IN THE LOOP

Cyberattaque au ministère de l’Intérieur : ce que l’on sait, ce qui reste incertain (mise à jour le 18 décembre à 6 h 30)

Photo de LA REDACTION DE DECODE.MEDIA LA REDACTION DE DECODE.MEDIA17 décembre 2025
Laurent Nuñez, Ministre de l'intérieur / Photo F. Balsamo
Laurent Nuñez, Ministre de l'intérieur / Photo F. Balsamo

Entre le 11 et le 16 décembre, le ministère de l’Intérieur a confirmé avoir été la cible d’une cyberattaque. Initialement présentée comme une atteinte circonscrite aux serveurs de messagerie, l’intrusion s’est révélée plus complexe, avec un accès avéré à des applicatifs métiers. Si l’enquête judiciaire et technique est toujours en cours, la communication officielle laisse subsister plusieurs zones d’ombre. Retour détaillé sur les événements, ce que l’on sait à ce stade et ce qui demeure incertain.

Suite à de nouvelles informations, cet article a été enrichi et mis à jour jeudi 18 décembre à 6h30

Avant l’alerte, l’hypothèse d’une intrusion préparée

Les éléments apparus dans certaines revendications cybercriminelles suggèrent une intrusion qui ne se serait pas limitée à un accès ponctuel. Les auteurs évoquent une présence prolongée dans le système d’information, avec une capacité de circulation et une connaissance de certains environnements techniques du ministère.

Si aucun de ces éléments n’est confirmé par les autorités, ils alimentent l’hypothèse d’une compromission antérieure à la détection officielle, impliquant une phase de reconnaissance préalable. À ce stade, il s’agit d’indices indirects, non validés, mais cohérents avec des modes opératoires déjà observés lors d’attaques ciblées contre des institutions publiques.

11 décembre : détection d’activités suspectes sur les messageries

Le jeudi 11 décembre, le ministère de l’Intérieur détecte ce qu’il qualifie en interne d’« activités suspectes » visant ses serveurs de messagerie. L’information est confirmée à BFMTV, sans communication publique immédiate.

Cette posture correspond à une phase classique d’analyse et de qualification, durant laquelle les équipes cherchent à déterminer s’il s’agit d’un incident technique, d’une tentative d’intrusion ou d’une compromission avérée. Ni la nature exacte des signaux détectés, ni leur gravité, ne sont alors rendues publiques.

12 décembre : confirmation d’une cyberattaque ciblant les messageries

Invité sur RTL le vendredi 12 décembre, le ministre de l’Intérieur, Laurent Nuñez, confirme officiellement l’existence d’une cyberattaque. Il précise que celle-ci a visé les messageries du ministère et indique que les procédures de protection habituelles ont été mises en œuvre.

Le ministre évoque également un accès à « un certain nombre de fichiers », tout en affirmant ne pas disposer, à ce stade, d’éléments attestant d’une compromission grave. Cette prise de parole marque un premier cadrage public, volontairement restrictif, qui circonscrit l’incident à un périmètre technique précis et en limite l’ampleur perçue.

Le week-end des 14 et 15 décembre : des signaux plus perturbateurs

Le dossier prend une autre dimension au cours du week-end, avec l’envoi d’un courriel annonçant la réouverture de BreachForums depuis un domaine légitime en « interieur.gouv.fr ». Deux hypothèses sont alors évoquées : un spoofing particulièrement crédible ou la compromission effective d’un compte ou d’un service de messagerie du ministère.

Aucune clarification officielle n’est apportée sur ce point, pourtant central pour apprécier la profondeur de l’intrusion. Parallèlement, une revendication apparaît sur un forum cybercriminel. Les auteurs affirment être à l’origine de l’attaque et évoquent un ultimatum adressé aux autorités françaises. Ils font également référence au groupe ShinyHunters, avant que les membres historiques de ce groupe, arrêtés en juin 2025, ne se désolidarisent publiquement de l’opération.

Les autorités ne confirment ni ne démentent formellement ces éléments, ni l’existence d’un ultimatum.

16 décembre : reconnaissance d’un accès à des applicatifs métiers

Le mardi 16 décembre marque un tournant. Selon BFMTV, notamment les informations rapportées par le journaliste Raphaël Grably, les équipes de Beauvau confirment que les attaquants ont eu accès à des « applicatifs métiers », c’est-à-dire à des outils internes utilisés par les services du ministère.

Ce glissement sémantique est significatif. Il ne s’agit plus uniquement d’outils de communication, mais de logiciels opérationnels internes, potentiellement connectés à des bases de données ou à des systèmes sensibles. Aucune précision n’est toutefois apportée sur la nature exacte des applicatifs concernés, leur criticité ni le niveau de droits dont disposaient les attaquants.

Piratage du ministère de l’Intérieur : auprès de BFMTV, les équipes de Beauvau confirment que les hackers ont eu accès « à des applicatifs métiers ». Autrement dit, des outils et logiciels internes, avec potentiellement à la clef des accès à des bases de données.
— Raphaël Grably, 15 décembre 2025

17 décembre : une interpellation

Le parquet de Paris annonce, le 17 décembre, l’interpellation d’un suspect dans le cadre de l’enquête ouverte après la cyberattaque visant le ministère de l’Intérieur. Les faits sont qualifiés d’atteinte à un système de traitement automatisé de données à caractère personnel de l’État, commise en bande organisée, une infraction passible de dix ans d’emprisonnement, selon le communiqué signé par la procureure de la République, Laure Beccuau.

