Laurent Nuñez, Ministre de l'intérieur / Photo F. Balsamo
Laurent Nuñez, Ministre de l'intérieur / Photo F. Balsamo
BREACH FEED

Cyberattaque contre le ministère de l’Intérieur : chronologie et zones d’ombre (MAJ le 18/12 6h30)

📩 Pour nous contacter: redaction@fw.media

17/12/2025
6 minutes de lecture

Entre le 11 et le 16 décembre, le ministère de l’Intérieur a confirmé avoir été la cible d’une cyberattaque. Initialement présentée comme une atteinte aux serveurs de messagerie, l’intrusion s’est révélée plus complexe avec un accès avéré à des applicatifs métiers. Si l’enquête judiciaire et technique est toujours en cours, la communication officielle laisse subsister plusieurs zones d’ombre, retour détaillé sur les événements, ce que l’on sait à ce stade, et ce qui reste incertain.

Suite à de nouvelles informations, cet article a été enrichi et mis à jour jeudi 18 décembre à 6h30

Avant l’alerte, l’hypothèse d’une intrusion préparée

Les éléments apparus dans les revendications cybercriminelles suggèrent une intrusion qui ne se serait pas limitée à un accès ponctuel, les hackers évoquant une présence prolongée dans le système d’information, avec une capacité de circulation et une connaissance de certains environnements techniques du ministère.

Si aucun de ces points n’est confirmé par les autorités, ils laissent toutefois planer l’hypothèse d’une compromission antérieure à la détection officielle, avec une phase de reconnaissance préalable. À ce stade, il s’agit d’indices indirects, non validés, mais cohérents avec des modes opératoires observés lors d’attaques ciblées contre des institutions publiques.

11 décembre : détection d’activités suspectes sur les messageries

Le jeudi 11 décembre, le ministère de l’Intérieur détecte ce qu’il qualifie en interne d’« activités suspectes » visant ses serveurs de messagerie. L’information est confirmée à nos confrères de BFMTV, mais aucune communication publique n’est faite immédiatement.

Cette posture peut être considérée comme classique à ce stade, correspondant à une phase d’analyse et de qualification, durant laquelle les équipes cherchent à déterminer s’il s’agit d’un incident technique, d’une tentative d’intrusion ou d’une compromission avérée. Ni la nature exacte des signaux détectés, ni leur gravité ne sont alors rendues publiques.

12 décembre : confirmation d’une cyberattaque ciblant les messageries

Invité sur RTL le vendredi 12 décembre, le ministre de l’Intérieur, Laurent Nuñez, confirme officiellement l’existence d’une cyberattaque. Il précise alors que celle-ci a visé les messageries du ministère et indique que les procédures de protection habituelles ont été mises en œuvre.

Le ministre évoque également un accès à « un certain nombre de fichiers », tout en affirmant ne pas avoir, à ce stade, de trace de compromission grave.

Cette communication marque un premier cadrage public, volontairement restreint, qui situe l’incident dans un périmètre technique précis et limite l’ampleur perçue de l’attaque.

Le week-end du 14/15 décembre : des signaux plus perturbateurs

Le dossier prend une autre dimension au cours du week-end, notamment avec l’envoi d’un email annonçant la réouverture de BreachForums depuis un domaine légitime en « interieur.gouv.fr ». Deux hypothèses sont alors envisagées : soit un spoofing particulièrement crédible, soit la compromission effective d’un compte ou d’un service de messagerie du ministère.

Aucune clarification officielle n’est apportée sur ce point, pourtant central pour apprécier la profondeur de l’intrusion. Dans le même temps, une revendication apparaît sur un forum cybercriminel. Les auteurs affirment être à l’origine de l’attaque et évoquent un ultimatum adressé aux autorités françaises. Ils font également référence au groupe de hackers ShinyHunters, avant que les membres historiques de ce groupe, arrêtés en juin 2025, ne se désolidarisent publiquement de l’opération.

Là encore, les autorités ne confirment ni ne démentent formellement la revendication ni l’existence d’un ultimatum.

