Une cyberattaque ciblant le ministère de l’Intérieur fin 2025 a permis la consultation de fichiers sensibles, dont le TAJ et le FPR, à partir d’identifiants compromis. Auditionné par la commission des lois du Sénat, Laurent Nuñez a reconnu des failles d’hygiène numérique et annoncé la généralisation de l’authentification multifacteur pour l’accès aux applications ministérielles.
Les faits : comment des comptes de messagerie compromis ont ouvert l’accès à des fichiers sensibles
Les premiers signaux apparaissent le 25 novembre, lorsque la direction générale de la police nationale détecte la modification de mots de passe sur plusieurs boîtes de messagerie professionnelles. Toutes les adresses concernées sont des comptes de la police nationale.
Selon les éléments présentés par Laurent Nuñez lors de son audition devant la commission des lois du Sénat, l’attaquant a exploité ces accès pour mener des recherches ciblées directement dans les messageries. En utilisant une cinquantaine de mots-clés, comme « secret », des noms d’applications, « mot de passe », il est parvenu à identifier des échanges internes dans lesquels des agents se transmettaient des identifiants d’accès.
Ces informations lui ont permis d’entrer sur un portail regroupant plusieurs applications de police, depuis lequel il a pu consulter des bases sensibles. Parmi elles :
-
le Traitement des antécédents judiciaires (TAJ),
-
le Fichier des personnes recherchées (FPR),
-
ainsi que des fiches Interpol.
Des extractions de données ont bien eu lieu. L’attaquant a ainsi pu récupérer 72 fiches TAJ, ainsi que plusieurs milliers de « sommaires » sur les 19 millions que comporte le système. Pour le FPR, 23 fiches détaillées et environ 3 000 sommaires ont été extraits. Côté Interpol, 10 fiches ont été consultées, dont une exfiltrée.
Laurent Nuñez a toutefois insisté sur un point : aucune modification ni destruction de données n’a été constatée.
Dès le 28 novembre, des mesures correctives sont engagées, notamment la réinitialisation des mots de passe des messageries concernées. Ce n’est cependant que le 8 décembre que les services identifient formellement les accès non autorisés aux portails applicatifs. La dernière trace d’intrusion est relevée le 16 décembre.
Le 17 décembre, un suspect est interpellé. Âgé de 22 ans, déjà connu des services de police pour des faits de détournement de lignes téléphoniques et de swatting, son profil interroge par le décalage entre les techniques employées et la sensibilité des systèmes consultés. L’intrusion avait par ailleurs été revendiquée sur BreachForums, plateforme bien connue de revente et de diffusion de données issues de cyberattaques.
Réactions et mesures : contenir l’incident et durcir durablement les accès
Interrogé sur l’ampleur et la nature de l’attaque, Laurent Nuñez a d’abord tenu à préciser l’état des investigations. À ce stade, un seul auteur a été formellement identifié et interpellé. Si l’hypothèse d’une action collective n’est pas totalement écartée — l’expérience montrant que ce type d’intrusion est souvent le fait de groupes organisés —, aucun élément ne permet, à ce stade, de confirmer l’implication d’autres personnes.
Sur le plan opérationnel, les premières mesures ont été prises immédiatement après la détection de l’incident, avec un objectif clair : couper les accès, réduire la surface d’attaque et reprendre le contrôle des environnements compromis.
L’ensemble des mots de passe des comptes gestionnaires de messageries a été réinitialisé, sans distinction. Dans le même temps, un vaste travail de nettoyage des comptes a été engagé : près d’un millier de comptes obsolètes — liés à des agents ayant quitté les services sans suppression formelle de leurs accès — ont été désactivés. Les boîtes de messagerie identifiées comme compromises ont, elles, fait l’objet d’une réinitialisation immédiate et ciblée.
À partir des traces laissées par l’attaquant dans les systèmes — ce que Laurent Nuñez décrit comme une « signature », sans que le terme soit employé au sens technique strict — les équipes ont procédé à une analyse approfondie des parcours d’accès. Ce travail a permis d’identifier précisément les sept applications consultées et de cartographier les chemins empruntés. Des opérations de criblage et de rétro-criblage ont ensuite été menées afin de reconstituer les mouvements de l’attaquant au sein du système d’information.
L’ANSSI, informée dès les premiers instants, a assuré un rôle de relais auprès de l’ensemble des ministères, afin de partager les premiers enseignements et renforcer la vigilance sur des schémas d’attaque similaires.
