, hôpitaux et autres :
- Mars 2024 – France Travail : 43 millions de personnes exposées. En gros, presque tous les actifs français.
- Juillet 2025 – KAIROS : Les données de formation professionnelle dans la nature.
- Octobre 2025 – Ministère du Travail : Les jeunes en insertion ciblés via les Missions Locales.
- Novembre 2025 – URSSAF/Pajemploi : 1,2 million de particuliers employeurs touchés. Vos données bancaires, potentiellement.
- Décembre 2025 – Ministère de l’Intérieur : de quelques dizaines à plusieurs dizaine de millions d’identités.
- Décembre 2025 – Ministère des sports, de la jeunesse et de la vie associative : 3,5 millions de foyers et cela concerne les noms, prénoms ou adresses e-mail des personnes bénéficiaires du Pass’Sport.
Un vrai carnage au format cinémascope
En gros on atteint les cinquante millions de données personnelles (identités complètes avec nom-prénom-date de naissance-filiation-antécédents judiciaire-plainte-etc…. , adresse postale et électronique, adresse employeur, numéro Sécurité Sociale, …………………….. ). Cela commence à faire beaucoup ! Pour l’intrusion sur le site du Ministère des sports, de la jeunesse et de la vie associative, on ne dit pas vol de données mais « exfiltration de données » non sensibles. Donc ils n’ont pas volé en son temps des bijoux au Louvre mais exfiltré une parure de diamants. On lui faire dire ce que l’on veut à langue française.
Même l’IA a compris la subtilité
Posant la question à Gemini pour me définir la différence entre le vol et l’exfiltration, il m’a été répondu « Les entreprises ou administrations victimes (comme celles attaquées par ShinyHunters) utilisent un vocabulaire spécifique pour protéger leur image et/ou leur cours en bourse. C’est du marketing de crise :
- On ne dit pas « On s’est fait pirater », on dit « Accès non autorisé ».
- On ne dit pas « Vol massif », on dit « Incident de sécurité ».
- On ne dit pas « Les pirates ont tout pris », on dit « L’intégrité des données a été compromise ».
Utiliser « exfiltration » permet de mettre l’entreprise dans une position de victime d’une attaque technique sophistiquée, plutôt que dans celle d’un gardien incompétent qui s’est laissé « dérober » les bijoux de la couronne. »
Un peu de droit français
En droit pénal français, la définition pour ce qui concerne le vol est extrêmement précise. Selon l’article 311-1 du Code pénal, le vol est défini comme :
Un contenu de qualité, sans publicité.
Vous aimez notre travail ? Soutenez notre indépendance en devenant membre sur Patreon.
Soutenir MyChromebook.fr« La soustraction frauduleuse de la chose d’autrui. »
Pour que l’infraction de vol soit constituée, trois conditions cumulatives (éléments constitutifs) doivent être réunies :
- L’élément matériel (La soustraction) : Il doit y avoir un enlèvement ou un déplacement de l’objet. L’auteur doit s’emparer de la chose contre le gré de son propriétaire.
- L’élément moral (L’intention frauduleuse) : L’auteur doit avoir la conscience de commettre une infraction et la volonté de se comporter comme le propriétaire de la chose (s’approprier le bien).
- L’objet (La chose d’autrui) : Le bien doit appartenir à quelqu’un d’autre. On ne peut pas voler sa propre affaire, ni une chose qui n’appartient à personne (res nullius).
Et maintenant ?
La réaction officielle oscille entre la police qui fait un boulot de titan (tu parles, ils n’ont fait que leur travail et bien petitement) pour arrêter le coupable et la communication politique qui rame pour minimiser l’impact « Tout va bien, dormez braves gens« . Mais juridiquement, l’État est sur un siège éjectable. Le RGPD, ça s’applique aussi à eux. Si demain une victime est agressée parce que son adresse a fuité du TAJ, la responsabilité de la puissance publique sera engagée. Preuve en est, la communication gouvernementale c’est « Circulez, il n’y a rien à voir !« . En interne et en le disant sans que cela s’entende, c’est « Surtout que personne ne moufte, sinon c’est la cata !« .