Né en 2003 et déjà condamné en 2025 pour des faits similaires, l’individu a été interpellé à Limoges et placé en garde à vue par la section de lutte contre la cybercriminalité du parquet de Paris et l’Office anti-cybercriminalité. Cette mesure, d’une durée maximale de quarante-huit heures, doit donner lieu à une communication ultérieure.

La qualification pénale retenue exclut l’hypothèse d’un accès frauduleux isolé. Elle établit l’existence d’une intrusion dans un système étatique traitant des données personnelles, avec une circonstance aggravante liée à une action coordonnée, impliquant la consultation effective de données sensibles, dont le périmètre reste à préciser.

Ces éléments sont partiellement corroborés par le ministre de l’Intérieur, Laurent Nuñez, qui confirme le 17 décembre sur franceinfo une « intrusion malveillante » qualifiée d’« acte grave ». Il indique que l’attaque est partie de messageries professionnelles compromises, avec un accès à des fichiers internes sensibles, notamment le Traitement des antécédents judiciaires et le Fichier des personnes recherchées, tout en reconnaissant que l’ampleur exacte des compromissions n’est pas encore établie. Le ministère a par ailleurs saisi la CNIL et ouvert une enquête administrative interne.

Ce que les autorités affirment à ce stade (mise à jour du 18 décembre, 6 h)

La position officielle s’est précisée sans lever l’ensemble des incertitudes. Les autorités indiquent que les investigations se poursuivent sous l’autorité du parquet de Paris et rappellent avoir durci les modalités d’accès au système d’information, tout en déployant des mesures de sécurité supplémentaires.

La qualification pénale retenue marque toutefois une inflexion notable par rapport au discours initial. Elle établit que l’intrusion ne se limite pas à un accès opportuniste, mais concerne un système étatique traitant des données sensibles, avec un degré de coordination préalable.

Plusieurs zones d’ombre subsistent néanmoins. Le périmètre exact des « applicatifs métiers » concernés n’est pas précisé : s’agit-il d’outils administratifs périphériques ou de systèmes directement liés aux missions régaliennes du ministère ? La revendication d’un accès au portail CHEOPS de la police nationale, illustrée par une capture d’écran publiée par les cybercriminels présumés, n’a pas été confirmée et reste invérifiable à ce stade.

S’agissant des données, le ministère reconnaît désormais un accès à des fichiers internes sensibles, dont le Traitement des antécédents judiciaires et le Fichier des personnes recherchées, tout en indiquant que « l’ampleur des compromissions » n’est pas encore connue. En revanche, aucune information n’est communiquée sur une éventuelle exfiltration : volumes consultés ou transférés, flux sortants détectés ou indices de fuite. Ce silence, compréhensible au regard des impératifs judiciaires et opérationnels, entretient néanmoins les interrogations sur la portée réelle de l’attaque.

Quelles sont les principales bases de données du ministère de l’Intérieur ?

Le ministère de l’Intérieur opère et supervise plusieurs bases de données nationales utilisées par les forces de sécurité, les préfectures et certains services de l’État.

Le Traitement des antécédents judiciaires regroupe des informations issues des procédures judiciaires, concernant notamment les personnes mises en cause, victimes ou témoins, ainsi que les infractions constatées. Il est consulté quotidiennement par les forces de l’ordre.

Le Fichier des personnes recherchées centralise les informations relatives aux personnes faisant l’objet de mesures de recherche ou de surveillance. Il est interrogé en temps réel lors de contrôles d’identité ou de passages aux frontières.

Le Système d’immatriculation des véhicules recense l’ensemble des véhicules immatriculés en France et leurs titulaires. Il est utilisé par les forces de l’ordre, les préfectures et des acteurs habilités.

Le Fichier national automatisé des empreintes génétiques contient les profils génétiques collectés dans le cadre d’enquêtes judiciaires. Son accès est strictement encadré.

Le Fichier automatisé des empreintes digitales centralise les empreintes digitales utilisées à des fins d’identification judiciaire et administrative.

Au-delà de ces bases emblématiques, le ministère s’appuie sur de nombreux systèmes métiers intermédiaires, utilisés par la police, la gendarmerie, les préfectures et les services centraux, qui constituent autant de couches applicatives entre les agents et les bases nationales.

Photo de LA REDACTION DE DECODE.MEDIA LA REDACTION DE DECODE.MEDIA17 décembre 2025
Photo de LA REDACTION DE DECODE.MEDIA

LA REDACTION DE DECODE.MEDIA

Articles similaires

Amiram Shachar, CEO d'UPWIND

Sécurité cloud : le runtime prend le dessus sur la posture, UPWIND lève 212 millions d’euros

27 janvier 2026
Mattia Dalla Piazza CEO d'EQUIXLY

Equixly lève dix millions d’euros pour industrialiser le pentest à l’ère post-DAST

10 décembre 2025
Noam Awadish, CEO d'IMPER AI

Deepfakes et faux collègues : quand l’ingénierie sociale dépasse les défenses cyber des entreprises

5 décembre 2025
Elie Rozen et Chay Sandler, co fondateurs de Vega

VEGA, symbole de la montée en puissance des fondateurs ultra-expérimentés en cybersécurité

18 décembre 2025

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

© Copyright 2008 / 2026, DECODE MEDIA, The Innovation Media Company. All Rights Reserved
Bouton retour en haut de la page