Une base de données particulièrement sensible, contenant des noms, prénoms, coordonnées complètes, numéros de dossiers et même les motifs de séjour, se retrouve désormais proposée à la vente sur des forums spécialisés du dark web. Le pirate a publié des extraits pour prouver l'authenticité de sa marchandise, révélant des informations sur des ressortissants de plusieurs pays, dont l'Ukraine, le Cameroun, l'Afghanistan, la Chine et Israël. Ces données, très récentes, remonteraient à fin 2025, ce qui en fait une faille de sécurité particulièrement préoccupante.
D'où provient exactement cette fuite de données ?
Contrairement à ce que l'on pourrait penser, ce ne sont pas les serveurs de l'établissement public qui ont été percés. Didier Leschi, le directeur général de l'OFII, a rapidement clarifié la situation en expliquant qu'il s'agissait d'une « intrusion qui n'est pas directement liée au système d'information de l’OFII ». La faille provient en réalité d'un prestataire externe qui disposait d'un accès légitime à certaines données dans le cadre de ses missions pour l'Office. C'est par cet intermédiaire que les informations ont été exfiltrées.
L'enquête cherche désormais à déterminer les circonstances exactes de l'incident. Deux pistes sont explorées : soit le sous-traitant a lui-même été victime d'un piratage informatique sophistiqué, soit il y a eu une complicité interne au sein de cet opérateur tiers pour faciliter le vol. Ces données étaient accessibles dans le cadre du Contrat d’intégration républicaine (CIR), un programme d'État obligatoire qui inclut des cours de langue et de citoyenneté pour les étrangers souhaitant s'installer durablement en France.
Quelles sont les informations compromises et qui est concerné ?
Les informations dérobées sont hautement confidentielles et leur divulgation expose les victimes à des risques importants. Les fichiers contiennent l'identité complète des personnes, leur date d'entrée sur le territoire, mais aussi des détails sur la nature de leur séjour, qu'il soit lié à l'emploi, à la famille ou au statut de réfugié. L'ajout des adresses e-mail et des numéros de téléphone rend ces données particulièrement exploitables pour des campagnes de phishing ou d'escroquerie ciblées.
Si le hacker prétend détenir un fichier de deux millions de lignes, ce chiffre est à prendre avec précaution, les affirmations sur ce type de forum étant souvent exagérées pour augmenter la valeur de la vente. Cependant, les échantillons de fichiers publiés, concernant près d'un millier de personnes de diverses nationalités et un second fichier visant 600 ressortissants israéliens, confirment la réalité et la gravité de la fuite. Le nombre exact de victimes reste pour l'heure indéterminé.
Quelles mesures l'OFII compte-t-il prendre ?
Face à cette cyberattaque, la direction de l'OFII a annoncé une réponse ferme. Didier Leschi a déclaré que l'organisme allait « déposer plainte et sanctionner l’opérateur incriminé ». En parallèle, l'Office prévoit de « renforcer les exigences de sécurité » auprès de tous ses partenaires et prestataires pour éviter qu'un tel scénario ne se reproduise. Une enquête approfondie est en cours pour faire toute la lumière sur cette affaire.
Pour l'instant, la base de données est toujours visible sur la plateforme BreachForums, et rien n'indique qu'elle ait déjà été vendue. Toutefois, il est probable qu'elle finisse par trouver preneur, ce qui amplifierait les risques d'usurpation d'identité et d'autres actes malveillants. Cet incident s'inscrit dans une série noire pour les institutions françaises, après le piratage du ministère des Sports ou encore du ministère de l'Intérieur le mois dernier, soulignant la vulnérabilité croissante des services publics face à la cybercriminalité.