La sécurité est traitée comme la cinquième roue du carrosse
Il faut arrêter avec la doctrine de la « Ligne Maginot ». On ne peut plus faire confiance à personne, même en interne. Il faut passer au « Zero Trust » : on vérifie tout, tout le temps. Et surtout, il faut arrêter de traiter la cybersécurité comme un coût ou une contrainte administrative, alors que c’est devenu la condition sine qua non de notre sécurité physique. Bien sûr, cela demande du personnel et là, c’est plutôt la période « on écrème !« . Dommage, voilà ce qui arrive. Et puis revoir toutes les applications, protocoles mis en place. Ne serait-ce qu’au sein du Ministère de l’Intérieur. Le nombre de fonctionnaires râlant si ce n’est plus, car le changement mensuel du mot de passe vient de s’opérer, je ne vous dis pas ! On veut faire appliquer dehors la loi ainsi que le formalisme administratif, mais on n’est pas capable de le faire pour soit-même.
L’arrestation du hacker de Limoges est une victoire tactique, bravo à la BRI. Mais la défaite stratégique, elle, est consommée. Nos données sont dehors, et elles ne rentreront pas. Pour finir plusieurs questions. Et si cette attaque avait été coordonné par des hackers professionnel et non par un gamin de 22 ans ? Peut-on imaginer qu’ils seraient passé sous les radars des services de sécurité du système d’information (SSI) du Ministère de l’Intérieur ? Pire, est-ce que justement cette négligence sécuritaire était-elle connue des services étrangers qui auraient pu l’utiliser dans le passé ? On n’ose pas imaginer !!
Chronologie de l’attaque et arrestation de l’attaquant
11 Décembre 2025 : L’alerte silencieuse. Les services de sécurité du système d’information (SSI) du Ministère de l’Intérieur détectent des anomalies de trafic et des comportements atypiques sur les serveurs de messagerie. Ces signaux faibles, qualifiés en interne d' »activités suspectes », déclenchent les premières procédures de confinement. À ce stade, aucune information ne filtre, une posture classique de « défense silencieuse » visant à ne pas alerter l’adversaire pendant que les experts tentent de cartographier l’étendue de la compromission.
12 Décembre 2025 : La confirmation officielle. Face à la montée en puissance des rumeurs et probablement alerté par des revendications précoces sur le Dark Web, le Ministre de l’Intérieur, Laurent Nuñez, intervient sur RTL. Il confirme l’attaque tout en adoptant une communication de minimisation, évoquant une cible restreinte aux « messageries » et niant une compromission « grave » des données sensibles. Cette déclaration initiale, bien que politiquement nécessaire pour éviter la panique, sera rapidement mise à l’épreuve par les révélations techniques ultérieures.
13-16 Décembre 2025 : L’escalade et la revendication. Durant le week-end, la nature de l’incident change de dimension. L’attaquant « Indra » publie sur BreachForums des preuves de concept (samples) et revendique la possession de millions de fiches. L’ultimatum est posé, transformant l’incident technique en crise d’extorsion ouverte
Le fautif
Selon les informations techniques disponibles, le point d’entrée initial ou le vecteur de propagation serait une messagerie ou un logiciel interne déployé initialement en 2008. En informatique, une application métier critique n’ayant pas subi de refonte architecturale majeure en 17 ans (2008-2025) représente un risque systémique. Ces systèmes « Legacy » sont souvent incompatibles avec les protocoles de sécurité actuels tels que l’authentification multifacteur (MFA) native ou le chiffrement de bout en bout.
Ce logiciel avait pour vocation de connecter les préfectures, le Ministère de la Défense et l’Assemblée Nationale. Cette interconnexion, conçue pour l’efficacité administrative, est devenue un vecteur de propagation latérale. Une compromission sur un point périphérique (une préfecture moins sécurisée) a pu permettre aux attaquants (au début la presse parlait de plusieurs personnes) de remonter les flux jusqu’au cœur du réseau du Ministère de l’Intérieur.
