Laurent Nuñez, Ministre de l'intérieur / Photo F. Balsamo
Laurent Nuñez, Ministre de l'intérieur / Photo F. Balsamo
BREACH FEED

Cyberattaque contre le ministère de l’Intérieur : chronologie et zones d’ombre

📩 Pour nous contacter: redaction@fw.media

17/12/2025
5 minutes de lecture

Entre le 11 et le 16 décembre, le ministère de l’Intérieur a confirmé avoir été la cible d’une cyberattaque. Initialement présentée comme une atteinte aux serveurs de messagerie, l’intrusion s’est révélée plus complexe avec un accès avéré à des applicatifs métiers. Si l’enquête judiciaire et technique est toujours en cours, la communication officielle laisse subsister plusieurs zones d’ombre, retour détaillé sur les événements, ce que l’on sait à ce stade, et ce qui reste incertain.

Avant l’alerte, l’hypothèse d’une intrusion préparée

Les éléments apparus dans les revendications cybercriminelles suggèrent une intrusion qui ne se serait pas limitée à un accès ponctuel, les hackers évoquant une présence prolongée dans le système d’information, avec une capacité de circulation et une connaissance de certains environnements techniques du ministère.

Si aucun de ces points n’est confirmé par les autorités, ils laissent toutefois planer l’hypothèse d’une compromission antérieure à la détection officielle, avec une phase de reconnaissance préalable. À ce stade, il s’agit d’indices indirects, non validés, mais cohérents avec des modes opératoires observés lors d’attaques ciblées contre des institutions publiques.

11 décembre : détection d’activités suspectes sur les messageries

Le jeudi 11 décembre, le ministère de l’Intérieur détecte ce qu’il qualifie en interne d’« activités suspectes » visant ses serveurs de messagerie. L’information est confirmée à nos confrères de BFMTV, mais aucune communication publique n’est faite immédiatement.

Cette posture peut être considérée comme classique à ce stade, correspondant à une phase d’analyse et de qualification, durant laquelle les équipes cherchent à déterminer s’il s’agit d’un incident technique, d’une tentative d’intrusion ou d’une compromission avérée. Ni la nature exacte des signaux détectés, ni leur gravité ne sont alors rendues publiques.

12 décembre : confirmation d’une cyberattaque ciblant les messageries

Invité sur RTL le vendredi 12 décembre, le ministre de l’Intérieur, Laurent Nuñez, confirme officiellement l’existence d’une cyberattaque. Il précise alors que celle-ci a visé les messageries du ministère et indique que les procédures de protection habituelles ont été mises en œuvre.

Le ministre évoque également un accès à « un certain nombre de fichiers », tout en affirmant ne pas avoir, à ce stade, de trace de compromission grave.

Cette communication marque un premier cadrage public, volontairement restreint, qui situe l’incident dans un périmètre technique précis et limite l’ampleur perçue de l’attaque.

Le week-end du 14/15 décembre : des signaux plus perturbateurs

Le dossier prend une autre dimension au cours du week-end, notamment avec l’envoi d’un email annonçant la réouverture de BreachForums depuis un domaine légitime en « interieur.gouv.fr ». Deux hypothèses sont alors envisagées : soit un spoofing particulièrement crédible, soit la compromission effective d’un compte ou d’un service de messagerie du ministère.

Aucune clarification officielle n’est apportée sur ce point, pourtant central pour apprécier la profondeur de l’intrusion. Dans le même temps, une revendication apparaît sur un forum cybercriminel. Les auteurs affirment être à l’origine de l’attaque et évoquent un ultimatum adressé aux autorités françaises. Ils font également référence au groupe de hackers ShinyHunters, avant que les membres historiques de ce groupe, arrêtés en juin 2025, ne se désolidarisent publiquement de l’opération.

Là encore, les autorités ne confirment ni ne démentent formellement la revendication ni l’existence d’un ultimatum.

16 décembre : reconnaissance d’un accès à des applicatifs métiers

Le mardi 16 décembre marque un tournant. Selon BFMTV, et notamment les informations rapportées par le journaliste Raphaël Grably, les équipes de Beauvau ont confirmé que les attaquants avaient eu accès à des « applicatifs métiers », c’est-à-dire des outils internes utilisés par les services du ministère.

Ce changement sémantique est significatif : on ne parle plus uniquement d’outils de communication, mais de logiciels opérationnels internes, potentiellement connectés à des bases de données ou à des systèmes critiques. Aucune précision n’est toutefois apportée sur la nature exacte des applicatifs concernés, leur niveau de sensibilité ou les droits dont disposaient les attaquants.

Piratage du ministère de l’Intérieur : auprès de BFMTV, les équipes de Beauvau confirment que les hackers ont eu accès « à des applicatifs métiers ».
Autrement dit, des outils et logiciels internes, avec potentiellement à la clef des accès à des bases de données.
— Raphaël Grably, 15 décembre 2025

Ce que les autorités affirment à ce stade

La position officielle est constante sur plusieurs points, à commencer par l’affirmation de ne pas avoir identifié de « compromission grave » et par le rappel que les investigations sont toujours en cours, sous l’autorité du parquet de Paris. Les modalités d’accès au système d’information ont été durcies et des mesures de sécurité supplémentaires ont été déployées.