Sur le volet structurel, plusieurs décisions de fond ont été actées. La double authentification devient systématique pour l’accès aux applications, via une carte sécurisée ou un mécanisme de double verrouillage. En parallèle, les contrôles internes sur les pratiques de sécurité vont être renforcés, notamment sur la gestion des identifiants et les usages de la messagerie. Un chantier de refonte vers une messagerie plus sécurisée est également engagé, accompagné du lancement de plusieurs audits destinés à évaluer plus largement la robustesse des dispositifs existants.
Tout en qualifiant l’incident de « très grave », Laurent Nuñez a tenu à rappeler que le ministère de l’Intérieur, à l’instar des autres administrations, a consenti des efforts importants ces dernières années pour renforcer la sécurité de ses systèmes d’information — une dynamique qui, selon lui, doit désormais franchir un nouveau seuil en matière de contrôle des accès et de discipline opérationnelle.
Moyens, gouvernance et réalité opérationnelle d’un SI à très grande échelle
Interrogé sur l’adéquation des moyens alloués à la cybersécurité du ministère de l’Intérieur, Laurent Nuñez a répondu sans ambiguïté : oui, les ressources existent. Chaque service dispose de responsables dédiés à la sécurité numérique, le ministère s’appuie sur un centre de cyberdéfense interne regroupant plusieurs dizaines d’agents, et des investissements conséquents sont consentis chaque année pour la sécurisation des systèmes d’information.
Pour autant, le ministre reconnaît la complexité structurelle de l’environnement : plusieurs centaines d’applications, environ 300 000 utilisateurs, et des défaillances d’hygiène numérique qui restent, selon ses propres termes, à l’origine directe de l’attaque. Si l’intrusion est aujourd’hui considérée comme endigée, le ministère est désormais engagé dans une phase de remédiation longue, qui dépasse la simple réponse à incident et interroge la capacité à faire évoluer durablement les pratiques.
Ce constat introduit une ligne de fracture bien connue des DSI de grandes organisations : la disponibilité des moyens ne garantit pas mécaniquement la maîtrise du risque, lorsque la surface d’attaque est massive et que les usages quotidiens demeurent hétérogènes.
Échanges avec la commission : culture cyber, souveraineté et angles morts
La séquence de questions-réponses a permis de mettre en lumière plusieurs tensions structurantes de la stratégie cyber de l’État.
La présidente de la commission des lois, Muriel Jourda, a interrogé le ministre sur la nature des échanges entre agents et les consignes en vigueur. Laurent Nuñez a rappelé l’existence d’instructions permanentes, de campagnes de sensibilisation et de tests réguliers. Il a surtout souligné un point clé : là où l’authentification multifacteur était déjà en place, l’attaquant n’a pas pu entrer, malgré des tentatives avérées. Un argument utilisé pour justifier l’accélération du déploiement du MFA, mais aussi pour illustrer ses effets concrets.
Le ministre a également été interpellé sur le décalage perçu entre le niveau de préparation affiché dans le cadre des Jeux olympiques et la réalité révélée par cette attaque. Une critique formulée en termes de relâchement de la vigilance et de déficit de culture cyber. Réponse de l’exécutif : les dispositifs mis en place pour les JO répondaient à des scénarios de menace distincts, et il n’existe pas de continuité directe entre une attaque visant l’événement olympique et l’exploitation opportuniste de bases administratives comme le TAJ ou le FPR.
Sur le fond, Laurent Nuñez reconnaît néanmoins que les failles sont connues, dans son ministère comme dans les autres, et que les efforts engagés ces dernières années, bien que réels, n’ont pas encore permis de tout résorber.
Plusieurs questions ont enfin élargi le débat.
Sur la conformité à NIS 2, le sujet reste ouvert, sans réponse tranchée sur le niveau réel de préparation des entités rattachées au ministère.
Sur la souveraineté, l’utilisation de l’outil Palantir a suscité des interrogations directes. Le ministre a assumé un choix hérité de ses prédécesseurs, estimant qu’aucune alternative souveraine n’offrait à ce stade des capacités équivalentes, tout en confirmant qu’une réflexion est en cours sur un outil alternatif, plus conforme aux enjeux de maîtrise nationale des données.
Interrogé sur la revente de données et la prolifération des fuites, Laurent Nuñez a admis que cette attaque révélait une forme de naïveté, voire d’amateurisme, dans certaines pratiques antérieures. Il a également justifié l’absence historique de MFA généralisé par la complexité du déploiement à grande échelle, rappelant l’impact opérationnel pour les agents et les contraintes propres à un ministère de cette taille.
Enfin, sur le profil de l’attaquant, le ministre a tenu à nuancer toute lecture simpliste : malgré son jeune âge, le hacker a fait preuve d’une réelle technicité, suffisante pour exploiter des failles humaines et organisationnelles plutôt que de recourir à une attaque sophistiquée sur le plan technique.