16 décembre : reconnaissance d’un accès à des applicatifs métiers

Le mardi 16 décembre marque un tournant. Selon BFMTV, et notamment les informations rapportées par le journaliste Raphaël Grably, les équipes de Beauvau ont confirmé que les attaquants avaient eu accès à des « applicatifs métiers », c’est-à-dire des outils internes utilisés par les services du ministère.

Ce changement sémantique est significatif : on ne parle plus uniquement d’outils de communication, mais de logiciels opérationnels internes, potentiellement connectés à des bases de données ou à des systèmes critiques. Aucune précision n’est toutefois apportée sur la nature exacte des applicatifs concernés, leur niveau de sensibilité ou les droits dont disposaient les attaquants.

Piratage du ministère de l’Intérieur : auprès de BFMTV, les équipes de Beauvau confirment que les hackers ont eu accès « à des applicatifs métiers ».
Autrement dit, des outils et logiciels internes, avec potentiellement à la clef des accès à des bases de données.
— Raphaël Grably, 15 décembre 2025

17 décembre: une interpellation

Le parquet de Paris a annoncé, le 17 décembre, l’interpellation d’un suspect dans l’enquête ouverte après la cyberattaque visant le ministère de l’Intérieur, des faits qualifiés d’atteinte à un système de traitement automatisé de données à caractère personnel de l’État, commise en bande organisée, une infraction passible de dix ans d’emprisonnement selon le communiqué signé par la procureure de la République Laure Beccuau. Né en 2003 et déjà condamné en 2025 pour des faits similaires, l’individu a été interpellé à Limoges et placé en garde à vue par la section de lutte contre la cybercriminalité du parquet de Paris et l’Office anti-cybercriminalité, une mesure pouvant durer jusqu’à quarante-huit heures, à l’issue de laquelle une nouvelle communication est attendue. La qualification pénale retenue exclut l’hypothèse d’un accès frauduleux isolé et établit l’intrusion dans un système étatique traitant des données personnelles, avec une circonstance aggravante liée à une action coordonnée, impliquant la consultation effective de données sensibles dont le périmètre reste à préciser. Ces éléments ont été partiellement corroborés par le ministre de l’Intérieur, Laurent Nuñez, qui a confirmé le 17 décembre sur franceinfo une « intrusion malveillante » qualifiée d’« acte grave », partie de messageries professionnelles compromises, avec un accès à des fichiers internes sensibles, notamment le Traitement des antécédents judiciaires et le Fichier des personnes recherchées, tout en reconnaissant que l’ampleur exacte des compromissions n’est pas encore établie. Le ministère a par ailleurs saisi la CNIL et ouvert une enquête administrative interne, conformément aux obligations légales.

Ce que les autorités affirment à ce stade (MAJ le 18 décembre 6h)

La position officielle s’est précisée sans pour autant lever l’ensemble des incertitudes. Les autorités maintiennent que les investigations sont toujours en cours sous l’autorité du parquet de Paris et rappellent avoir immédiatement durci les modalités d’accès au système d’information, tout en déployant des mesures de sécurité supplémentaires. La qualification pénale retenue par le parquet, qui vise une atteinte à un système de traitement automatisé de données à caractère personnel de l’État commise en bande organisée, marque toutefois un infléchissement notable du discours initial et établit que l’intrusion ne se limite pas à un accès opportuniste, mais concerne un système étatique traitant des données sensibles, avec une coordination préalable.

