La cybercriminalité sévit dans la France entière, mais aussi en Europe de façon générale depuis début décembre. J’ai mené l’enquête pour vous et j’ai eu la chance de pouvoir dialoguer avec des experts en cybercriminalité, d’anciens membres de la DGSI, mais aussi de poser des questions directement au Sénateur et Vice-président du Sénat qui m’a autorisé la diffusion de notre discussion.
Par où commencer : qui est le groupe de hackers ?
Ce groupe utilise un forum très connu du FBI et des polices mondiales. Bien qu’il ait été fermé plusieurs fois, notamment avec l’arrestation de l’administrateur principal en mars 2023 et de certains membres en juin 2025, il renaît encore plus fort via le groupe de pirates « ShinyHunters ».
Ce forum est le "supermarché du Darknet" : on y trouve des données massives, des jeux piratés, des codes sources, des bases de données d’entreprises et des logs de n’importe quelle institution internationale.
C’est ici que la majeure partie des dernières fuites du gouvernement, de l’ESA ou de Mondial Relay ont lieu. Malgré l’interpellation des hackers présumés, le site revient toujours avec une nouvelle adresse et une localisation échappant au contrôle territorial. Le Parisien indiquait d'ailleurs que le 25 juin 2025, cinq hackers de ce forum ont été arrêtés, potentiellement les administrateurs du nouveau forum rétabli.
Si les administrations se sont senties rassurées, concluant à une affaire résolue, un sentiment de vengeance s'est fait sentir au plus haut niveau chez les hackers.
Tout empire dans la nuit du 11 au 12 décembre 2025 : le Ministère est piraté
Animés par ce désir de vengeance pour leurs camarades arrêtés, les pirates ont décidé de porter un coup fatal à l’administration française et aux sociétés qui collaborent avec elle.
Dans la nuit du 11 au 12 décembre, ils ont obtenu plusieurs accès aux messageries privées de certains membres du gouvernement n’ayant pas une hygiène numérique correcte.
Laurent Nuñez a confirmé l’intrusion, tout en se voulant rassurant à la radio, admettant qu’un pirate s'était introduit sur les serveurs mais affirmant que "rien n'est grave". Le pays suspecte toutefois une intrusion de puissance étrangère.
48 heures après, les hackers se font connaître
Un hacker du nom de Indra, se faisant passer pour l’administrateur principal du forum, a revendiqué le piratage du serveur du ministère de l’Intérieur. Il affirme que ce qu’annonce Laurent Nuñez est bien plus grave : les pirates possèderaient plus de 16 millions de données, dont des fichiers de police et des bases de personnes recherchées.
Il a ajouté que le gouvernement n’était même pas capable de se protéger lui-même, posant la question : « Imaginez si un terroriste avait obtenu ces données ». Pour signer cette vengeance, le retour du forum a été annoncé en grande pompe avec un nom de domaine usurpant l'administration française en @interieur.gouv.fr
L'analyse de Christophe Boutry sur l'usurpation d'identité
Christophe Boutry, ancien membre de la DGSI avec qui j’ai pu m’entretenir, explique que cette technique a été réalisée depuis un serveur tiers (Amazon SES) pour faire apparaître l’adresse du gouvernement.
Comme l'annonce Christophe, les pirates sont précis et confirment avoir bien plus de données qu’ils ont décidé de vendre en ligne. Il souligne que le sentiment de panique et d'instabilité numérique est bien en place : la "forteresse imprenable" vient de voler en éclat.
Depuis le 13 décembre, une hécatombe de cyberattaques
Depuis la mi-décembre, tout s’enchaîne. La liste est bien trop longue pour être résumée, mais chaque jour, 1 à 3 sites subissent un piratage massif :
- 13 décembre : Le Ministère de l’Intérieur est officiellement piraté.
- 16 décembre : Pornhub subit un hack de 200 millions de comptes.
- 16 décembre : Soundcloud (20% des utilisateurs impactés).
- 17 décembre : SFR.
- 17 décembre : Parashop.
- 19 décembre : Red by SFR.
- 19 décembre : Ministère des Sports (3,5 millions de foyers concernés).
