Mi-décembre, le ministère de l’Intérieur a découvert une intrusion informatique d’ampleur dans ses systèmes de messagerie. Pendant plusieurs semaines, un pirate a pu accéder à des serveurs et consulter des bases de données policières, dont le Traitement des antécédents judiciaires (TAJ) et le Fichier des personnes recherchées (FPR). L’enquête a conduit à l’interpellation d’un homme de 22 ans, aujourd’hui mis en examen et placé en détention provisoire.
Pour comprendre ce que cette attaque dit de l’état de la cybersécurité du pays, Francis Fanch, cofondateur de la start-up Nano Corp, spécialisée en cybersécurité, et ancien analyste des forces russes au ministère des Armées a livré son analyse au micro de Sud Radio.
"Vingt-six jours, c’est extrêmement long"
Comment est-il possible qu’un individu parvienne à s’introduire dans les serveurs du ministère de l’Intérieur et surtout à y rester aussi longtemps sans être détecté ?
« Ce n’est pas tellement la question de comment on fait pour rentrer, parce que ça, on a bien compris : il a subtilisé des mots de passe, il s’est fait passer pour un employé. La vraie question, c’est pourquoi ça ne sonne pas. Pourquoi il peut rester autant de jours sans que personne ne s’en aperçoive ? On est sur des fichiers ultra sensibles. Vingt-six jours, c’est extrêmement long. Et surtout, comment avec un seul accès il arrive à atteindre autant de fichiers différents ? »
"Il y a clairement une mauvaise hygiène d’accès interne"
Justement, ces fichiers sont censés être cloisonnés. Est-ce normal qu’un accès permette de consulter autant de bases différentes ?
« Non. Il y a clairement une mauvaise hygiène d’accès interne. S’il a pu subtiliser un ensemble login-mot de passe et qu’avec ça il a accédé à quatorze fichiers différents, il y a un vrai sujet. Ce ne sont pas de bonnes pratiques.
Un enquêteur doit pouvoir consulter plusieurs fichiers et croiser des informations, bien sûr. Mais le volume pose question. Est-ce qu’il existe des ensembles de login-mot de passe quasi génériques, utilisés pour des raisons administratives, qui permettent d’accéder à tout ? Ce serait une très, très mauvaise pratique. »
🗣️ Francis Fanch, spécialiste en cybersécurité : « Le ministère de l’Intérieur doit dévoiler publiquement les failles qui ont permis cette cyberattaque » #LesGrandsDébats
— Sud Radio (@SudRadio) December 29, 2025
Suivez le direct : https://t.co/QKa5Efuc2W pic.twitter.com/ECX7vTWtZr
"Il n’y a pas forcément un but criminel"
Le ministère évoque l’extraction de plusieurs dizaines, voire plus d’une centaine de fiches. À vos yeux, quel peut être l’objectif derrière ce type de vol ?
« On a de nombreux cas, dans l’histoire du hacking, d’opportunistes qui trouvent une faille et l’exploitent pour un intérêt personnel ou une forme de gloire. Les fichiers ne sont pas forcément là pour être vendus, mais pour faire preuve de sa capacité à les consulter. C’est affiché sur des scoreboards, dans des forums de hackers, en disant : regardez où moi j’ai été, voilà la preuve. Il n’y a pas forcément un but criminel. Il peut y en avoir, mais en général, quand on regarde les données vendues sur le dark web, ce sont des volumes beaucoup plus massifs. »
"Le ministère devrait dire publiquement ce qui n’est pas allé"
Peut-on pour autant exclure l’hypothèse d’une organisation criminelle derrière ce jeune hacker ?
« La première partie de l’enquête va consister à comprendre les motifs réels et surtout à savoir s’il a été manipulé par une entité. C’est le sujet numéro un. Des organisations criminelles extrêmement capables dans le domaine cyber peuvent avoir un intérêt très spécifique sur ces fichiers. Par exemple, savoir lesquelles de leurs personnes sont sous surveillance ou pas. »
Cette affaire pose aussi la question de la communication de l’État. Faut-il rester discret ou au contraire expliquer ce qui s’est mal passé ?
« Je pense qu’au contraire, le ministère devrait dire publiquement ce qui n’est pas allé et ce qu’il faut faire. Quelles étaient les bonnes pratiques à mettre en place et ce qu’ils vont corriger. Garder trop de confidentialité là-dessus nuira à la montée en maturité de l’écosystème français, public comme privé, dans le domaine cyber. »
"La France a un cadre d’emploi extrêmement régulé"
Mais la France a-t-elle les moyens de répliquer dans le cyberespace ?
« La France en a la capacité, mais elle a un cadre d’emploi extrêmement régulé. La doctrine de lutte informatique offensive a été publiée en 2019. Les actions cyber se font dans ce cadre-là. On ne va pas faire des attaques de nuisance comme celles que la France a subies. La lutte informatique offensive, c’est fait pour faire la guerre, pas pour être pénible. On n’a aucun intérêt à révéler nos capacités réelles pour des opérations mineures. Ce serait abattre nos cartes beaucoup trop facilement. »