Resana, e-campus, FF Tir : la cartographie d’un naufrage cyber qui expose un million d’agents publics

Le 18 novembre 2025 ^[1], un courriel de mise en garde tombe dans les boîtes des fonctionnaires français. La plateforme interministérielle Resana ^[2], opérée par la direction interministérielle du numérique ^[3], vient de subir une exfiltration de données ^[4]. Une campagne de mails de rançon cible déjà plusieurs agents ^[5]. Comparée à un Google Drive réservé aux fonctionnaires ^[6], Resana stocke, partage et coédite les documents de l’administration ^[7].

LES ENJEUX

Un million d'agents potentiellement exposés

Les pirates revendiquent les données de plus d'un million d'agents publics issues de Resana [9]. La DINUM n'a pas communiqué sur le volume réel exfiltré [89].

Le facteur humain comme vecteur principal

Aucune faille technique selon la DINUM [21]: l'attaque est passée par la compromission d'un compte authentifié [22], révélant la vulnérabilité du facteur humain face aux infostealers.

De la donnée volée au crime physique

Le parquet de Paris confirme que les données de la fédération de tir ont servi à des vols d'armes à feu [70], dont cinq pistolets près de Lyon [71].

Un cadre pénal lourd, mais une procédure inachevée

L'article 323-3 du Code pénal punit l'extraction frauduleuse de données d'un système d'État de sept ans d'emprisonnement, et l'article 312-1 sanctionne l'extorsion. HexDex est en garde à vue [55], Angel_Batista a réactivé son compte et continue de diffuser [64] [65].

Une cybercriminalité en croissance dans le service public

Selon Enderi, les incidents cybernétiques visant les institutions publiques ont progressé de 35% en 2025 [90], dans la continuité des grandes brèches comme France Travail (43 millions de personnes en 2024).

L’affaire ne s’arrêtera pas là. L’enquête de L’Œil du 20 heures diffusée le mercredi 26 novembre ^[8] révèle l’ampleur réelle du dossier: les pirates affirment avoir récupéré les données de plus d’un million d’agents de l’État ^[9]. Ils réclament 20 000 dollars ^[10], soit environ 17 000 euros ^[11], pour ne pas publier l’archive. Le gouvernement a jusqu’au samedi pour payer ^[12]. Resana n’est qu’une pièce d’un puzzle plus vaste, qui inclut la plateforme e-campus de la police nationale et la Fédération française de tir.

Une plateforme « sans faille » - selon ses gestionnaires

La DINUM ^[13] tient une ligne ferme: la plateforme « n’a pas subi d’attaque et il n’y a pas de faille dans son infrastructure » ^[14]. L’exfiltration résulte de « la compromission d’un compte utilisateur » ^[15], c’est-à-dire de l’utilisation d’identifiants légitimes ^[16]. Contactée par L’Œil du 20 heures, la Direction interministérielle du numérique assure qu’« aucun élément ne laisse penser à un risque opérationnel pour les personnes concernées » et que « le renforcement de la sécurité du service a été mis en œuvre » ^[17].

Les pirates rapportés par franceinfo racontent une autre histoire. « Franchement, les données de Resana étaient protégées n’importe comment. Il n’y avait même pas vraiment de « faille »: on a compromis un compte et on s’est connectés » ^[18]. Aucune information précise n’a été communiquée sur la nature ou le volume des documents concernés ^[19]. Les analyses se poursuivent pour déterminer l’ampleur exacte de la fuite ^[20].

La contradiction sémantique au cœur du dossier

Cette double version n’est pas un simple malentendu: elle repose sur une distinction sémantique que la DINUM impose et que les pirates récusent. Pour la direction, « faille » désigne strictement une vulnérabilité technique dans le code ou l’infrastructure - ce qu’aucun audit n’aurait identifié ^[21]. L’attaque est donc qualifiée d’« accès obtenu par les assaillants à un compte authentifié » ^[22], ramenant la responsabilité à un utilisateur compromis. Pour les pirates, cette distinction est de la rhétorique: un service qui laisse un seul compte donner accès aux annuaires de plus d’un million d’agents ^[9] est, de fait, mal protégé.

La nuance est techniquement défendable - les infostealers contournent toute architecture périmétrique - mais elle est journalistiquement insuffisante. La sécurité d’un système ne se résume pas à la robustesse de son code: elle inclut la segmentation des privilèges, la détection comportementale, l’authentification renforcée. Or Batista lui-même précise avoir scrapé Resana avant que le service ne passe sous double authentification ^[23]. Autrement dit, la mesure de protection la plus élémentaire n’était pas en place au moment des faits. Que la DINUM la qualifie ou non de « faille », le résultat est identique pour le million d’agents concernés.

Le Centre de cyberdéfense du ministère ^[24] a découvert que des utilisateurs sont désormais contactés directement par les attaquants ^[25]. Les équipes de L’Œil du 20 heures ont prévenu plusieurs hauts fonctionnaires, manifestement surpris d’apprendre le piratage ^[26]. Un préfet a réagi: « Je vais m’en assurer auprès du ministère de l’Intérieur, ça m’étonne de ne pas avoir été prévenu » ^[27].