Pour autant, plusieurs zones d’ombre demeurent. Le périmètre exact des « applicatifs métiers » concernés n’est toujours pas précisé : s’agit-il d’outils administratifs périphériques ou de systèmes directement liés aux missions régaliennes du ministère ? La revendication d’un accès au portail CHEOPS de la police nationale, illustrée par une capture d’écran publiée par les cybercriminels présumés, n’a pas été confirmée par les autorités et reste à ce stade invérifiable. S’agissant des données, le ministère reconnaît désormais un accès à des fichiers internes sensibles, dont le Traitement des antécédents judiciaires et le Fichier des personnes recherchées, tout en indiquant que « l’ampleur des compromissions » n’est pas encore connue. En revanche, aucune information n’est communiquée sur une éventuelle exfiltration : volumes de données consultées ou transférées, flux sortants détectés, ou indices de fuite. Ce silence, compréhensible au regard des impératifs opérationnels et judiciaires, entretient néanmoins les interrogations sur la portée réelle de l’attaque.

Quelles sont les principales bases de données du ministère de l’Intérieur ?

Le ministère de l’Intérieur opère et supervise plusieurs bases de données nationales, utilisées par les forces de sécurité, les préfectures et certains services de l’État.

Le TAJ (Traitement des antécédents judiciaires) regroupe des informations issues des procédures judiciaires, notamment des données relatives aux personnes mises en cause, victimes ou témoins, ainsi qu’aux infractions constatées. Il est consulté quotidiennement par les forces de l’ordre dans le cadre d’enquêtes, de contrôles administratifs ou de procédures judiciaires.

Le FPR (Fichier des personnes recherchées) centralise les informations concernant les personnes faisant l’objet de mesures de recherche ou de surveillance : personnes disparues, individus recherchés par la justice, personnes faisant l’objet d’une interdiction administrative ou judiciaire. Il est consulté en temps réel lors de contrôles d’identité ou de passages aux frontières.

Le SIV (Système d’immatriculation des véhicules) recense l’ensemble des véhicules immatriculés en France et leurs titulaires. Il est utilisé par les forces de l’ordre, les préfectures, ainsi que par des acteurs habilités comme les professionnels de l’automobile ou les assureurs.

Le FNAEG (Fichier national automatisé des empreintes génétiques) contient les profils génétiques collectés dans le cadre d’enquêtes judiciaires. Son accès est extrêmement encadré et réservé à des services spécialisés.

Le FAED (Fichier automatisé des empreintes digitales) centralise les empreintes digitales utilisées pour l’identification judiciaire et administrative. Il est largement utilisé par les forces de l’ordre, avec des accès strictement contrôlés et tracés.

Au-delà de ces bases emblématiques, le ministère s’appuie sur de nombreux systèmes métiers intermédiaires, utilisés par les préfectures, la police, la gendarmerie et les services centraux, servant de couches applicatives entre les agents et les bases nationales.

 

Suivez nous:
Les derniers articles par LA REDACTION DE FW.MEDIA (tout voir)
Tags
17/12/2025
6 minutes de lecture
Attirez les meilleurs profils de la tech : publiez vos offres sur le jobboard de FRENCHWEB.FR
© Copyright 2008 / 2025, DECODE MEDIA, The Innovation Media Company. All Rights Reserved
Bouton retour en haut de la page
Laurent Nuñez, Ministre de l'intérieur / Photo F. Balsamo
Cyberattaque contre le ministère de l’Intérieur : chronologie et zones d’ombre (MAJ le 18/12 6h30)
Elie Rozen et Chay Sandler, co fondateurs de Vega
VEGA ou l’ère des fondateurs “ultra-expérimentés” dans la cybersécurité
Laure Beccuau, Procureure de Paris
Cyberattaque contre le ministère de l’Intérieur : une interpellation pour atteinte aux systèmes de données de l’État
Mattia Dalla Piazza CEO d'EQUIXLY
EQUIXLY lève 10 millions d’euros et ouvre l’ère post-DAST : comment l’agentic AI redéfinit le pentest
Heloise Rozes, CEO de CORMA
Pourquoi l’IA fait de la gouvernance logicielle un véritable casse tête
Noam Awadish, CEO d'IMPER AI
Deepfakes, voix clonées, faux collègues sur les messageries, une menace cyber que les entreprises n’arrivent plus à contenir
Dror Kashti, CEO de Sweet Security
SWEET SECURITY lève 65 millions d’euros pour structurer la sécurité des agents IA