La sonnette d'alarme est tirée. Une analyse menée par les experts de NordPass a mis au jour une réalité inquiétante : 19 538 mots de passe liés à des comptes de fonctionnaires français ont été découverts sur le dark web depuis début 2024. Ces données d'identification, accessibles sans restriction, constituent une véritable mine d'or pour des acteurs malveillants cherchant à infiltrer les systèmes de l'État.
Quelles sont les institutions les plus touchées ?
L'étude dresse un tableau précis des entités les plus vulnérables. La Ville de Paris arrive tristement en tête avec 5 704 mots de passe exposés. Juste derrière, l'Académie de Nantes affiche plus de 1 000 identifiants compromis. Le rapport souligne que si les institutions régionales sont majoritairement concernées, aucun échelon n'est épargné, des ministères aux parlements.
Le phénomène est aggravé par le recyclage des mots de passe. Sur les milliers d'identifiants trouvés, seuls 1 805 étaient uniques, preuve que de nombreux agents réutilisent les mêmes codes pour plusieurs comptes, une pratique à haut risque qui multiplie les points d'entrée potentiels pour les pirates.
Comment ces données se retrouvent-elles en ligne ?
Contrairement à ce que l'on pourrait penser, la source de la fuite n'est pas une faille centrale des systèmes gouvernementaux. Karolis Arbačiauskas, chef de produit chez NordPass, explique que le problème vient souvent des habitudes des utilisateurs eux-mêmes. Les cybercriminels déploient des logiciels malveillants, notamment des "infostealers" (voleurs d'informations), sur les appareils personnels des fonctionnaires, souvent moins sécurisés que leur matériel professionnel.
Une seule infection sur un smartphone ou un ordinateur personnel peut suffire à siphonner des dizaines d'identifiants. Une autre cause majeure est l'utilisation d'adresses e-mail professionnelles pour s'inscrire sur des sites externes. Lorsque ces sites tiers subissent une fuite de données, les identifiants professionnels se retrouvent exposés, créant un pont direct vers la sécurité des systèmes de l'État.
Quels sont les risques concrets pour les institutions ?
Cette masse de données d'identification disponibles représente un risque systémique majeur. Les pirates peuvent exploiter ces informations pour lancer des campagnes de phishing ciblées ou tenter d'accéder directement aux messageries et autres comptes professionnels des agents. La grande majorité des cyberattaques commence par la compromission d'un simple compte.
Un identifiant volé peut servir de cheval de Troie pour pénétrer l'infrastructure d'un organisme entier. L'exemple récent de France Travail, où des comptes de conseillers ont été utilisés pour exfiltrer les données de millions de demandeurs d'emploi, illustre parfaitement la menace. Une brèche individuelle peut rapidement se transformer en crise nationale.