Angel Batista, un nom qui revient partout

Le pirate Batista ^[28] a livré sa méthode: il exfiltre les données d’entreprises en récupérant les accès d’employés piégés par un infostealer ^[29], un logiciel espion glissé dans des logiciels piratés ^[30]. « Les infosstealers sont un gros vecteur, car 90% du temps c’est plus rapide d’utiliser un log que de trouver une faille » ^[31]. Il aurait déjà publié plus d’une quarantaine de fuites ^[32] et encourt jusqu’à cinq ans de prison par fuite diffusée ^[33].

Batista confirme avoir scrapé une partie de Resana avant que le service passe sous double authentification ^[23]. Sa cartographie de victimes, recensée par ZATAZ, donne le tournis: 950 000 entrées de la Fédération française d’études et de sports sous-marins ^[34], 814 000 de la randonnée pédestre ^[35], 822 000 des sapeurs-pompiers ^[36], 700 000 du sport automobile ^[37], 2 millions du tennis de table ^[38], 3 millions de la gymnastique ^[39]. À cela s’ajoutent 377 000 entrées de Choisir le service public ^[40], 1 million de l’OFB ^[41], 15 000 employés d’une agence régionale de santé ^[42], 66 000 personnes du CCAS de Dunkerque ^[43].

Le cadre légal: ce que risquent les pirates

L’enquête a été ouverte pour « atteintes à un système de traitement automatisé de données » ^[44]. Selon plusieurs sources, l’article 323-1 du Code pénal prévoit que l’accès ou le maintien frauduleux dans un système de traitement automatisé de données est puni de peines d’emprisonnement et d’amende, aggravées en cas de suppression ou de modification de données. L’article 323-3 sanctionne l’extraction frauduleuse de données, peines aggravées lorsqu’elle vise un système d’État, ce qui est précisément le cas de Resana et d’e-campus.

S’y ajoute, selon plusieurs sources, le chef d’extorsion prévu par le Code pénal, qui sanctionne le fait d’obtenir, par menace, la remise de fonds - ici les 20 000 dollars réclamés ^[10]. Côté administration, le Règlement général sur la protection des données impose, en son article 33, une notification à la CNIL dans un délai de 72 heures après la prise de connaissance d’une violation de données personnelles. Aucune des sources consultées ne mentionne, à ce stade, de saisine publique de l’ANSSI ^[45] pour Resana ni de notification confirmée à la CNIL - une lacune que l’on peinerait à expliquer dans une affaire d’une telle ampleur.

Le piège se referme - à moitié

Le 22 avril 2026, ZATAZ confirme l’arrestation de HexDex ^[46]. Un homme de 21 ans né en août 2004 ^[47], interpellé lundi 20 avril 2026 en Vendée ^[48]. Le parquet de Paris a confirmé l’opération ^[49]: à compter du 19 décembre 2025 ^[50], une centaine de signalements ^[51] avaient afflué concernant des exfiltrations visant fédérations sportives, système d’information sur les armes et e-campus ^[52]. Le suspect republiait les données sur Breachforums et Darkforum ^[53]. Il a reconnu l’utilisation du pseudonyme ^[54] et est en garde à vue ^[55]. L’arrestation est intervenue alors qu’il s’apprêtait à publier d’autres données ^[56].

La saisie a été attribuée à la Brigade de lutte contre la cybercriminalité de la Préfecture de police ^[57] et à la section Cyber J3 du parquet de Paris ^[58], visible sur DarkForums ^[59] et Pown Forums ^[60]. Comme l’a déclaré la vice-procureure Johanna Brousse, cheffe de la section de lutte contre la cybercriminalité ^[61]: « Zéro impunité » ^[62].

Sauf que le compte d’Angel Batista, fermé un temps mardi soir ^[63], est ensuite réapparu dans un état normal ^[64]. Cette réactivation s’est accompagnée d’une diffusion d’informations concernant des centrales nucléaires françaises ^[65]. Les deux pirates se connaissaient et avaient été partenaires sur certaines fuites ^[66]. L’un est tombé. L’autre court toujours.

Fédération française de tir: quand la donnée vole vers les armes

L’angle mort de cette affaire n’est pas le piratage lui-même, c’est sa traçabilité jusqu’au crime physique. La Fédération française de tir ^[67], qui gère le tir sportif en France, a vu fuiter les noms, adresses et numéros de téléphone d’un million d’adhérents ou anciens adhérents ^[68]. Un hacker affirme avoir vendu cette base 10 000 euros sur le darkweb ^[69]. Le parquet de Paris confirme que ces données ont été utilisées pour commettre des vols d’armes à feu ^[70].

