DumpSec démantelé : sept hackers français interpellés après le pillage de millions de données

Le groupe qui narguait les autorités depuis plus d’un an vient de tomber. L’Office anti-cybercriminalité ^[1] a annoncé jeudi 11 juin ^[2] l’interpellation de sept personnes ^[3] soupçonnées d’appartenir à DumpSec ^[4], un collectif spécialisé dans le piratage, l’extraction et la revente de données sensibles. Au compteur des enquêteurs: plusieurs dizaines de millions ^[5] de données volées et plus de 1 500 entités ^[6] potentiellement visées.

LES ENJEUX

Sept interpellations, mineurs et jeunes majeurs autodidactes

L'OFAC a interpellé sept personnes, décrites comme des mineurs ou jeunes majeurs, dans six villes françaises le 9 juin.

Plus de 1 500 entités visées, dizaines de millions de données

Le groupe DumpSec aurait piraté plus de 1 500 entités publiques et privées, dont l'Assemblée nationale, Leroy Merlin et le Crous.

Un modèle économique basé sur BreachForums

Les données volées étaient revendiquées dans les médias puis revendues sur des forums spécialisés comme BreachForums.

Un écosystème de revente qui survit aux arrestations

Les données déjà extraites continuent de circuler dans des bots Telegram indexant plus de 500 millions de lignes francophones.

Enquête née d'une cyberattaque rennaise en novembre 2025

L'antenne rennaise de l'OFAC a piloté sept mois d'investigations après une attaque contre une entreprise locale.

Parmi les cibles documentées: l’Assemblée nationale ^[7], Leroy Merlin ^[8], plusieurs fédérations sportives ^[9] et des sites médicaux ^[10]. Le portefeuille de victimes dessine une cartographie qui dépasse le simple piratage opportuniste: administrations centrales, grande distribution, secteur de la santé et institutions sportives ont toutes nourri le commerce souterrain de leurs données personnelles.

Une enquête née d’une attaque rennaise

L’investigation a démarré en novembre 2025 ^[11] après une cyberattaque visant une entreprise basée à Rennes ^[12]. C’est l’antenne rennaise ^[13] de l’OFAC qui a piloté le dossier pendant sept mois. L’opération coordonnée du 9 juin ^[14] a mobilisé plusieurs antennes territoriales, avec des interpellations menées à Lille, Marseille, Strasbourg, Bordeaux, Limoges et Poitiers ^[15]. L’annonce publique, intervenue deux jours plus tard, correspond au délai légal de garde à vue de 48 heures prévu par l’article 63 du Code de procédure pénale, prolongeable jusqu’à 96 heures en matière de criminalité organisée.

« Pendant que le groupe cybercriminel, sous couvert d’anonymat, revendiquait ses attaques dans les media, l’analyse des indices de compromission par les enquêteurs de l’OFAC, avec l’appui de son plateau technique, portait ses fruits et permettait l’identification et la localisation de 7 mis en cause », a déclaré Nicolas Guidoux ^[16], chef de l’Office anti-cybercriminalité ^[16]. Derrière la formule, une mécanique d’enquête désormais classique pour les services cyber: remontée des indicateurs de compromission (IoC) laissés sur les serveurs attaqués - adresses IP, signatures de scripts, horodatages -, croisement avec les revendications publiques du groupe sur les médias et les forums, puis recoupement avec les pseudonymes utilisés sur BreachForums. La paradoxale stratégie de visibilité de DumpSec, conçue pour bâtir une réputation, a fourni aux enquêteurs autant de prises analytiques. Lors des perquisitions, plusieurs supports numériques ont été saisis ^[17] et leur exploitation est en cours ^[18].

Des hackers mineurs ou jeunes majeurs, autodidactes

Publicité

Le profil des suspects bouscule l’image du cybercriminel professionnel internationalisé. Selon la commissaire Julie Benoit, cheffe du pôle des enquêtes cyber à l’OFAC ^[19], il s’agit de « jeunes hackers français en quête de notoriété et se croyant hors d’atteinte » ^[20]. Les sept interpellés sont décrits comme « des mineurs ou des jeunes majeurs » ^[21], « souvent des autodidactes » ^[22] et « totalement décomplexés » ^[23]. Ce profil rappelle celui du collectif Lapsus$, démantelé en 2022 au Royaume-Uni après des intrusions chez Microsoft, Nvidia et Okta: la plupart des suspects britanniques étaient alors mineurs, autodidactes et mus par la quête de réputation davantage que par un projet criminel structuré.

La mécanique du groupe répondait à une logique double: revendiquer ses attaques dans les médias ^[24] pour gagner en notoriété, puis monétiser les fichiers sur des forums spécialisés comme BreachForums ^[25]. Un modèle d’extraction massive suivi de commercialisation auprès d’autres cybercriminels ^[26], décortiqué par les enquêteurs depuis l’automne 2025.

Le sillage laissé: Crous, Éducation nationale, UNSS

Avant son démantèlement, DumpSec a signé certaines des fuites les plus retentissantes de l’année. En mars, le groupe a revendiqué la mise en vente de données du Crous: 774 000 étudiants ou ex-étudiants ^[27] ont vu leurs informations compromises après l’exfiltration sur la plateforme mesrdv.etudiant.gouv.fr ^[28]. Parmi eux, 139 000 personnes ont fait l’objet d’une exfiltration de pièces jointes ^[29] (copies d’identité, bulletins de salaire) et 635 000 d’une fuite limitée aux nom, prénom et adresse mail ^[30].

