Rançongiciels paralysant des hôpitaux, fuites massives de données personnelles, campagnes de déstabilisation numérique, espionnage étatique et sabotages informatiques : les cyberattaques se sont imposées comme une menace permanente, brouillant les frontières entre cybercriminalité organisée, terrorisme et affrontements géopolitiques.

Dans le contexte du conflit Russie-Ukraine, le cyberespace est devenu un champ de bataille à part entière, où administrations, infrastructures critiques et institutions publiques constituent des cibles stratégiques, nourrissant un climat durable de méfiance et d’inquiétude. C’est dans ce climat qu’est intervenue l’attaque cyber contre le ministère de l’Intérieur français. Montceau News fait le point pour vous. Nous vous avons plusieurs fois alertés dans nos colonnes.

Ce 17 décembre 2025, le ministère de l’Intérieur français a officiellement reconnu avoir été la cible d’une cyberattaque d’envergure, détectée dans la nuit du 11 au 12 décembre, ayant affecté principalement les serveurs de messagerie professionnelle et plusieurs applicatifs métiers internes utilisés quotidiennement par les services pour leurs missions opérationnelles. Laurent Nuñez, ministre de l’Intérieur, a déclaré que l’intrusion est avérée : un attaquant est parvenu à compromettre des messageries institutionnelles et à accéder à un certain nombre de fichiers internes, sans qu’il soit toutefois établi, à ce stade, qu’une compromission grave de systèmes ou de bases de données sensibles ait eu lieu.

Propos vagues, pour une enquête interne qui depuis une semaine aurait dû conclure si oui ou non il y a compromission grave de systèmes ou de bases de données sensibles.

Sans doute une tactique et une attitude prudente pour ne pas compromettre l’enquête policière.

En réaction immédiate, les autorités ont mis en œuvre un renforcement des dispositifs de sécurité, incluant le durcissement des conditions d’accès, la généralisation de l’authentification à facteurs multiples, la révocation d’identifiants potentiellement compromis et la diffusion de consignes de vigilance auprès des agents concernés.

Parallèlement, une enquête judiciaire a été ouverte sous l’autorité du parquet de Paris, mobilisant l’Office anti-cybercriminalité (OFAC) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en lien avec des investigations administratives et techniques destinées à déterminer les modalités précises de l’attaque, son origine et son périmètre réel.

Peu après la révélation de l’incident, une revendication est apparue sur le forum clandestin BreachForums, émanant d’un pseudonyme affirmant que les pirates auraient exfiltré des données personnelles sensibles concernant environ 16,4 millions de personnes.

Cette revendication évoque notamment un accès au Traitement des antécédents judiciaires (TAJ), au Fichier des personnes recherchées (FPR), ainsi qu’à des systèmes supposément liés à des administrations tierces telles que la Direction générale des finances publiques et la Caisse nationale d’assurance vieillesse. Si c’est vrai, c’est énorme et cela fait peser un doute sur la manière dont nos fichiers sensibles sont protégés. Mais cela peut aussi s’avérer un bluff.

Cette revendication s’accompagne d’un ultimatum conditionnant l’ouverture de négociations à la non-publication ou non-revente des données. À cette heure, aucune preuve technique publique n’est venue, à ce jour, étayer ces affirmations, conduisant les autorités à adopter une posture prudente et à ne pas valider ces allégations tant que les investigations ne les corroborent pas.

Cet incident s’inscrit dans un contexte de hausse structurelle des cybermenaces en France, documentées par l’ANSSI et ses partenaires. En 2024, plus de 4 300 événements de sécurité ont été recensés, soit une augmentation d’environ 15 % par rapport à 2023, incluant des rançongiciels, des opérations d’espionnage et des tentatives de déstabilisation visant aussi bien des acteurs publics que privés.

Les administrations, collectivités et services essentiels constituent des cibles privilégiées, notamment lors d’événements sensibles comme les Jeux olympiques de Paris 2024, qui ont élargi la surface d’attaque.

