Le groupe cybercriminel LAPSUS$ a franchi une nouvelle étape en s'attaquant au CNRS, publiant les données techniques de la NectarCam. Nos propres investigations menées sur les forums spécialisés confirment l'authenticité de cette fuite d'ampleur inédite, qui expose la technologie des futurs télescopes de l'observatoire CTA et s'inscrit dans une série noire après les piratages de Mondial Relay et d'Eni.
Notre enquête directement à la source : une réalité alarmante
Face à la multiplication de ces incidents, notre rédaction a mené l'enquête directement sur le forum obscur utilisé par les pirates. Les constatations sont sans appel : nous avons été stupéfaits de découvrir que l'ensemble des piratages récents sont bel et bien avérés. Loin d'être de simples rumeurs, les fichiers que nous avons pu consulter contiennent des données personnelles en clair d'une précision effrayante.
Nous avons ainsi pu identifier des fichiers CSV, SQL et TXT contenant les noms, prénoms, âges, dates de naissance, adresses, emails et numéros de téléphone de milliers de français.
Plus grave encore, des données bancaires et des IBAN circulent librement.
Nos analyses confirment notamment la présence de données appartenant à des abonnés Free ainsi qu'à des clients de l'enseigne Sport 2000. Cette vague de fuites atteint une ampleur inédite en cette fin d'année, et les alertes de l'ancien membre de la DGSI Christophe Boutry (connu sous le pseudonyme Haurus) concernant la vulnérabilité de ces systèmes se révèlent tragiquement exactes.
Un piratage scientifique au cœur de l'instrumentation française
Après s'être illustré par des attaques contre Mondial Relay ou encore Eni, le collectif LAPSUS$ GROUP vient de mettre en ligne une première archive dérobée au CNRS (Centre National de la Recherche Scientifique). Cette fuite ne concerne pas, pour une fois, les données personnelles des employés, mais cible un projet scientifique d'envergure : la NectarCam.
Il s'agit d'une caméra ultra-sensible conçue pour équiper les télescopes du réseau CTA (Cherenkov Telescope Array), un projet international visant à observer les rayons gamma de très haute énergie dans l'Univers.
L'archive diffusée, datée de décembre 2025, provient d'une exportation phpMyAdmin. Elle expose l'architecture d'une base de données qui semble être une "Shadow Database", c'est-à-dire une base de test ou de démonstration restée accessible et moins protégée que les serveurs de production.
Espionnage et risques de sabotage technique
L'analyse des fichiers révèle une quantité impressionnante de données industrielles et de calibration. Bien que moins "visibles" pour le grand public qu'un vol d'emails, ces informations sont critiques pour la souveraineté scientifique française. Les experts ont notamment identifié :
- Traçabilité Hardware : Un inventaire complet des composants physiques, incluant les numéros de série, les identifiants de tiroirs techniques et, plus grave encore, les adresses MAC des équipements connectés.
- Données de Calibration : Plus de 8 000 enregistrements de mesures (Single Photo-Electron), détaillant les gains et le bruit électronique de l'instrumentation.
- Infrastructure Logicielle : La fuite confirme l'usage de versions logicielles très récentes, telles que MariaDB 10.11, contredisant l'idée d'une archive totalement obsolète malgré la présence de quelques fichiers historiques de 2015.
Posséder ces tables de calibration revient à détenir la "clé de déchiffrement" des observations astronomiques. Pour un acteur malveillant, cela permettrait de saboter la précision des résultats ou d'interpréter les données brutes avant même leur publication officielle.
Une menace grandissante pour les institutions françaises
Comme nous l'évoquions précédemment pour d'autres dossiers, la France fait face à une vague de cyberattaques d'une intensité inédite en cette fin d'année 2025. Le piratage du CNRS s'inscrit dans une série noire touchant également le Ministère de l'Intérieur, où des fiches de police auraient été consultées selon les récentes déclarations de Laurent Nuñez.
Face à ces événements, le gouvernement multiplie les exercices de crise et renforce les effectifs de l'ANSSI, mais la question de la sécurisation des bases de données périphériques souvent oubliées par les audits de sécurité classiques reste entière. L'enquête menée sur les forums spécialisés confirme que ce leak n'est qu'une première partie, laissant présager d'autres révélations à venir de la part de LAPSUS$.
Cette intrusion illustre la mutation de la menace : le cyber-espionnage industriel et scientifique devient un levier de déstabilisation aussi puissant que le vol de données bancaires.
Source : Investigation sur le forums des pirates