Près de Lyon, cinq armes de poing dont deux revolvers Magnum 357 ont été dérobées à une adhérente ^[71]. Sébastien Gendraud, secrétaire départemental du syndicat Unité SGP Police du Rhône ^[72], décrit le mode opératoire: « Deux personnes se sont présentées en tant que chauffagistes auprès de la victime. Quelques jours plus tard, la victime s’est rendu compte que le coffre où se trouvaient des armes de poing et des munitions a été cambriolé » ^[73]. D’autres cambriolages identiques ont eu lieu à Paris, Nice et Limoges ^[74].

Un expert en cybersécurité interrogé par franceinfo ^[75] résume le risque de la corrélation: « Ça permettrait en collectant et donc en corrélant les données de Resana avec d’autres informations qui ont fuité, d’avoir toutes les informations et de mettre une forme de pression sur elles » ^[76]. C’est exactement ce qui s’est passé pour les adhérents de la fédération de tir.

e-campus: la police elle-même piratée

Entre les 17 et 18 mars 2026 ^[77], la plateforme e-campus.interieur.gouv.fr ^[78] de la police nationale a subi une intrusion qualifiée d’« accès non autorisé » par la Direction générale de la police nationale ^[79]. HexDex ^[80] revendique l’extraction d’une base baptisée « [FR] 176K Government Agents - E-campus Intérieur » ^[81], soit 176 317 profils uniques ^[82] de policiers, gendarmes et personnel civil ministériel ^[83]. Les données compromises incluent noms, prénoms, adresses de résidence, adresses électroniques professionnelles et personnelles, données de géolocalisation, historiques de formation et informations administratives ^[84].

La DGPN affirme que « des mesures correctives immédiates ont été déployées pour contenir l’incident, sécuriser les accès et évaluer l’étendue de la compromission » ^[85]. La plateforme demeure suspendue sine die ^[86]. L’ANSSI ^[45] pilote l’expertise technique. Selon Enderi, cette faille survient quatre mois après une autre cyberattaque au ministère de l’Intérieur, qui avait compromis le fichier de traitement d’antécédents judiciaires ^[87].

Une affaire qui s’inscrit dans une longue série

Le naufrage Resana - e-campus - FF Tir n’est pas un cas isolé. Selon plusieurs sources, des piratages de grande ampleur ont déjà touché des organismes publics français ces dernières années, notamment France Travail, dont les bases d’inscrits comme demandeurs d’emploi avaient été exposées. À l’international, des brèches ont également exposé les dossiers de millions de fonctionnaires fédéraux étrangers, dans des affaires attribuées à des acteurs étatiques. Plus près de nous, l’attaque contre l’Assistance publique - Hôpitaux de Paris avait également compromis les données de patients ayant passé un test PCR.

Le point commun de ces affaires - et leur leçon non retenue - est que les bases de données d’agents publics constituent un actif stratégique exploitable bien au-delà de la simple monétisation: profilage, ingénierie sociale, ciblage d’individus sensibles. Dans le cas français de 2025-2026, la chaîne s’est même prolongée jusqu’au crime physique, avec le vol d’armes à feu chez les adhérents de la FF Tir.

L’angle mort: le facteur humain, pas la technique

Voici ce que personne ne dit assez fort. La DINUM répète qu’il n’y a pas eu de faille technique ^[21], que l’exfiltration résulte d’un accès à un compte authentifié ^[22]. Les pirates confirment: ils n’ont pas cassé Resana, ils se sont connectés ^[18]. Le vrai vecteur, ce sont les infostealers qui circulent dans les logiciels piratés que des fonctionnaires installent sur leurs machines personnelles - puis se connectent depuis ces mêmes machines à Resana, à e-campus, aux outils internes. Batista le dit lui-même: 90% du temps, un log volé est plus rapide qu’une faille ^[88].

Le paradoxe est cruel: l’État peut bétonner ses serveurs, certifier ses datacenters, déployer la double authentification - tout cela ne sert à rien si un agent télécharge un Photoshop craqué chez lui. La sécurité périmétrique a vécu. Voir aussi notre dossier sur la souveraineté numérique française.

Ce que les sources ne disent pas

Aucune des sources consultées ne précise combien de fonctionnaires ont effectivement payé une rançon. Aucune ne dit si le gouvernement a versé l’équivalent des 20 000 dollars ^[10] réclamés ni quelle a été la position officielle face au chantage. Aucune ne quantifie précisément les données réellement diffusées par Angel_Batista après la chute de HexDex - on sait seulement qu’il a remis en ligne des informations sur des centrales nucléaires françaises ^[65]. Aucune source ne mentionne non plus la saisine publique de l’ANSSI ni la notification à la CNIL pour le périmètre Resana, alors que l’article 33 du RGPD impose une telle notification dans les 72 heures suivant la prise de connaissance d’une violation. Et personne, à ce stade, n’explique comment un compte authentifié de Resana a pu donner accès à un volume permettant de revendiquer un million d’agents ^[9] alors que la DINUM ne communique pas sur le périmètre exfiltré ^[89]. Cet écart entre la version officielle et la revendication des pirates est le cœur silencieux de l’affaire.

► Lire aussi: Notre suivi des cyberattaques contre les services publics français