Il existe une entité gouvernementale et nationale assurant la mise en œuvre opérationnelle de la fonction d’autorité de défense des systèmes numériques d’intérêt pour la nation dévolue à l’ANSSI. C’est une équipe d’experts appelée le CERT-FR (Computer Emergency Response Team français). Elle illustre par ses bulletins et ses alertes régulières le contexte dans lequel elle agit et renseigne sur un environnement opérationnel marqué par la persistance de vulnérabilités logicielles, de campagnes de hameçonnage, d’attaques par force brute et de compromissions ciblées. Tout ceci dans un paysage mondial où les institutions publiques sont devenues des objectifs stratégiques pour des groupes criminels organisés ou des acteurs aux motivations politiques, financières ou géopolitiques, comme l’ont montré des affaires antérieures touchant des réseaux ou systèmes nationaux.

Les enjeux sécuritaires associés à l’attaque du ministère de l’Intérieur sont majeurs. La divulgation ou l’exploitation de données policières et judiciaires représenterait une atteinte grave à la sécurité nationale et aux libertés individuelles, en exposant des informations relatives à des enquêtes, des victimes, des témoins ou des personnes recherchées, avec des risques accrus d’usurpation d’identité, d’extorsion et de hameçonnage ciblé, ainsi qu’un impact potentiel sur le bon déroulement d’enquêtes en cours et sur la confiance entre citoyens et institutions. A Montceau News nous avons alerté plusieurs fois sur ces techniques.

Sur le plan politique, l’exécutif a cherché à contenir l’inquiétude tout en reconnaissant la gravité de l’incident, mettant en avant la réactivité des services de l’État et la mobilisation des autorités compétentes, dans une communication visant à rassurer sans anticiper les conclusions de l’enquête.

Si le Parlement s’est encore peu exprimé publiquement, l’affaire ravive des préoccupations récurrentes sur la vulnérabilité numérique de l’administration, le vieillissement de certains systèmes d’information et l’insuffisante généralisation de l’authentification forte, laissant présager de futures interpellations politiques et auditions parlementaires à mesure que l’ampleur réelle de l’attaque sera précisée.

Le cas français s’inscrit enfin dans une tendance internationale lourde au niveau mondial. Des attaques comparables ont visé des bases de données policières ou judiciaires en Espagne, aux Pays-Bas ou au Royaume-Uni, tandis que l’Estonie, dès 2007, avait subi des cyberattaques massives contre ses institutions, et que la fuite de la base de données policière de Shanghai en 2022 a illustré les risques extrêmes liés à la centralisation des données de sécurité. Ces attaques, motivées par l’extorsion, la déstabilisation ou des logiques géopolitiques, exploitent fréquemment des failles humaines ou des systèmes anciens et démontrent que même les ministères régaliens ne sont plus à l’abri.

La cyberattaque contre le ministère de l’Intérieur constitue un incident d’une rare gravité touchant un pilier de l’État, caractérisé par une intrusion confirmée mais par des allégations de vol massif de données non établies à ce stade. Les conclusions des enquêtes menées par l’ANSSI, l’OFAC et le parquet de Paris seront déterminantes pour en mesurer l’impact réel, dans un contexte où la multiplication des incidents rend indispensable un renforcement continu des défenses numériques, un partage accru des alertes de vulnérabilité et une capacité de réponse coordonnée face à des menaces toujours plus sophistiquées.

À ce stade, une seule certitude s’impose, il y a eu intrusion réelle qui a touché les systèmes du ministère de l’Intérieur. L’ampleur exacte des accès et la réalité d’un éventuel vol massif de données demeurent non établies. Les investigations techniques, judiciaires et administratives en cours devront seule­ment permettre de distinguer les faits avérés des revendications opportunistes et d’en mesurer les conséquences concrètes pour la sécurité de l’État et des citoyens. Tant que ces éléments ne seront pas objectivement confirmés, toute conclusion définitive serait prématurée. C’est, en l’état actuel des informations disponibles, tout ce qu’il est possible de dire.

Gilles Desnoix

Sources : Reuters, CyberVeille, PolitiqueMatin, Le Monde Informatique, IPA France, Journal du Geek, Cybermalveillance.gouv.fr, CERT.fr