Le ministère de l’Intérieur piraté, un groupe revendique l’exfiltration du TAJ et du FPR

« Tout sera bientôt réduit en cendres »

Un groupe de pirates a revendiqué l’attaque contre le ministère de l’Intérieur. Il assure que les données sont beaucoup plus sérieuses que celles reconnues : elles émaneraient du TAJ et d’autres fichiers sensibles.

Vincent Hermann

Le 16 décembre 2025 à 10h47

6 min

Sécurité

Comme nous l'indiquions vendredi dernier, le ministère de l'Intérieur a été piraté. Le soir du jeudi 11 décembre, un article est ainsi paru sur le média INF La Rochelle : des activités suspectes avaient été repérées sur les serveurs de messagerie du ministère de l’Intérieur. Ce dernier confirmait alors « l’existence d’activités suspectes visant ses serveurs de messagerie ».

Le ministère ajoutait que « l’identification de l’origine et de l’ampleur exacte de ces actions est en cours d’analyse. Sans délai, des mesures ont été mises en œuvre par les services compétents afin de circonscrire la menace. Elles se traduisent par plusieurs actions conduites sur l’infrastructure réseau et par une élévation des règles et pratiques de sécurité informatique ». Une enquête avait été ouverte et un signalement envoyé à la procureure de Paris, indiquaient nos confrères. En outre, il aurait été demandé à au moins une partie des policiers de changer leurs mots de passe.

À peine dix minutes plus tard, BFM renchérissait. Même réponse du ministère de l’Intérieur. Le média indiquait que l’ANSSI avait été mobilisée et que la situation était « attentivement suivie par les autorités et services compétents ». Il ajoutait qu’une analyse des serveurs avait été lancée, que la double authentification avait été généralisée et que des rappels d’hygiène numérique avaient été faits aux agents. BFM précisait en outre que l’enquête avait été confiée à l’OFAC (Office anti-cybercriminalité).

Vendredi 12 décembre, Laurent Nunez, ministère de l’Intérieur, intervenait sur le plateau de RTL. Il y confirmait que le ministère avait bien été victime d’une attaque : un « assaillant a pu pénétrer sur un certain nombre de fichiers » (sic). Il ne donnait aucune information complémentaire, mais ajoutait quand même qu’aucune « trace de compromission grave » n’avait été détectée à ce stade.

TAJ, FPR : des pirates revendiquent une fuite cataclysmique

La fuite de données, déjà problématique par le profil de sa victime, pourrait cependant être pire dans sa portée. Un groupe de pirates, qui se réclame « ami » des personnes arrêtées dans le cadre de l’enquête visant BreachForums/ShinyHunters/hollow, a publié un message sur ledit forum, ressuscité le temps de quelques heures.

Comment l’étau s’est resserré autour d’Intelbroker et des admins de BreachForums

Aujourd’hui, ce message n’est plus consultable que par une adresse sur le site archive.ph. Le groupe s’y excuse d’avoir relancé le forum de cette manière, se disant conscient que la manœuvre avait tous les attributs d’un « pot de miel », autrement dit un piège tendu par les autorités, tout particulièrement le FBI. En dépit de cette affirmation, il pourrait effectivement s'agir d'un piège.

La personne ayant publié le message, Indra, affirme que les données du ministère de l’Intérieur ont bien été récupérées et qu’elles sont bien plus nombreuses que ce que les autorités françaises en disent. L’opération serait le résultat d’une vengeance orchestrée contre les forces de l’ordre françaises. Des « représailles pour nos amis arrêtés », indique Indra.

Quant aux données, elles proviendraient rien moins que du TAJ (Traitement d’Antécédents Judiciaires) et du FPR (Fichier des Personnes Recherchées). Indra évoque également Interpol, les finances publiques (DGFIP), ou encore la Caisse nationale d'assurance vieillesse (CNAV), ainsi que les outils Cheops et Proxyma, entre autres. Un fourre-tout dont il est impossible d’évaluer la véracité pour l’instant.