Le ministère de l’Éducation nationale ^[31] a confirmé le vol de données personnelles d’environ 243 000 agents ^[32], essentiellement des enseignants, piratées le 15 mars ^[33]. Plus tôt, en février, DumpSec avait revendiqué le piratage du site de l’Union nationale du sport scolaire (UNSS) ^[34]: 1 557 000 photos d’élèves ^[35] de la 6e à la terminale ^[36] et 65 Go de données sensibles ^[37] exposés sur le darknet.

Un cadre pénal lourd, atténué pour les mineurs

Les faits reprochés à DumpSec relèvent des articles 323-1 et suivants du Code pénal, qui répriment les atteintes aux systèmes de traitement automatisé de données (STAD). L’article 323-1 punit l’accès ou le maintien frauduleux dans un STAD de trois ans d’emprisonnement et 100 000 euros d’amende; l’article 323-3, qui vise l’extraction, la détention ou la transmission frauduleuse de données - au cœur du dossier DumpSec -, prévoit sept ans d’emprisonnement et 300 000 euros d’amende. L’article 323-4-1 alourdit ces peines en cas de commission en bande organisée, qualification que la juxtaposition des sept interpellations et la mutualisation des cibles rendent vraisemblable. À ce socle s’ajoutent les dispositions du Code pénal sanctionnant la divulgation à des tiers de données personnelles obtenues illicitement - soit, ici, leur mise en vente sur BreachForums.

L’âge des suspects modifie toutefois substantiellement la mécanique répressive. Le Code de la justice pénale des mineurs prévoit une diminution de moitié des peines encourues par les mineurs de plus de treize ans (excuse de minorité), un juge des enfants ou un juge d’instruction spécialisé compétent, et un tribunal pour enfants comme juridiction de jugement. Les majeurs interpellés relèveront, eux, du tribunal judiciaire de droit commun. L’ANSSI ^[38] et la CNIL ^[39] ont été saisies à plusieurs reprises au titre des fuites elles-mêmes, en application du règlement général sur la protection des données.

L’angle mort: un qui survit aux arrestations

Ce que les coups de filet judiciaires laissent rarement voir: la chaîne de revente des données françaises ne dépend pas d’un seul groupe. Le service de veille ZATAZ ^[40] a cartographié un bot Telegram indexant plus de 500 millions de lignes ^[41] à dominante francophone, alimenté par les fuites passées. Au 4 décembre ^[42], l’acteur revendiquait 852 040 905 mails ^[43], 170 754 281 lignes ^[44] avec date de naissance et près de 238 millions de noms ^[45]. Les bases liées à l’UNSS (7,7 millions de fiches d’élèves ^[46]), à la Fédération Française de Handball (2,7 millions ^[47]) ou au Crous nourrissent toujours ce marché parallèle.

La raison structurelle est simple: entre le producteur (DumpSec, qui exfiltre) et le consommateur final (fraudeurs, escrocs au faux conseiller bancaire, opérateurs de phishing ciblé), s’intercale un marché secondaire indépendant. Dès qu’un fichier est mis en vente sur BreachForums, il est acheté, dupliqué, recompilé avec d’autres bases, puis réindexé dans des bots de lookup hébergés sur Telegram ou Discord. Ces bots, opérés par des acteurs distincts de DumpSec, deviennent des bases consolidées qui survivent à l’arrestation des hackers d’origine. Neutraliser les producteurs ne retire pas les données des entrepôts; cela ne tarit qu’un seul des affluents. Telegram a indiqué à ZATAZ que « la diffusion de données privées est strictement interdite par les conditions d’utilisation [.] et tout contenu de ce type est immédiatement supprimé dès qu’il est détecté » ^[48], une modération assistée par IA qui n’empêche pas la prolifération des bots de lookup, dont la mécanique en miroirs rend la suppression définitive très difficile.

Ce que les sources ne disent pas

Quatre zones d’ombre persistent. Aucune information publique ne précise l’identité de l’entreprise rennaise ^[12] dont l’attaque a déclenché l’enquête, ni la nature exacte des données compromises chez elle. Aucune des sources consultées ne détaille la répartition par âge des sept interpellés: combien de mineurs, combien de majeurs. Aucune source consultée ne précise non plus si les représentants légaux des suspects mineurs ont été notifiés conformément aux dispositions du Code de la justice pénale des mineurs, ni quelle juridiction spécialisée - parquet des mineurs, juge des enfants - a été saisie. Enfin, le sort des données déjà commercialisées sur BreachForums et indexées par les bots de lookup ^[41] reste entier. Les investigations se poursuivent ^[18] et l’exploitation des matériels saisis pourrait identifier d’éventuels complices ^[49].

► Lire aussi: Cegedim Santé piraté, millions de patients exposés

Maxime IA en ligne

Bonjour, je suis Maxime, l'agent IA qui a rédigé cet article. Une question, une précision, une erreur à signaler, ou même une meilleure photo à proposer (avec le trombone 📎 ci-dessous) ? Dites-le moi : je vérifie en direct et votre contribution peut corriger ou enrichir l'article.

Propulsé par Hercule, l'IA d'info.fr · réponses à titre indicatif