Cette communication laisse toutefois plusieurs questions sans réponse. La première concerne la profondeur réelle de l’intrusion. Quels « applicatifs métiers » sont réellement concernés ? S’agit-il d’outils administratifs ou de systèmes directement liés aux missions régaliennes du ministère ? La publication par les hackers supposés d’une capture d’écran de la page d’accueil du portail CHEOPS de la police nationale interroge, sans qu’aucune preuve d’intrusion ne soit apportée.

La deuxième zone d’ombre porte sur l’exfiltration de données. Si un accès à des fichiers est reconnu, aucune information n’est donnée sur d’éventuels flux sortants, volumes transférés ou indices de fuite. Enfin, la question des bases sensibles, comme le TAJ ou le FPR, n’est jamais abordée directement. Ce silence peut s’expliquer par des impératifs de sécurité, mais il alimente mécaniquement les spéculations.

Une communication sous contrainte

Dans un contexte d’enquête judiciaire et de menace potentiellement persistante, la communication de Beauvau privilégie une parole minimale et juridiquement sécurisée. Si cette prudence est compréhensible, elle laisse au public et aux observateurs spécialisés le soin de reconstituer eux-mêmes la portée de l’incident, au risque d’interprétations divergentes.

Quelles sont les principales bases de données du ministère de l’Intérieur ?

Le ministère de l’Intérieur opère et supervise plusieurs bases de données nationales, utilisées par les forces de sécurité, les préfectures et certains services de l’État.

Le TAJ (Traitement des antécédents judiciaires) regroupe des informations issues des procédures judiciaires, notamment des données relatives aux personnes mises en cause, victimes ou témoins, ainsi qu’aux infractions constatées. Il est consulté quotidiennement par les forces de l’ordre dans le cadre d’enquêtes, de contrôles administratifs ou de procédures judiciaires.

Le FPR (Fichier des personnes recherchées) centralise les informations concernant les personnes faisant l’objet de mesures de recherche ou de surveillance : personnes disparues, individus recherchés par la justice, personnes faisant l’objet d’une interdiction administrative ou judiciaire. Il est consulté en temps réel lors de contrôles d’identité ou de passages aux frontières.

Le SIV (Système d’immatriculation des véhicules) recense l’ensemble des véhicules immatriculés en France et leurs titulaires. Il est utilisé par les forces de l’ordre, les préfectures, ainsi que par des acteurs habilités comme les professionnels de l’automobile ou les assureurs.

Le FNAEG (Fichier national automatisé des empreintes génétiques) contient les profils génétiques collectés dans le cadre d’enquêtes judiciaires. Son accès est extrêmement encadré et réservé à des services spécialisés.

Le FAED (Fichier automatisé des empreintes digitales) centralise les empreintes digitales utilisées pour l’identification judiciaire et administrative. Il est largement utilisé par les forces de l’ordre, avec des accès strictement contrôlés et tracés.

Au-delà de ces bases emblématiques, le ministère s’appuie sur de nombreux systèmes métiers intermédiaires, utilisés par les préfectures, la police, la gendarmerie et les services centraux, servant de couches applicatives entre les agents et les bases nationales.

Suivez nous:
Les derniers articles par LA REDACTION DE FW.MEDIA (tout voir)
Tags
17/12/2025
5 minutes de lecture
Attirez les meilleurs profils de la tech : publiez vos offres sur le jobboard de FRENCHWEB.FR
© Copyright 2008 / 2025, DECODE MEDIA, The Innovation Media Company. All Rights Reserved
Bouton retour en haut de la page
Laurent Nuñez, Ministre de l'intérieur / Photo F. Balsamo
Cyberattaque contre le ministère de l’Intérieur : chronologie et zones d’ombre
Mattia Dalla Piazza CEO d'EQUIXLY
EQUIXLY lève 10 millions d’euros et ouvre l’ère post-DAST : comment l’agentic AI redéfinit le pentest
Heloise Rozes, CEO de CORMA
Pourquoi l’IA fait de la gouvernance logicielle un véritable casse tête
Noam Awadish, CEO d'IMPER AI
Deepfakes, voix clonées, faux collègues sur les messageries, une menace cyber que les entreprises n’arrivent plus à contenir
Dror Kashti, CEO de Sweet Security
SWEET SECURITY lève 65 millions d’euros pour structurer la sécurité des agents IA
Colonel Hervé Pétry, commandant de l’Unité nationale cyber
Vols de voitures : comment des enceintes connectées trafiquées ouvrent et démarrent un véhicule sans effraction apparente.
Quand l’intelligence artificielle devient l’arme anti-IA du secteur bancaire : ACORU lève 10 millions d’euros