Suite à la cyberattaque ayant visé le ministère de l'Intérieur et détectée le 11 décembre, un suspect a été interpellé mercredi au nord de Limoges. Selon le communiqué de la procureure de Paris (PDF), cet homme né en 2003 est déjà connu de la justice pour une condamnation à des faits similaires en 2025.
Placé en garde à vue, il risque une peine maximale de 10 ans de prison pour accès non autorisé à un système de traitement de données mis en œuvre par l'État en bande organisée.
Quelle est l'origine de cette faille de sécurité ?
L'intrusion a été rendue possible par ce que le ministère de l'Intérieur, Laurent Nuñez, a qualifié de manque d'hygiène numérique. Des mots de passe permettant l'accès à des fichiers protégés auraient été échangés sur des messageries professionnelles compromises, facilitant ainsi la tâche de l'attaquant.
" Il y a 300 000 agents au ministère de l'Intérieur et, à partir de certaines boîtes professionnelles, un individu ou un groupe d’individus a pu récupérer des codes d’accès, qui sont échangés en clair, en dépit de toutes les règles de prudence que l'on diffuse pourtant très régulièrement ", a expliqué le ministre.
Cette imprudence a ouvert une brèche majeure, et l'enquête a été confiée à l'Office anti-cybercriminalité (OFAC) pour faire toute la lumière.
Quelle est l'ampleur des données compromises ?
L'attaque a permis aux pirates de consulter des fichiers sensibles, notamment le Traitement des antécédents judiciaires (TAJ) et le Fichier des personnes recherchées (FPR). Alors qu'un groupe de hackers, via une relance du forum BreachForums, a revendiqué le vol des données de plus de 16 millions de personnes, le ministre Laurent Nuñez a fortement tempéré ces affirmations.
À ce stade, il a indiqué que quelques dizaines de fiches confidentielles seulement avaient été extraites. " Ce que je peux dire, c’est qu’il n’y a pas eu extraction de millions de données. À ma connaissance, c'est faux. "
Pour l'heure, le lien entre le suspect arrêté et les revendications sur BreachForums n'est pas encore établi. Le message sur le forum cybercriminel évoque une forme de représailles après des arrestations ayant touché le groupe ShinyHunters ces dernières années.
Quelles mesures ont été prises suite à cette cyberattaque ?
Face à la cyberattaque jugée très grave par Laurent Nuñez, des mesures de remédiation immédiates ont été annoncées. Le ministère a procédé à la fermeture de certains comptes, tandis que la double authentification devient systématique pour l'ensemble des agents.
En parallèle, l'Agence nationale de la sécurité des systèmes d’information (Anssi) a été saisie pour renforcer en profondeur la sécurité des systèmes.
