Fuite de données : anatomie d’une menace systémique

Ce n’est plus une hémorragie, c’est un tsunami de fuites de données depuis fin 2025. À ce stade, on ne plus parler d’une simple série d’accidents, mais du produit d’un modèle. Centralisation massive, dépendance aux prestataires, inflation de bases administratives : l’État numérique français a construit sa puissance sur une accumulation de données qu’il ne maîtrise plus.

Un agent administratif ouvre sa session. Il entre son identifiant et son mot de passe,
« Monmotdepasse 1 ! ». Pourtant, derrière ce banal accès, une fuite critique est déjà en cours. Les données ne sont pas forcées, elles sont simplement consultées. Pas de piratage spectaculaire, pas d’alerte immédiate.

C’est ainsi que le hacker HexDex aurait piraté un annuaire centralisé de 60 000 agents publics. Gendarmes, diplomates, chefs de service ou simples agents dans des ministères… ont vu leur nom, téléphones, adresse pro et parfois perso, fonction… être proposés au plus offrant sur le Dark Web. Justice, Intérieur, Affaires étrangères, Défense, aviation civile, finances publiques et d’autres encore seraient concernés. Même le mot de passe donné ici n’est pas un exemple pris au hasard, il aurait été retrouvé en clair dans les logs techniques. Un peu moins choquant quand on se souvient que le mot de passe du serveur de vidéosurveillance du Louvre était… « Louvre » ou que celui protégeant les données de l’Union Nationale du Sport Scolaire (UNSS) était « France-98 »…

Si les autorités n’ont pas officiellement confirmé la brèche à l’heure où nous écrivons ces lignes, l’info a notamment été diffusée par Clément Domingo, alias SaxX, chercheur en cybersécurité généralement bien informé. Il faut dire que, face à la déferlante de fuites, qui ne fait que s’aggraver depuis qu’INCYBER a abordé le problème en décembre dernier, les autorités font le dos rond, quand elles n’ignorent pas superbement le problème. Vincent Strubel, directeur de l’ANSSI, a ainsi récemment soutenu qu’il y avait « beaucoup de bluff dans les vols de données ».

Nœuds critiques de l’État ciblés

S’il y a une part de vrai dans cette affirmation, elle ressemble tout de même à un gros « circulez, y a rien à voir » alors que les annonces se multiplient à un rythme effrayant, comme en témoigne le baromètre 2025 des fuites de données personnelles, pourtant élaboré par INCYBER à partir des sources les plus prudentes : les déclarations à la CNIL.
« Cette cascade d’incidents […] consacre l’industrialisation de la cybercriminalité », souligne Mélissa Périé Betton, rédactrice en chef d’INCYBER News dans l’édito qui ouvre cette étude.

Toujours plus nombreuses, donc, les fuites de données évoluent aussi dans leur nature. Plus profondes, elles ciblent les nœuds critiques de l’État : bases administratives – fiscales, judiciaires, sociales –, opérateurs télécoms, systèmes de santé, infrastructures critiques, etc.

Le cas du ministère de l’Intérieur est politiquement et opérationnellement dramatique. L’intrusion révélée en décembre 2025 a permis l’accès à des données issues de fichiers ultrasensibles, notamment au TAJ (traitement d’antécédents judiciaires, 17 millions de fiches sur les auteurs et victimes de délits ou de crimes) et le FPR (fichier des personnes recherchées). Même modus operandi que pour l’annuaire d’agents de l’État déjà évoqué : un hacker a utilisé le compte d’un enquêteur pour accéder aux données sensibles. Laurent Nuñez a admis le 17 décembre le vol de « quelques dizaines de fiches ». « Il n’y a pas eu extraction de millions de données », a-t-il tenté de minimiser. A-t-il confondu les échantillons que les hackers publient pour prouver leur « exploit » avec l’extraction elle-même ?

Sécurité nationale en jeu

Malgré les mesures correctives annoncées par le ministre de l’Intérieur en décembre, le groupe cybercriminel LAPSUS$ a revendiqué début mars avoir obtenu « différents accès et composants techniques » du TAJ, une revendication non confirmée. La fuite potentielle concerne tout de même 61 millions de fiches de police. Bis repetita… l’ANTS (Agence nationale des titres sécurisés) aurait, elle aussi, eu droit à un deuxième service début mars, après celle de septembre dernier. Comme la dernière fois, l’agence dément vigoureusement.

Quoi qu’il en soit, ce type de fuite touche à la capacité opérationnelle de l’État. Une donnée judiciaire ou policière exposée n’est pas qu’une donnée privée dans la nature, c’est un élément de sécurité nationale qui se retrouve à la merci de groupes criminels ou d’acteurs étrangers. La donnée est devenue un instrument de gouvernement. Mais dans un environnement où elle circule, s’accumule et se vole, elle devient aussi un instrument de fragilisation.

