Le ministère de l'Intérieur a confirmé avoir subi, il y a quelques jours, une intrusion dans ses systèmes informatiques. BreachForums, le supermarché des cybercriminels de retour, revendique la cyberattaque et menace de publier des données sensibles dans les prochaines heures, si aucune négociation n'est engagée.

Les hackers tiendraient en otage les données de millions de Français. © Alexandre Boero / Clubic
Les hackers tiendraient en otage les données de millions de Français. © Alexandre Boero / Clubic

C'est le scénario catastrophe que redoutaient les autorités françaises. Après des semaines d'intrusion silencieuse dans leurs systèmes, le ministère de l'Intérieur se retrouve dans l'étau de cybercriminels qui promettent « l'impact le plus important jamais vu en France ». Entre revendications tonitruantes et confirmations mesurées du gouvernement, le chronomètre tourne, car les hackers ne laissent à l'exécutif que 48 heures pour négocier avec eux. À défaut, ils estiment libres de divulguer 16 millions de données très sensibles.

BreachForums revendique une cyberattaque par représailles contre la France

L'offensive a été dévoilée le samedi 13 décembre à 18h, lorsqu'un message signé « Indra » a surgi sur BreachForums, que l'on croyait disparu. Les mots ne laissent planer aucun doute sur les intentions des cybercriminels. « Maintenant, vous allez payer pour ce que vous avez fait à nos amis ». Cette allusion fait référence aux arrestations menées en France entre février et juin 2025, et autant dire qu'elle dessine les contours d'une vendetta numérique qui pourrait faire du mal à l'Hexagone.

Le communiqué d'Indra, authentifié par une signature cryptographique PGP, raconte l'histoire hélas vraie, d'une infiltration chirurgicale. Pendant plusieurs semaines, les assaillants ont épluché le portail CHEOPS (Circulation Hiérarchisée des Enregistrements Opérationnels de la Police Sécurisés) de la police et compromis les comptes e-mail de multiples enquêteurs. Leur méthode consistait en une extraction discrète et méthodique, stoppée seulement lorsque l'intrusion a été détectée sur l'intranet. Trop tard, selon eux, pour empêcher l'hémorragie de données.

Lundi, la pression est montée d'un cran. L'ultimatum initial d'une semaine a été revu à la baisse : 48 heures. Les cybercriminels fixent les règles et demandent un contact obligatoire à l'adresse breachforums[@]tuta[.]com, faute de quoi ils activeront l'une de leurs deux options. Soit revendre le butin à d'autres groupes malveillants ou États intéressés, soit orchestrer une « fuite publique complète » qu'ils qualifient eux-mêmes d'inégalée dans l'histoire du pays.

Le message publié sur BreachForums laisse peu de place au doute. © Clubic
Le message publié sur BreachForums laisse peu de place au doute. © Clubic

16 millions de données revendiquées, aucune preuve publiée, mais Laurent Nuñez a confirmé l'intrusion

Les revendications sont loin d'être légères. Plus de 16 millions de données d'individus auraient été aspirées, comprenant l'accès au fichier TAJ, qui recense les antécédents judiciaires ; au FPR, qui liste les personnes recherchées ; et même à des bases financières. Si ces affirmations se confirmaient, l'onde de choc toucherait aussi bien des criminels fichés que des victimes, des témoins sous protection et donc de simples citoyens.

Mais cette avalanche de chiffres se heurte à un mur de scepticisme. Sur les réseaux sociaux, l'analyste Aurea pointe un élément crucial : « Aucune preuve publique (échantillons de données) n'a été diffusée. On n'a aucune preuve pour l'instant », précise-t-il, avec raison. Dans l'univers des fuites de données, l'absence de « sample » (donc un échantillon) pour crédibiliser les revendications interroge toujours. Alors simple bluff, ou précaution avant la divulgation ?

Le ministère de l'Intérieur, lui, navigue entre reconnaissance et relativisation. Laurent Nuñez a bien admis vendredi dernier sur RTL qu'un « assaillant a pu pénétrer sur un certain nombre de fichiers ». Néanmoins, le ministre martèle l'absence de traces de « compromissions graves » à l'issue des premières analyses. Un équilibre précaire entre transparence et gestion de crise. L'entité frappée étant extrêmement sensible, on comprend bien que les informations ne filtrent pas dans leur totalité.

Mise en place de l'authentification renforcée et enquête judiciaire après la cyberattaque

Les réactions se sont enchaînées Place Beauvau. L'authentification à deux facteurs a été déployée en urgence pour l'ensemble des agents, les accès aux systèmes d'information verrouillés, et les bonnes pratiques numériques martelées auprès de tous les personnels. Une enquête judiciaire a été lancée par l'Office anti-cybercriminalité, avec signalements en bonne et due forme à la procureure de Paris et à la CNIL.

Selon le ministère, comme le relaie ZDnet, les investigations révèlent « une intrusion sur des boîtes de messagerie professionnelle, contenant des éléments d'identification, dont la récupération a rendu possible l'accès à des applicatifs métiers ». Ces applications internes sont effectivement un sésame inquiétant vers des systèmes potentiellement plus stratégiques. La brèche, si elle est exploitée, pourrait s'avérer bien plus profonde que prévu.

Mais de nombreuses zones d'ombre subsistent à quelques heures de l'échéance. Le ministère reste silencieux sur un accès éventuel au TAJ ou au FPR, pourtant clamé haut et fort par les pirates. Et pendant que le chronomètre égraine les heures restantes, l'interrogation persiste : l'État va-t-il céder à la négociation avec des cybercriminels, ou parier sur l'absence de preuves en risquant une divulgation massive ? La France devrait être fixée très bientôt.

Clément Domingo, aka SaxX, n'est lui pas très optimiste. « On s'apprête à avoir un "sans précédent" en France. Espérons que cela n'arrive point… » Espérons que cela n'arrive pas, effectivement.