Une incapacité a comprendre les risques
L’attaquant a vraisemblablement ciblé des agents spécifiques via des courriels piégés pour dérober leurs identifiants de messagerie. Une fois à l’intérieur des boîtes mail, le pirate ont trouvé des codes d’accès et des mots de passe pour les applications métiers (TAJ, FPR) stockés en clair ou échangés par email entre agents. Cette pratique, bien que formellement interdite par les politiques de sécurité des systèmes d’information de l’État (PSSIE), persiste souvent pour des raisons de commodité opérationnelle. Encore une fois, un manque complet de formation régulière des agents quel que soit leurs responsabilité et considérant les mots de passes et autres comme des freins à aller à l’essentiel.
L’annonce, post-mortem, de la mise en place d’une « double authentification systématique » confirme en creux que cette barrière n’était pas active partout avant l’attaque. Le paradoxe, quand vous allez sur cybermalveillance.gouv.fr/ on nous « bassine » sur la sécurité de nos données. Par contre, l’Etat ou plutôt l’administration fait tout et n’importe quoi ! Cherchez l’erreur. L’absence de MFA sur des accès distants (VPN ou Webmail) est aujourd’hui considérée comme une négligence grave.
La riposte
Le parquet de Paris, via sa section J3 (lutte contre la cybercriminalité), a ouvert une enquête pour « atteinte à un système de traitement automatisé de données » (STAD) en « bande organisée« . Cette qualification de bande organisée est cruciale : elle permet des gardes à vue de 96 heures et des moyens d’enquête spéciaux (écoutes, perquisitions numériques). Bref, ils ont mis le paquet. Assurément le ministre de l’Intérieur devait être vexé. Comme les SSI.
L’Office Anti-Cybercriminalité (OFAC), service spécialisé de la Direction Nationale de la Police Judiciaire, a mené les investigations techniques. En traçant les adresses IP, en analysant les logs de connexion aux messageries compromises et en infiltrant potentiellement les canaux de discussion des pirates, ils ont pu identifier le suspect en moins de 5 jours après la confirmation de l’attaque.
L’intervention de la Brigade de Recherche et d’Intervention (BRI) à Limoges témoigne de la dangerosité potentielle attribuée au suspect, ou du moins de la volonté de sécuriser les preuves numériques avant qu’elles ne soient détruites à distance.
Et le bilan de tout cela ?
L’Etat a longueur d’année nous « bassine » pour que nous appliquions une sécurité toujours plus importante de nos données. Mais de son côté, elle laisse ouverte les portes de la citadelle en donnant même les clés à l’assaillant. On pourra me dire que des notes remontées au MI (Ministère de l’Intérieur) indiquaient le risque. Que des appels d’offres au près de sociétés privées avaient lieu pour trouver le meilleur outil.
Que…. tiens cela ne vous rappelle pas ce que l’on nous avait servit après le cambriolage du Louvre ? Nos députés ont-ils prévu de créer une commission parlementaire comme ce fut le cas après le casse du musée ? J’en doute et pour une seule raison : on a trop peur de déterrer des cadavres dans les placards.
- ShinyHunters est l’une des organisations les plus tristement célèbres en matière de vol numérique .
C’est un groupe de cybercriminels (hackers « black hat ») actif depuis 2020, spécialisé dans le piratage de bases de données d’entreprises et la revente de ces informations sur le Dark Web.
Voici ce qu’il faut savoir sur eux, notamment leur lien important avec la France :
1. Leur « Spécialité » : Le vol de données massif
Contrairement aux groupes qui bloquent les ordinateurs pour demander une rançon (Ransomware), ShinyHunters opère différemment :
Mode opératoire : Ils repèrent des failles de sécurité, souvent dans des comptes de stockage Cloud mal protégés (comme Amazon S3 ou GitHub) ou via des identifiants volés.