L’accès via le compte d’un fonctionnaire est décidément en vogue, puisque c’est ainsi qu’un hacker aurait dérobé les infos bancaires (RIB, IBAN, identité des titulaires et identifiant fiscal) de 1,2 million de personnes. Des données particulièrement sensibles centralisées dans le fichier national des comptes bancaires (FICOBA). Et c’est certainement aussi à partir d’un compte compromis qu’un hacker se serait introduit dans Tchap, la messagerie sécurisée des administrations françaises. Il aurait moissonné (scrap) les infos de 10 000 membres et de plusieurs salons de discussion sensibles.

Le maillon faible

D’une manière générale, la faiblesse n’est pas technologique, mais organisationnelle. Les systèmes sont conçus pour être accessibles, parfois trop. « 80 % des grandes violations de données enregistrées en 2024 auraient pu être évitées » avec la double authentification, affirmait Marie-Laure Denis, présidente de la CNIL. Une mesure simple qui fait trop souvent encore défaut. Une apathie face à la croissance de la menace qui laisse pantois, d’autant que l’État a identifié à la fois les correctifs simples à mettre en place, mais aussi l’évolution du périmètre d’attaque. L’ANSSI observait déjà dans son Panorama de la cybermenace 2024 que les hackers exploitaient activement les liens de confiance et les interconnexions entre organisations – notamment via des prestataires ou des entités liées – pour atteindre leurs cibles. Autrement dit, ce n’est plus le système qui est attaqué, mais l’écosystème.

Ainsi, Exalto, qui travaille pour de nombreuses fédérations sportives, serait-il une cible de choix pour certains hackers. Une série d’affaires qui illustre la dépendance croissante de l’État et de ses satellites à des prestataires extérieurs, mais aussi une inflation non maîtrisée des données collectées. La Fédération française (FF) d’athlétisme avait-elle besoin de conserver les CNI, passeport, Carte vitale de 11,4 millions d’adhérents ou ex-adhérents ? Même question pour la FF de Volley ou de la cinquantaine d’autres fédérations déjà piratées.

Tiers de méfiance

À l’heure où le Parlement et l’exécutif se targuent de vouloir protéger la jeunesse en interdisant les réseaux sociaux aux moins de 15 ans, ils seraient bien avisés de commencer par se préoccuper des nombreuses fuites qui se dispersent sur le Dark Web l’identité et souvent les photos de millions de mineurs.

Nous y faisions allusion en début d’article : le piratage de l’UNSS a entraîné la capture par des hackers des photos, adresse, classe… de 1,5 million d’élèves. Pour la FF de Rugby à XIII, ce ne sont « que » 37 472 photos d’adhérents, dont des mineurs, qui ont été aisément détournées. C’est nettement moins que les 533 000 adhérents touchés par le hack de la FF de Rugby (à XV, donc). Dans la nature, un million de photos, des CNI, des numéros de Sécurité sociale… Les exemples sont trop nombreux pour tous les citer ici.

Les débats autour de la Loi Miller, adoptée par l’Assemblée nationale en janvier dernier, ont de plus mis en lumière pour le grand public les « tiers de confiance ». Une entité qui ne serait « ni l’État ni les plateformes de réseaux sociaux » serait chargée de vérifier l’âge des internautes avant de leur connexion, détaillait le 26 janvier Gabriel Attal, président du groupe macroniste à l’Assemblée nationale. Un nouveau point de concentration de données, une nouvelle vulnérabilité… qui est loin d’être virtuelle. Selon nos confrères de Cybernews, IDMerit, société américaine dont c’est justement la spécialité, aurait par négligence laissé en libre accès un milliard d’enregistrements, dont 52 millions pour la France. Coordonnées complètes, date de naissance et pièces d’identité… figureraient au menu de cette bourde planétaire.

Cibles systémiques

Une allégation qu’a vigoureusement démentie IDMerit, expliquant dans son droit de réponse publié dans l’article de Cybernews que ni leur environnement ni celui de leurs partenaires détenant des données n’avait été compromis et « qu’il s’agissait d’un incident lié à une demande de rançon » de la part du hacker éthique ayant révélé l’affaire. Dont acte. Autre prestataire de vérification d’identité du client (ou KYC, pour know your customer en anglais), Sumsub a avoué… 18 mois plus tard une fuite survenue en juillet 2024. C’est dire si on peut faire confiance à ces tiers… de méfiance.

« Même dans une approche “privacy by design”, on crée une nouvelle réalité : des acteurs structurants (prestataires d’âge/identité, validateurs, intermédiateurs, opérateurs de transmission) qui deviennent des points de concentration (au minimum des événements techniques, parfois des logs, parfois des données brutes selon les implémentations), et donc des cibles systémiques », souligne justement Marc-Antoine Thevenet, DPO (délégué à la protection des données) externe, certifié selon les référentiels CNIL et CAI (Québec).

Le constat est implacable : la France n’est pas simplement confrontée à une série de cyberattaques, elle fait face aux conséquences tragiques de son modèle numérique. Tant que la puissance publique reposera sur la centralisation des données, la multiplication des intermédiaires et l’accumulation d’informations sensibles, chaque fuite ne sera pas un simple incident technique, mais la conséquence d’un système de conception et de gouvernance. La question n’est donc plus de savoir comment éviter la prochaine fuite, mais de changer de paradigme.