Cyberattaque au ministère de l’Intérieur : 70 millions de données exposées

Dans la nuit du jeudi 11 au vendredi 12 décembre 2025, les équipes techniques du ministère de l’Intérieur détectent des « activités suspectes » sur leurs serveurs de messagerie. Ce qui apparaît d’abord comme une intrusion limitée se révèle rapidement être une catastrophe en matière de cybersécurité. Selon les révélations qui émergent progressivement, les hackers ont pu pénétrer aussi facilement dans les systèmes les plus sensibles de l’État français pour une raison aussi simple qu’alarmante : des codes confidentiels circulaient en clair dans les messageries internes, sans aucun chiffrement.

Cette faille de sécurité élémentaire a ouvert la porte à ce que Le Parisien qualifie d' »attaque très grave ». Les pirates auraient ainsi récupéré des identifiants permettant d’accéder non seulement aux boîtes mail professionnelles, mais surtout aux « applicatifs métiers » du ministère, ces logiciels internes qui gèrent les fichiers les plus sensibles de la République.

Une intrusion progressive dans les entrailles de l’État

Le ministre de l’Intérieur Laurent Nuñez confirme l’attaque dès le vendredi 12 décembre sur RTL, tout en tentant de minimiser l’ampleur des dégâts. « Il y a un assaillant qui a pu pénétrer sur un certain nombre de fichiers. Donc on a mis en place les procédures de protection habituelles », déclare-t-il, ajoutant : « On n’a pas de traces de compromissions graves. »

« On investigue, à la fois en judiciaire, et puis surtout, on a renforcé notre niveau de sécurité. Les modalités d’accès au système d’information de tous nos agents ont été durcies », précise Laurent Nuñez sur RTL.

Mais le week-end qui suit révèle une toute autre réalité. Samedi, sur le forum cybercriminel BreachForums, un mystérieux compte baptisé « Indra » revendique l’attaque et se vante d’avoir accédé à près de 70 millions de données confidentielles. Selon Le Monde Informatique, les hackers affirment détenir des informations provenant du TAJ (traitement des antécédents judiciaires) et du FPR (fichier des personnes recherchées), concernant 16,4 millions de Français.

Des fichiers ultrasensibles potentiellement compromis

L’ampleur potentielle de la fuite donne le vertige. Le fichier TAJ contient non seulement les profils de suspects et de condamnés, mais aussi ceux de simples témoins et de victimes dans des affaires judiciaires. Une base de données qui recense les antécédents de millions de citoyens, avec des détails sur des affaires parfois extrêmement sensibles. Le FPR, lui, liste les individus activement recherchés par la police, des fugitifs aux personnes sous surveillance.

« Pour les victimes, c’est la double peine », explique à Franceinfo Amine Baba Aïssa, journaliste spécialisé en « cyberguerre » chez Numérama. « Cette personne a été victime d’une affaire relativement grave. Elle a été inscrite dans un TAJ et demain, une personne peut lui faire du chantage et lui dire : ‘Je vais révéler aux yeux de tout le monde que vous avez été victime de tel fait, tel fait, tel fait.' »

Les pirates affirment également avoir accédé aux systèmes de la Direction des finances publiques et de la Caisse nationale d’assurance vieillesse, élargissant encore le périmètre de la compromission. Si ces affirmations se vérifient, ce sont des données fiscales et de retraite qui pourraient également avoir été exposées, constituant une mine d’or pour des opérations de chantage ou d’usurpation d’identité à grande échelle.

Une messagerie obsolète et des pratiques dangereuses

L’enquête de Franceinfo révèle que les pirates sont passés par une messagerie interne de l’État, un logiciel déployé en 2008 et conçu à l’origine pour les préfectures, le ministère de la Défense et l’Assemblée nationale. Un système vieux de 17 ans, dont les failles de sécurité étaient manifestement exploitables.

Mais le véritable scandale réside dans les pratiques des utilisateurs eux-mêmes. L’échange de codes confidentiels en clair dans les messageries constitue une violation flagrante des règles élémentaires de cybersécurité. Ces identifiants, censés protéger l’accès aux systèmes les plus sensibles, circulaient sans chiffrement, lisibles par quiconque parvenait à intercepter les communications.

Dès la découverte de l’intrusion, selon Franceinfo, les policiers ont reçu pour consigne de changer immédiatement tous leurs mots de passe et de redoubler de vigilance. Une mesure d’urgence qui intervient malheureusement après la compromission.

Une revendication mystérieuse et des motivations floues

L’identité et les motivations des attaquants demeurent incertaines. Sur RTL, Laurent Nuñez évoque plusieurs pistes possibles.

« Ça peut être des ingérences étrangères, ça peut être des gens qui veulent défier les pouvoirs publics et montrer qu’ils sont capables d’accéder à des systèmes, et puis ça peut être aussi de la cybercriminalité. Là, pour l’instant, on ne sait pas ce que c’est », reconnaît le ministre.

Dans leur message sur BreachForums, rapidement supprimé, les pirates évoquent « une vengeance » après l’arrestation de leurs « amis » du groupe Shiny Hunters, un célèbre collectif cybercriminel. « Vous allez payer pour ce que vous avez fait à nos amis », menacent-ils, selon Le Parisien.

Plus troublant encore, FrenchWeb rapporte qu’au cours du week-end, un email annonçant la réouverture de BreachForums a été envoyé depuis un domaine légitime en « interieur.gouv.fr ». Deux hypothèses : soit un spoofing particulièrement sophistiqué, soit la compromission effective d’un compte ou d’un service de messagerie du ministère, ce qui confirmerait l’ampleur de l’intrusion.

Une enquête sous haute tension

Une enquête judiciaire a été ouverte le 11 décembre par la section de lutte contre la cybercriminalité du parquet de Paris, confiée à l’Office anti-cybercriminalité (OFAC) de la police nationale. L’Agence nationale de la sécurité des systèmes d’information (Anssi) a été mobilisée pour la remédiation technique, tandis que la Commission nationale de l’informatique et des libertés (Cnil) a été notifiée, comme l’exige la réglementation en cas de fuite de données personnelles.

Selon Libération, le ministère reconnaît désormais qu' »un accès non autorisé a permis à un attaquant de consulter un nombre limité de boîtes de messagerie professionnelle », et que via cette première intrusion, les pirates ont récupéré des « éléments d’identification » leur donnant « accès à des applicatifs métiers ».

« Les analyses se poursuivent afin de déterminer précisément le périmètre, la nature et le volume des données concernées », indique la place Beauvau au Figaro. Une formulation prudente qui laisse entendre que l’ampleur réelle de la compromission n’est pas encore totalement mesurée.

Les hackers ont laissé une semaine à l’État français pour négocier une rançon avant la publication des données sensibles. À l’heure où nous écrivons ces lignes, aucune donnée volée n’a été diffusée publiquement. Mais l’ultimatum plane comme une épée de Damoclès sur des millions de Français dont les informations les plus intimes pourraient bientôt se retrouver sur le dark web. Cette cyberattaque soulève une question vertigineuse : comment le ministère chargé de la sécurité des Français a-t-il pu laisser ses propres données circuler sans protection élémentaire ?