Portails de la Gendarmerie et du ministère des Armées : des accès compromis

Moins de 24 heures après l'affaire FICOBA, des captures montrent des sessions actives sur des services sensibles de l'État français

Nathalie Rousselin
Nathalie Rousselin
6 minutes de lecture 104 vues
Portails de la Gendarmerie et du ministère des Armées : des accès compromis
Façade du bâtiment de la Gendarmerie nationale française sous un ciel lumineux Nathalie Rousselin / INFO.FR (img2img)

Nouveau coup dur pour la cybersécurité française. Alors que l'affaire FICOBA vient à peine d'éclater avec 1,2 million d'IBAN consultés via un compte agent compromis, un hacker diffuse désormais des preuves d'accès à des portails gouvernementaux sensibles. Captures d'écran à l'appui, des sessions actives sur le portail de la Gendarmerie, des plateformes RH du ministère des Armées et MindefConnect avec authentification multi-facteurs suggèrent une compromission de comptes d'agents plutôt qu'une faille technique directe. L'impact pourrait être critique, avec un accès potentiel à des données personnelles, des dossiers de recrutement et des outils de gestion interne.

L'essentiel — les faits vérifiés
  • Des captures d'écran montrent des sessions actives sur le portail de la Gendarmerie, des plateformes RH du ministère des Armées et MindefConnect avec authentification multi-facteurs, moins de 24 heures après l'affaire FICOBA
  • Les accès compromis donnent la main sur des outils internes sensibles : Gendform pour la formation, Oryx pour la reconversion, et des systèmes de gestion de candidatures avec données personnelles
  • Le contexte est marqué par l'attaque de décembre 2025 contre le ministère de l'Intérieur, qualifiée de "sans précédent", avec accès potentiel au TAJ et au fichier des personnes recherchées
  • Des dizaines de milliers d'agents figurent dans des bases issues de fuites successives, comme celle de la Fédération française de tir avec 1.002.951 lignes de données exfiltrées en octobre 2025
  • Le risque principal réside dans l'effet domino : des comptes d'agents compromis ouvrent la porte à des systèmes interconnectés touchant à la défense nationale et à la sécurité intérieure

1,2 million d’IBAN consultés via un compte agent compromis. C’était hier. Aujourd’hui, ce sont les portails de la Gendarmerie nationale et du ministère des Armées qui apparaissent dans les captures d’écran diffusées par un acteur malveillant. Une escalade qui rappelle les heures les plus sombres de la cybersécurité française, quand en décembre 2025, le ministère de l’Intérieur avait dû reconnaître une intrusion « très grave » dans ses systèmes. Selon France Info, cette précédente attaque avait permis aux pirates d’accéder à des messageries professionnelles et potentiellement à des fichiers aussi sensibles que le TAJ, le traitement des antécédents judiciaires.

Des sessions actives sur des plateformes hautement sensibles

Les éléments diffusés montrent des accès authentifiés à plusieurs services gouvernementaux : le portail de la Gendarmerie nationale, des plateformes de ressources humaines du ministère des Armées, ainsi que MindefConnect avec authentification multi-facteurs activée. Cette dernière précision est particulièrement inquiétante : elle suggère que les pirates disposent non seulement des identifiants, mais également des moyens de contourner ou de valider l’authentification à deux facteurs, soit par compromission complète du compte agent, soit par interception des codes de validation.

Les outils internes accessibles via ces portails comprennent des systèmes de recrutement, la plateforme de formation Gendform, et l’outil de reconversion Oryx. Ces applications permettent théoriquement la consultation et la modification de dossiers personnels, la gestion de candidatures, et l’accès à des données nominatives sensibles. Comme l’expliquait Amine Baba Aïssa, journaliste spécialisé en cyberguerre chez Numérama, lors de l’affaire du ministère de l’Intérieur en décembre dernier :

« Pour les victimes, c’est la double peine. Cette personne a été victime d’une affaire relativement grave. Elle a été inscrite dans un TAJ et demain, une personne peut lui faire du chantage et lui dire : ‘Je vais révéler aux yeux de tout le monde que vous avez été victime de tel fait, tel fait, tel fait.' »

Un contexte déjà fragilisé par des fuites massives

Publicité

Cette nouvelle compromission intervient dans un climat de défiance croissant. Selon L’Indépendant, l’attaque de décembre 2025 contre le ministère de l’Intérieur avait été qualifiée de « sans précédent pour la France » par ses auteurs. Les pirates avaient alors exploité une faille dans une messagerie interne de l’État, un logiciel déployé en 2008 et utilisé par les préfectures, le ministère de la Défense et l’Assemblée nationale.