12 ans que la CNIL dénonce le fichier TAJ des personnes « défavorablement connues »… en vain

Selon le message, les données représenteraient 16 444 373 personnes. « Si un gouvernement ne peut même pas se protéger, imaginez qu’un terroriste ait obtenu toutes ces données. Qu’est-ce qui se serait passé ? Maintenant, vous paierez pour ce que vous avez fait à nos amis », ajoute l’auteur du message.

La France aurait jusqu'au 20 décembre

Il ajoute que la France a une semaine pour contacter le groupe à une adresse tutanota, plaçant la date butoir au 20 décembre. Plus le pays mettra du temps à répondre, plus des données seront divulguées, affirment les pirates. Si le délai venait à être écoulé sans paiement (la somme n’est pas précisée), les données seront vendues « à notre communauté pour prouver que nous ne sommes pas des forces de l’ordre ». Une menace directe de type terroriste, en dépit des affirmations d’Indra.

« Je tiens en revanche à répondre à vos déclarations dans la presse, selon lesquelles nous n’aurions eu accès qu’aux messageries du ministère de l’Intérieur. Vous savez aussi bien que nous que cela est totalement faux. Pour ce seul mensonge, j’ai décidé de rouvrir BreachForums », ajoute celui qui se présente comme l’auteur de l’attaque. En réponse à un commentaire sur le forum, il a déclaré : « Le chaos se répand en France et tout sera bientôt réduit en cendres ».

Le forum n’est actuellement plus accessible. L’adresse renvoie vers une page expliquant que des problèmes techniques l’empêchent pour l’instant de revenir, mais qu’il devrait de nouveau être accessible d’ici peu. Le message contient un condensé de la situation. On trouve la même publication sur l’onion de BreachForums sur Tor.

Commentaires (17)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

fred42 Premium

Le 16/12/2025 à 11h10

Une menace directe de type terroriste, en dépit des affirmations d’Indra.

Ah bon ?
Quelle définition du terrorisme permet d'affirmer cela ?

Ce genre de menace est bien plus de la tentative d’extorsion de fonds que du terrorisme. Je ne pense pas que la population ait peur suite à ce genre de menace.

Cela n'entre pas dans la définition du code pénal :

Constituent des actes de terrorisme, lorsqu'elles sont intentionnellement en relation avec une entreprise individuelle ou collective ayant pour but de troubler gravement l'ordre public par l'intimidation ou la terreur, les infractions suivantes :

Certes, les infractions en matière informatique sont citées mais la partie que j'ai citée n'est pas remplie.

aureus Premium

Le 16/12/2025 à 11h56

Si menacer de révéler l'intégralité du fichier judiciaire et de renseignement (qui contient des trucs non judiciaires) de 16 millions de personnes c'est pas un trouble grave à l'ordre public par l'intimidation.

J'ai a peu près aucune envie qu'on sache pourquoi j'ai été arrété quand j'avais 14 ans ni que j'ai pas été pris au ministère de l'intérieur parce que mon frangin était à notre dame des lande.

Sans même parler du fait qu'ont va avoir des informations sur les victimes via les coupables (un père ayant commis de l'inceste sur ses enfants).

Ca ressemble beaucoup à Vastaamo qu'avait fait des morts, des dépressions et des carrières terminées.

fred42 Premium

Le 16/12/2025 à 13h49

Ce n'est pas intimider la population que de menacer le ministère de l'intérieur.

Intimider la population, c'est lui dire que si elle fait telle ou telle chose, il y aura des représailles.

Je ne suis pas surpris qu'un lecteur de Next comme toi prenne pleinement conscience de l'importance du fichier TAJ et des informations qu'il contient, mais ce n'est pas le cas de la majorité de la population. Je considère aussi que c'est un problème d'autant plus que sa mise à jour est aléatoire mais il n'y a rien de terroriste ici.