L’objectif : Exfiltrer des millions de données utilisateurs (emails, mots de passe, données bancaires) pour les revendre sur des forums pirates (comme RaidForums ou BreachForums).
2. Leurs victimes célèbres
Ils ont revendiqué le piratage de dizaines d’entreprises majeures. Parmi les plus retentissantes :
Ticketmaster (2024) : Un vol gigantesque revendiqué récemment, concernant les données de 560 millions de clients.
Santander (2024) : Vol de données bancaires et clients.
Wattpad, Tokopedia, Vinted, Microsoft (comptes GitHub privés).
3. La connexion française (L’affaire Sébastien Raoult)
C’est le point qui a fait grand bruit en France. Les autorités américaines (FBI) ont identifié un jeune Français originaire d’Épinal, Sébastien Raoult, comme étant un membre clé des ShinyHunters.
Il a été arrêté au Maroc en 2022.
Il a été extradé vers les États-Unis.
En janvier 2024, il a été condamné à 3 ans de prison par la justice américaine et à payer 5 millions de dollars de dommages et intérêts, après avoir plaidé coupable pour conspiration en vue de commettre une fraude informatique et usurpation d’identité aggravée.
4. Actualité récente
Bien que des membres aient été arrêtés, le « label » ShinyHunters est toujours actif. Récemment, ils sont réapparus comme les administrateurs du site BreachForums (une place de marché illégale de données), narguant les autorités internationales (FBI, Interpol) qui tentent de fermer le site. ↩︎
FAQ (Foire Aux Questions) qui n’a pas été hachée menue
C’est quoi exactement cette histoire de piratage au Ministère ?
Pour faire simple, quelqu’un est entré dans les systèmes informatiques de la Place Beauvau comme dans un moulin. L’attaque, détectée mi-décembre 2025, n’a pas nécessité de génie maléfique : le pirate a profité d’un vieux logiciel qui traînait là depuis 2008 – une éternité en informatique – et de mauvaises habitudes des agents, comme s’envoyer des mots de passe par email. Résultat, l’attaquant a pu se balader dans les réseaux sécurisés reliant les préfectures, la Défense et l’Intérieur.
Est-ce que mes données personnelles sont dans la nature ?
C’est la grande inconnu. Si le gouvernement tente de rassurer en parlant de « quelques dizaines de fiches », le pirate a revendiqué des millions de dossiers. Le vrai problème, c’est la nature des fichiers touchés : le TAJ (qui liste antécédents, victimes et témoins) et le FPR (personnes recherchées). Si vous avez déjà porté plainte ou été témoin, vos infos pourraient circuler. C’est une guerre de communication, mais vu la facilité de l’intrusion, l’exfiltration massive est malheureusement crédible.
C’est qui ce groupe « Indra » ? Des espions étrangers ?
Pas du tout. Oubliez le scénario à la James Bond ou les hackers d’État. L’enquête a mené tout droit à… un jeune de 22 ans habitant chez sa mère à Limoges. Il utilisait le pseudo « Indra » (probablement usurpé à un autre groupe) pour mener une vendetta. Son mobile ? Venger les membres du groupe cybercriminel « ShinyHunters » arrêtés récemment. On est face à une délinquance jeune, impulsive, qui cherche la gloire sur Telegram plus que la déstabilisation géopolitique.
Quels sont les risques concrets pour les citoyens ?
Déjà les données ont-elles été partagées ou mieux vendues ? Si c’est le cas, le danger est double. D’abord, le chantage : des victimes d’agressions ou de faits sensibles pourraient être menacées de divulgation. Ensuite, l’usurpation d’identité « premium ». Avec des données aussi précises (état civil complet, antécédents), un escroc peut se faire passer pour vous n’importe où, ouvrir des crédits ou piéger vos proches avec une crédibilité effrayante. C’est bien plus grave qu’un simple vol de numéro de carte bleue.
