Piratage du ministère de l’Intérieur : 16 millions de données exposées

À 21h22 ce lundi 15 décembre 2025, la confirmation redoutée est tombée. Selon Valeurs actuelles, un groupe de hackers a revendiqué ce week-end avoir piraté plusieurs bases de données sensibles du ministère de l’Intérieur, dont le fichier de traitement des antécédents judiciaires (TAJ) et le fichier des personnes recherchées (FPR). Au total, les données de quelque 16 millions d’individus seraient désormais entre les mains des pirates. Une information confirmée à Valeurs actuelles par une source sécuritaire, qui transforme ce qui semblait être une intrusion limitée en potentiel désastre national.

De la messagerie aux applicatifs métiers : l’ampleur réelle de la brèche

Vendredi 12 décembre au matin, Laurent Nuñez se voulait rassurant sur RTL. Le ministre de l’Intérieur confirmait l’attaque informatique survenue dans la nuit du jeudi 11 au vendredi 12 décembre, mais tempérait immédiatement : « Il y a un assaillant qui a pu pénétrer sur un certain nombre de fichiers. Donc on a mis en place les procédures de protection habituelles ». Interrogé sur d’éventuels vols de données, il affirmait ne pas avoir « de traces de compromissions graves ».

Trois jours plus tard, les révélations de BFMTV changent radicalement la donne. Les équipes de Beauvau confirment désormais que les hackers ont eu accès « à des applicatifs métiers », autrement dit des outils et logiciels internes utilisés quotidiennement par les 280.000 fonctionnaires du ministère. Cette précision technique ouvre potentiellement la porte à un accès direct aux bases de données les plus sensibles de l’État français.

Selon les informations de RTL, l’attaque a d’abord visé un service local en Charente-Maritime, qu’il s’agisse de la police ou de la gendarmerie. Cette porte d’entrée périphérique a permis aux assaillants de remonter jusqu’aux serveurs centraux de messagerie, puis manifestement bien au-delà.

Une revendication inquiétante et une demande de rançon

Sur leur site Internet, depuis débranché, les auteurs de l’attaque se présentent comme les dirigeants de Breachforum, cette place de marché pour la vente de données volées dont les administrateurs français avaient été arrêtés fin juin dernier. Les hackers menacent désormais les autorités françaises d’un ultimatum sans équivoque, rapporte Valeurs actuelles : « Vous avez désormais deux options : 1. dès que vous aurez payé, toutes les données gouvernementales que nous avons exfiltrées seront effacées. 2. Nous les revendons à notre communauté pour prouver que nous n’appartenons pas aux forces de l’ordre. »

Le fichier TAJ, créé en 2001, centralise l’ensemble des procédures judiciaires en France. Il contient des informations sur les personnes mises en cause, les victimes, les témoins, avec leurs identités complètes, adresses, nationalités et l’historique détaillé de leurs interactions avec la justice. Le fichier des personnes recherchées (FPR) recense quant à lui tous les individus faisant l’objet d’un mandat d’arrêt ou d’une recherche active par les services de police et de gendarmerie. La compromission de ces deux bases constitue une faille sécuritaire sans précédent.

Une enquête entre trois hypothèses

L’enquête, confiée à l’Office anticybercriminalité (OFAC) et menée avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), explore plusieurs pistes. Laurent Nuñez évoquait vendredi trois scénarios possibles sur 20 Minutes :

« Ça peut être des ingérences étrangères, ça peut être des gens qui veulent défier les pouvoirs publics et montrer qu’ils sont capables d’accéder à des systèmes, et puis ça peut être aussi de la cybercriminalité. »

La revendication par un groupe se réclamant de Breachforum oriente les enquêteurs vers la troisième hypothèse, celle de la cybercriminalité organisée cherchant à monnayer les données volées. Toutefois, l’hypothèse d’une ingérence étrangère utilisant un groupe criminel comme façade ne peut être écartée, tant les enjeux stratégiques de telles informations sont considérables.

Cette attaque survient dans un contexte de vulnérabilité accrue des infrastructures numériques françaises. En novembre dernier, Clubic révélait qu’EuroFiber France, fournisseur de VPN professionnels du ministère de l’Intérieur, de Thales, d’Airbus ou encore de la SNCF, avait été piraté le 13 novembre. Un cybercriminel baptisé ByteToBreach revendiquait alors avoir mis la main sur les informations de quelque 10.000 entreprises et organismes publics.

Des mesures de sécurité renforcées tardivement

Face à cette crise, le ministère de l’Intérieur a annoncé le renforcement de ses mesures de cybersécurité. Selon les informations de 20 Minutes, Beauvau a décidé « l’analyse proactive des serveurs et des boîtes de messagerie, la mise en œuvre systématique de la double authentification », tout en rappelant à l’ensemble de ses agents « les règles et usages indispensables de l’hygiène numérique ».

Des consignes de vigilance ont été transmises aux 280.000 fonctionnaires du ministère dès vendredi matin. Seuls quelques-uns ont dû redémarrer leur ordinateur dans l’immédiat. Les modalités d’accès au système d’information de tous les agents ont été durcies, avec l’activation de protocoles de sécurité renforcés.

Mais ces mesures, bien que nécessaires, interviennent après la compromission. La question qui hante désormais les couloirs de Beauvau reste entière : combien de temps les hackers ont-ils eu accès aux systèmes avant d’être détectés ? Et surtout, quelle quantité exacte de données a réellement été exfiltrée ? Avec 16 millions d’individus potentiellement concernés, soit près d’un quart de la population française, cette cyberattaque pourrait bien constituer la plus grave faille de sécurité jamais subie par un ministère régalien français. Les prochaines heures diront si l’État cédera au chantage ou assumera la divulgation publique de données parmi les plus sensibles de la République.