Sept interpellations simultanées dans six villes, plus de 1 500 entités victimes dont l’Assemblée nationale, Leroy Merlin et des plateformes médicales, des dizaines de millions de données exfiltrées : le coup de filet du 9 juin 2026 contre le groupe cybercriminel Dumpsec signe la fin d’une série d’attaques parmi les plus audacieuses enregistrées en France ces derniers mois.
Une arrogance qui a signé leur perte
Dumpsec avait fait de la revendication publique une signature. Chaque intrusion était annoncée dans les médias, les données mises en vente sur BreachForums, le tout sous couvert d’un anonymat que le groupe croyait inviolable. C’est précisément cette surexposition qui a fourni aux enquêteurs de l’antenne rennaise de l’OFAC la matière première de leur travail. Missionnée par la section J3 du Parquet de Paris dès novembre 2025, l’unité a méthodiquement recoupé les indices de compromission jusqu’à identifier et localiser les sept mis en cause.
Un coup de filet national en une seule journée
Le 9 juin 2026, les antennes de Lille, Strasbourg, Bordeaux, Marseille et le détachement de Limoges frappaient simultanément. Sept interpellations, des supports numériques saisis, une enquête qui se poursuit et dont un élargissement n’est pas exclu. C’est le chef de l’OFAC lui-même, Nicolas Guidoux, qui a décrit le déroulé de l’opération le soir même.
1 500 victimes, dont beaucoup sans le savoir
Le périmètre du sinistre dépasse largement les cibles directes. Nicolas Guidoux précise que les entités touchées le sont “directement ou par rebond” : une formulation qui mérite attention. Leroy Merlin, des fédérations sportives, l’Assemblée nationale, des plateformes médicales figurent au bilan, aux côtés d’organisations qui n’avaient probablement jamais envisagé se trouver dans la ligne de mire d’un groupe de jeunes autodidactes, mineurs pour certains. Le préjudice est estimé à plusieurs dizaines de millions de données exfiltrées. La compromission d’un fournisseur ou d’un prestataire suffit à exposer une organisation qui n’a pourtant jamais été directement ciblée.
