L’attaque ayant visé la plateforme HubEE marque un signal faible mais structurant pour le numérique public français. Sans chiffrement ni interruption de service, l’exfiltration de 160 000 documents administratifs met en évidence la vulnérabilité d’infrastructures techniques peu visibles, mais centrales dans la circulation des données entre administrations et usagers.
Une compromission discrète, sans impact visible
Début janvier, la Direction interministérielle du numérique a confirmé une intrusion sur HubEE, plateforme utilisée pour l’échange de documents entre administrations et usagers. L’attaque a permis l’exfiltration d’environ 160 000 fichiers, issus de près de 70 000 dossiers, sans provoquer d’interruption durable du service ni de dysfonctionnement apparent. Le service a été temporairement suspendu, puis remis en ligne après des mesures correctives. Les autorités ont précisé que les portails grand public n’avaient pas été directement compromis, même si HubEE constitue un maillon technique sous-jacent à de nombreuses démarches dématérialisées.
Une brique technique peu visible, mais massivement utilisée
Contrairement aux sites institutionnels connus du public, HubEE opère en arrière-plan. Lorsqu’un usager transmet un justificatif ou une pièce administrative, la plateforme agit comme un intermédiaire technique entre services. Cette position transversale en fait une infrastructure à la fois discrète et stratégique. C’est précisément cette invisibilité qui complique l’appréhension du risque. Une compromission à ce niveau ne génère pas nécessairement d’alerte immédiate, mais peut exposer des volumes importants de données sensibles, sans signe extérieur perceptible pour les utilisateurs.
Des données exploitables pour des attaques secondaires
Les documents concernés contiendraient des données personnelles, potentiellement suffisantes pour alimenter des scénarios d’usurpation d’identité, de fraude documentaire ou de phishing ciblé. Même en l’absence de mots de passe compromis, ce type de contenu représente une matière première précieuse pour des campagnes ultérieures. Le caractère silencieux de l’attaque renforce ce risque. Plus la détection est tardive, plus la surface d’exploitation secondaire s’élargit, notamment dans des contextes où les documents administratifs servent de preuve ou de justificatif.
Une réaction rapide, mais peu d’enseignements publics
Les équipes de la DINUM ont procédé à une mise hors ligne préventive, renforcé les mécanismes d’authentification et notifié la CNIL. Une plainte a été déposée et l’ANSSI a été saisie. Ces mesures traduisent une réponse opérationnelle rapide. En revanche, peu d’éléments ont été communiqués sur le mode opératoire précis ou sur les failles structurelles ayant permis l’exfiltration, laissant ouvertes plusieurs hypothèses techniques.
Le risque des plateformes mutualisées
L’incident HubEE illustre une problématique plus large. Les plateformes mutualisées concentrent des flux documentaires critiques, tout en restant en marge des dispositifs de surveillance traditionnellement focalisés sur les applications exposées ou les systèmes métiers internes. Cette concentration crée un effet de levier pour les attaquants. Une seule compromission peut avoir un impact transversal, sans nécessiter de sophistication extrême ni de perturbation opérationnelle.
Un signal pour la cybersécurité du secteur public
Au-delà du cas HubEE, l’épisode met en lumière la nécessité de renforcer la détection comportementale, la supervision des accès et la traçabilité des flux sur les infrastructures techniques intermédiaires. La cybersécurité du secteur public ne se joue plus uniquement sur les portails visibles ou les systèmes critiques au sens classique, mais aussi sur ces couches invisibles, devenues des cibles à forte valeur.
