« Nous annonçons par la présente qu’en représailles à l’arrestation de nos amis, nous avons réussi à compromettre le ministère français de l’Intérieur. […] Alors, France, pourquoi ne parlez-vous pas des 16 444 373 personnes dont nous avons consulté les données dans vos fichiers de police ? ». Par ce message posté samedi 13 décembre sur le site BreachForums, un forum qui sert de place de marché et de vitrine pour cybercriminels, un groupe de hackers a revendiqué la cyberattaque massive du ministère de l’Intérieur, tout en lançant un ultimatum aux autorités.

Leur menace : diffuser les bases de données du FPR (Fichier des personnes recherchées), celles du TAJ (Traitement d’antécédents judiciaires), celles de la Direction générale des finances publiques et celles de la Caisse nationale des pensions (Cnav). Les pirates comptent réclamer une rançon pour restituer les fichiers qu’ils prétendent avoir récupérés. Ils ont fixé un ultimatum au 20 décembre, menaçant de vendre ou de publier les données si aucune réponse n’intervient.​

C’est par représailles que le groupe de hackers s’est infiltré dans l’intranet des forces de l’ordre. © SB, IA ChatGPT

Vengeance masquée

De quelles représailles s’agit-il ? Début décembre, quatre Français soupçonnés d’être des administrateurs de BreachForums ont été arrêtés par les forces de l’ordre. Le forum s’était imposé comme une place de marché centrale pour les données piratées, servant de vitrine à des fuites touchant aussi bien des entreprises privées que des institutions publiques. Ces interpellations ont mis fin à ses activités.

Mais cette opération a également déclenché la vengeance d’autres membres du forum. Quelques jours après les interpellations, le ministère de l’Intérieur a détecté des activités suspectes sur ses infrastructures. Officiellement, l’État a d’abord parlé d’un renforcement préventif de la cybersécurité. Mais peu de temps après, le ministre de l’Intérieur a reconnu l’accès à des « applicatifs métiers », sans confirmer de fuite massive. Un flou assumé, qui s’explique autant par la complexité des investigations que par la nécessité d’éviter une panique prématurée.

À l’heure actuelle, les pirates semblent toujours avoir accès au réseau du ministère et publient régulièrement des captures d’écran sur Telegram de documents issus des bases de données. De leur côté, étonnamment, les cinq personnes ayant été arrêtées se sont désolidarisées de cette action.

Les pirates ont publié des captures d’écran prouvant qu’ils ont bien eu accès aux bases de données de la police. Cela ne signifie pas pour autant qu’elles ont été exfiltrées dans leur totalité.

Un scénario très classique

Comment les pirates ont-ils eu accès à ces bases de données ? Dans un premier temps, l’attaque aurait ciblé un centre de police ou de gendarmerie en Charente-Maritime via la compromission de comptes d’agents. Le scénario du phishing ciblé ou du vol d’identifiants est privilégié dans un contexte où la double authentification n’est pas encore généralisée dans les services de police. Une fois un ou plusieurs comptes de messagerie compromis, les attaquants auraient pu surveiller les échanges internes, récupérer des liens, identifiants ou procédures, puis accéder aux « applicatifs métiers » accessibles depuis l’intranet. Tout indique une intrusion lente et discrète, étalée sur plusieurs semaines.

Les pirates cherchent à montrer qu’ils sont toujours présents dans le réseau et diffusent des captures d’écran du portail Cheops datant d’aujourd’hui. Cette capture ne signifie pas pour autant qu’ils aient pu se connecter. © Ilan Gabet

La nouvelle ère de la cyber-défiance

Le ministère a qualifié l’attaque de « très grave » et « sans précédent », mais rien ne dit que les données ont été exfiltrées. En revanche, ce qui est certain c’est que les auteurs de l’attaque ont pu consulter les fichiers à partir de l’intranet.

Cette opération dépasse largement le cadre d’une simple cyberattaque revendiquée contre le ministère de l’Intérieur. Elle illustre une nouvelle phase de confrontation entre États et cybercriminels, où l’arrestation de figures clés ne met plus fin aux menaces, mais peut au contraire les amplifier.

C’est précisément dans cet espace d’incertitude que BreachForums s’engouffre. En revendiquant l’accès au TAJ, au FPR ou encore au portail Cheops, les hackers ne cherchent pas seulement à démontrer leurs prouesses techniques. Ils mènent une opération de pression informationnelle, mêlant menaces, ultimatums et publications ciblées. L’objectif est double : forcer une négociation avec l’État français et restaurer leur crédibilité auprès d’une communauté ébranlée par les soupçons d’infiltration policière.

Certains indices attestent d’un accès réel au réseau interne, notamment des captures de messageries professionnelles et des échanges opérationnels internes. D’autres, en revanche, relèvent plus de la mise en scène : avec des captures d’écran non datées, ou des revendications impossibles à vérifier. Cette ambiguïté n’est pas un défaut, mais un levier. Comme le souligne le chercheur en cybersécurité français Baptiste Robert, l’évaluation d’une attaque d’État prend du temps, surtout lorsqu’elle concerne des milliers de postes et de systèmes interconnectés. Un délai qui permet aux cybercriminels de dicter leur propre tempo médiatique. Ils peuvent continuer à distiller le doute et accentuer la pression politique. Car l’accès à ces bases de données sensibles pose un gros souci, tant pour la protection des victimes, que pour la sécurité des enquêtes et la confiance des citoyens.

Une confiance qui risque un peu plus de s’étioler alors que le ministère cherche à obtenir des accès aux messageries chiffrées et qu’il vient de renouveler son contrat avec la très controversée société américaine Palantir.

Ce qui est certain, c’est que la cybersécurité est désormais un champ de conflictualité où la victoire judiciaire ne garantit plus la fin de la menace, mais peut en devenir le déclencheur.