Des dizaines de milliers d’agents figurent désormais dans des bases de données issues de fuites successives. Le cas de la Fédération française de tir, dont 1.002.951 lignes de données personnelles ont été exfiltrées entre le 18 et le 20 octobre 2025, illustre la méthodologie des pirates : les informations ne sont plus diffusées « en vrac », mais vendues au détail, par ville, par catégorie, jusqu’au ciblage nominatif. Un cambriolage perpétré fin décembre 2025, avec un butin de neuf armes, 1.300 cartouches et 11.000 euros en espèces, aurait été facilité par l’exploitation de cette base de données.

Des identités d’agents comme vecteur d’attaque

Le véritable risque ne réside pas dans le piratage des sites eux-mêmes, mais dans la compromission des identités d’agents. Ces comptes authentifiés ouvrent la porte à un effet domino sur des systèmes interconnectés. Lors de l’attaque de décembre 2025, le ministre de l’Intérieur Laurent Nuñez avait tenté de rassurer, déclarant sur RTL :

« On ne sait pas encore, on n’a pas de traces de compromissions graves. On investigue à la fois en judiciaire et puis surtout, on a renforcé notre niveau de sécurité, et, notamment, les modalités d’accès au système d’information de tous nos agents ont été durcies. »

Pourtant, les pirates avaient alors revendiqué l’accès à des fichiers hautement stratégiques. Dans un message diffusé sur le dark web et rapporté par France Info, ils avaient lancé :

« La France, pourquoi vous ne parlez pas des données sensibles auxquelles nous avons eu accès, comme le TAJ, le traitement des antécédents judiciaires ? Ou le fichier des personnes recherchées ? Et il y en a plus. »

Une série noire pour les institutions françaises

La France accumule les incidents de cybersécurité depuis plusieurs mois. En juillet 2025, la Fédération Française de Motocyclisme avait subi une nouvelle fuite massive touchant 463.000 dossiers, incluant identités complètes, coordonnées, photos, copies de cartes d’identité et certificats médicaux. Le pirate avait exploité un compte administrateur compromis découvert dans les logs d’un stealer, un logiciel d’espionnage numérique.

En mars 2023, la mairie de Lille avait été victime du groupe de hackers « Royal », qui avait diffusé 305 gigaoctets de données volées, soit l’équivalent de 150 disques Blu-ray. Les pirates avaient précisé n’avoir diffusé que 10% du total exfiltré. Le spécialiste en cybersécurité Damien Bancal avait alors déclaré à l’AFP : « D’autres pirates vont commencer à copier, récupérer ces informations et s’en servir : ça peut être des téléphones portables, des mails, voire des documents liés à la vie privée. »

Un effet domino redouté sur les systèmes sensibles

L’accumulation de ces incidents dessine un scénario inquiétant : des bases de données d’agents compromises, des identifiants en circulation sur le dark web, et des accès authentifiés à des systèmes gouvernementaux. Les experts redoutent un effet cascade, où chaque compte compromis devient une porte d’entrée vers d’autres systèmes interconnectés. Les portails de la Gendarmerie et du ministère des Armées, par leur nature même, sont connectés à des réseaux sensibles touchant à la défense nationale et à la sécurité intérieure.

Les autorités n’ont pas encore communiqué officiellement sur cette nouvelle compromission. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Office anti-cybercriminalité (OFAC) sont probablement déjà mobilisés pour évaluer l’ampleur réelle de l’intrusion et identifier les comptes compromis. Mais le temps joue contre eux : chaque heure qui passe permet aux pirates d’explorer davantage les systèmes, d’exfiltrer des données supplémentaires, ou de vendre ces accès à d’autres acteurs malveillants.

La question qui se pose désormais n’est plus de savoir si les systèmes de l’État sont vulnérables, mais combien de comptes d’agents ont déjà été compromis, et quelles données sensibles circulent déjà dans les méandres du dark web. Face à des dizaines de milliers d’identifiants potentiellement en circulation, la tâche de sécurisation s’annonce colossale. Et le prochain domino attendra-t-il longtemps avant de tomber ?

Sources

  • France Info (16 décembre 2025)
  • L'Indépendant (17 décembre 2025)
  • ZATAZ (5 janvier 2026)
  • ZATAZ (15 juillet 2025)
  • Europe 1 (27 mars 2023)
Tags : Justice
Nathalie Rousselin

Nathalie Rousselin

Reporter et journaliste d'investigation. Parcours en sciences sociales et journalisme de terrain. Expertise dans le traitement des faits de société et les enquêtes de fond. Expérience en presse quotidienne régionale. Rejoint INFO.FR pour couvrir l'actualité société et les faits divers.

Twitter LinkedIn Medium Pinterest Voir tous ses articles →
Publicité

Articles qui pourraient vous intéresser

Lien copié !
× Infographie agrandie