Après la cyberattaque du ministère de l'Intérieur, les hackers ont publié hier soir une capture d'écran censée prouver leurs exploits. Mais leurs revendications, sur le papier spectaculaires, se heurtent au scepticisme des experts, Baptiste Robert en tête.
Le ministère de l'Intérieur a bien confirmé, mardi, avoir été victime d'une attaque informatique constatée vendredi 12 décembre très exactement, que l'on considère comme « très grave » Place Beauvau. Plus tard dans la soirée de mardi, les hackers ont tenté de prouvoir leurs exploits, en publiant des captures d'écran. Sauf que ces dernières, bien qu'elles confirment un accès au réseau interne du ministère, laissent les spécialistes plutôt dubitatifs.
La cyberattaque contre le ministère de l'Intérieur est-elle une histoire de vengeance ?
Du côté du ministère de l'Intérieur, on ne cherche presque pas à cacher la gravité de la situation. Auprès de nos confrères du Figaro, les services du ministère situé à deux pas de l'Élysée ont confirmé que les pirates ont d'abord compromis les serveurs de messagerie pour récupérer des « éléments d'identification ». Un premier palier franchi, mais pas le dernier. Car ces identifiants volés ont ensuite permis d'ouvrir les portes des « applicatifs métiers », ces logiciels sensibles qu'utilisent quotidiennement les fonctionnaires de l'Intérieur.
Le plan d'action déployé en urgence a montré l'inquiétude des autorités. Chose qui nous semble assez inconcevable, l'authentification à double facteur a été généralisée. Il faut ajouter à cela la révocation des accès compromis, et la sécurisation de l'infrastructure. Il n'est pas question de jeter la pierre sur le ministère de l'Intérieur, mais la certaine impréparation des services face à la cybermenace est cruellement mise en lumière. Sur les réseaux sociaux, le hacker éthique Clément Domingo (aka SaxX), redoute que tout cela ne crée un « sans précédent ».
Quid du mobile de l'attaque ? Le ou les pirates, qui agissent sous le pseudonyme « Indra », brandissent la carte de la vengeance et disent cibler la France pour les arrestations menées contre les ShinyHunters entre février et juin 2025. Ce groupe, qui est responsable de dizaines de cyberattaques majeures, compte parmi ses rangs le Français Sébastien Raoult, rapatrié du Maroc en décembre 2024 et immédiatement mis en examen à Roissy, après avoir été condamné plus tôt aux États-Unis. Rien n'indique, pour le moment, une quelconque ingérence étrangère, même si des Français ou francophones peuvent très bien jouer les marionnettes pour le compte d'autres puissances, rien n'est impossible.
16 millions de données revendiquées, mais zéro preuve publiée
Les chiffres annoncés donnent le vertige. Sur BreachForums, ou ce qu'il reste de BreachForums, Indra revendique l'accès à 16,4 millions de données, évoquant notamment un accès au fichier TAJ (antécédents judiciaires), au FPR (personnes recherchées), mais aussi aux systèmes de communication avec Interpol, à la Direction des Finances publiques ou encore la Caisse d'assurance vieillesse. De quoi affoler n'importe quel gouvernement, alors que dans le même temps, Emmanuel Macron parlait réseaux sociaux et narcotrafic à Marseille. Les hackers ont en tout cas formulé une demande explicite : que la France « rachète » les données, sous peine de diffusion publique.
Le problème, c'est qu'il n'y a pas trace du moindre échantillon pour étayer ces affirmations. Dans le monde de la cybercriminalité, publier un « sample » de données volées est pourtant courant pour crédibiliser ses revendications. Ici, rien. « Aucune preuve publique n'a été diffusée. On n'a aucune preuve pour l'instant », soulignait déjà l'analyste Aurea sur les réseaux sociaux un peu plus tôt. Alors est-ce que tout ça est une grande partie de bluff ? Quand même pas, non.
Mardi soir, donc il y a quelques heures, les pirates ont tenté de dissiper les doutes en publiant une capture d'écran du portail CHEOPS (Circulation Hiérarchisée des Enregistrements Opérationnels de la Police Sécurisés) de la Police nationale. Dans les champs « identifiant » et « mot de passe » apparaît le lien de leur chaîne Telegram, accompagné d'un provocant WE ARE STILL HERE, ou nous sommes toujours là, qui sous-entend que les hackers ont encore accès au portail. Mais ce n'est pas si simple.
XXXo
Baptiste Robert, chercheur français en cybersécurité et pointure de l'OSINT, a publié plusieurs posts sur LinkedIn pour nous éclairer sur le comportement des hackers. « Si tu veux narguer les autorités, tu ne fais pas une capture de la page d'accueil. Tu fais une capture quand tu es authentifié », écrit-il. Autrement dit, n'importe qui peut photographier un écran de connexion. « Vous n'avez que ça à montrer ? », lance-t-il, en jugeant cette tentative de négociation « particulièrement mal faite ». Mais il reconnaît un point crucial : le portail CHEOPS n'étant pas accessible depuis l'extérieur, les pirates ont bel et bien eu accès au réseau interne du ministère.
Un détail technique vient renforcer le scepticisme. Corentin Galvier, enseignant en cybersécurité, rappelle que l'accès aux fichiers TAJ ou FPR nécessite une authentification forte, avec une carte professionnelle à insérer, un certificat qui doit être à jour et la saisie d'un code sur boîtier dédié. « L'authentification classique ne donne pas suffisamment de droit pour accéder à des fichiers aussi sensibles », précise-t-il. Les revendications spectaculaires d'Indra se heurtent donc à la réalité technique des protections.
Signe que la pression monte, Baptiste Robert, aussi à la tête de l'entreprise Predicta Lab, observe que les hackers « perdent leur calme » et « lâchent des infos intéressantes pour les enquêteurs ». Les pirates ont notamment changé leur méthode de contact, passant à un nouveau canal XMPP, autrefois appelé Jabber, et qui est un protocole de messagerie instantanée basé sur le standard XML, pour les puristes. De quoi alimenter l'enquête judiciaire en cours, pilotée par le parquet de Paris. Reste à savoir si Beauvau a affaire à une cyberattaque d'ampleur historique, ou à un coup de bluff magistral.