- 19 décembre : La LICRA.
- 20 décembre : Chronopost.
- 22 décembre : La Poste.
- 22 décembre : Justice.fr.
- 22 décembre : Altitude Infra.
- 22 décembre : 123 Casting.
- 23 décembre : Fédération Française de Natation.
- 24 décembre : Adecco.
- 26 décembre : Mondial Relay (alerte massive diffusée).
- 26 décembre : Nouvelle Lune.
- 26 décembre : Commune de Lens.
- 26 décembre : Fédération Française de Kick Boxing.
- 27 décembre : ACRV.
- 27 décembre : HelloWork.
- 27 décembre : PayTrip.
- 27 décembre : Eni.
- 27 décembre : Club de natation 95 (via ACRV).
- 27 décembre : Le CNRS.
- 28 décembre : Allegro Musique.
- 28 décembre : Europages.
- 28 décembre : Batterie de portable.
- 29 décembre : L’Agence Spatiale Européenne (ESA).
- 29 décembre : Le Ministère de l’Agriculture.
À l’heure où j’écris ces lignes, les pirates revendiquent également le piratage de EDF, ENEDIS, ENSAE.FR, Optic2000, Carrefour, Telegram, l'Université de Lille, l'École de Grenoble, et bien d'autres.
Fake ou réalité ? Mon enquête personnelle
J’ai pris l’initiative de m’inscrire sur le forum du Darkweb pour analyser quelques fichiers. Ce qui m'a permis de révéler la vérité a été le piratage de PAJEMPLOI du 14 novembre 2025. Je voulais voir si ma fille, ma femme, ma nounou ou moi-même apparaissions dans ce fichier ("sample").
Et là, c’est la grise mine : j’ai retrouvé intégralement les données de ma nounou. Mis à part le téléphone, l'IBAN et l'email qui sont partiellement masqués, tout le reste est identifiable : adresse, ville, nom, prénom, titulaire du compte bancaire, date d’agrément, etc.
J'ai ensuite analysé le piratage de Mondial Relay, qui s'est avéré exact, puis celui de l'Agence Spatiale Européenne (ESA), confirmé quelques jours plus tard par l'agence elle-même.
J’interpelle le Sénateur et Vice-président du Sénat Loïc Hervé
Beaucoup de Français inquiets jugent que le gouvernement minimise le problème. Habitant en Haute-Savoie, j'ai interrogé M. Loïc Hervé, Sénateur de Haute-Savoie et Vice-président du Sénat.
Sa réponse est claire :
il me confirme que cette vague constitue une préoccupation majeure aux plus hautes sphères de l’État et que les forces de l’ordre expertes sont sur le sujet.
Comme l'indiquent les experts, résoudre un crime cyber est long, mais l’erreur finit toujours par être commise "entre l’écran et la chaise".
L’association PURR exige une refonte totale de la CNIL
Cette crise soulève aussi la question de la régulation. L’association PURR (Pour Un RGPD Respecté), fondée en 2023, milite pour une refonte totale de la CNIL.
Dans une lettre ouverte adressée à sa présidente, l’association dénonce une « inaction chronique » et une absence de poursuites pénales contre les responsables de traitements de données défaillants.
Lors de mes échanges avec le fondateur de PURR, nous avons pu constater l'absence de réponses concrètes de la part des autorités régulatrices et judiciaires face aux signalements de l'association, le procureur de la République ayant même conclu que certains faits dénoncés ne relevaient pas du droit pénal actuel.
Vers une escalade ?
L'enquête montre que les pirates sont loin d'avoir terminé leur offensive. Le bras de fer est engagé entre les cybercriminels et les institutions (DGSI, police judiciaire, experts nationaux).
Une chose est certaine : la protection des données des citoyens français est devenue l’enjeu sécuritaire national prioritaire de cette fin d’année et de l’année à venir.
Merci pour votre lecture.
Sources : Enquête interne, Le Parisien, Christophe Boutry, Loïc Hervé, Association PURR
Crédits images : Getty Images pour Unsplash+ licence ALTITUDE DEV