TexMex Premium

Le 16/12/2025 à 14h46

Le problème que @aureus soulève ce n'est pas le fait que le fichier soit inconnu de la majorité de la population. C'est qu'il va devenir un peu plus "public". Et il y a aura donc une plus grande diffusion d'informations (NB: Si c'est bien avéré). Et donc la majorité pourra avoir ces infos.

Et nous le savons, il y a aura toujours un malin pour essayer de l'exploiter. Mais aussi cela permettrait à pas mal de gens de se renseigner sur X ou Y et d'agir en conséquence. Effet boule de neige.

* Employeurs rien que ça. Même s'ils ont déjà accès au volet B du CJ Avoir la totalité du CJ se monnaiera.
Assureurs voiture : "pas de voleur chez nous*", etc.

Le même genre de bêtise encore utilisé par les RHs. Ho le joli fichier Excel avec plein de "notes" dedans.

Le plus drôle est que ces comportements (capter de l'info perso sur X ou Y) sont illégaux.

Pour peu qu'un gamin se fasse serrer avec un bout de stuff, ou sur un vélo pas vraiment à lui... On est déjà pas des champions de l'insertion (ou même de l'économie florissante) alors la c'est clairement foutu.

Tout le monde à fait au moins une bêtise dans sa vie. Heureusement que les flics n'ont pas le temps de tout faire. On aurai plus de données à gérer que la NASA.

Bref je survole ici. Mais ça pourrai faire tâche dans le décor. Non pas par l'acte lui même mais pour les conséquences qu'il apporte. Sur le plan sociétal c'est vraiment pas top.

Le 17/12/2025 à 08h52

Exactement et je nuancerais le propos initial ainsi: "ce n'est pas encore le cas de la majorité de la population".
Surtout que quand ce type de donnée s'égare faute d'avoir su en maitriser la source, c'est pour toujours.
Par contre les flics qui arrondissaient leurs fins de mois en consultant abusivement ces fichiers au profit de barbouzes mandatés par des RH ou autre assureur etc vont devoir se trouver un autre complément de revenu.

dematbreizh Premium

Modifié le 16/12/2025 à 15h20

"troubler gravement l'ordre public par l'intimidation" me semble adapté ici.
Le texte sur lequel tu t'appuies ne parle pas de la population, mais de "l'ordre public".

user6811 Premium

Le 16/12/2025 à 11h32

Un fichier comme le "TAJ" qui contiendrait l'identité de ceux qui ont porté plainte est une porte ouverte aux représailles et est un exemple de pourquoi certaines données sont sensibles.

Qui veut parier l'année à laquelle l'état français deviendra sérieux ? (arrêt du scan de documents vers une adresse email, chiffrement de l'identité, utilisation d'identifiant ou signatures cryptographique, etc)

JrEwing Premium

Modifié le 16/12/2025 à 12h47

"Il ajoutait qu’une analyse des serveurs avait été lancée, que la double authentification avait été généralisée et que des rappels d’hygiène numérique avaient été faits aux agents"

non mais c'etait pas de base le MFA chez eux ?? la bande de dangereux amateurs... franchement
y'a manque d'hygiène, ça c'est sur !

Gilbert_Gosseyn Premium

Le 16/12/2025 à 16h21

Si tu savais ...

mrintrepide Premium

Le 16/12/2025 à 18h41

Et ne pas oublier que le MFA n'empêche pas le piratage. Il réduit très fortement la connexion par force brute.

Soriatane Premium

Le 16/12/2025 à 13h42

Si le vol est avéré, c'est la double pour les personnes étant fiché sur le TAJ alors qu'elle le devrait plus (cf les enquêtes de MANACH).

Jarodd Premium

Le 16/12/2025 à 16h10

Selon le message, les données représenteraient 16 444 373 personnes. « Si un gouvernement ne peut même pas se protéger, imaginez qu’un terroriste ait obtenu toutes ces données. Qu’est-ce qui se serait passé ? Maintenant, vous paierez pour ce que vous avez fait à nos amis », ajoute l’auteur du message.

Qui est ce "vous" ?

Le groupe s'est vengé du ministère, il a montré des failles de sécurité, c'est très bien et cela apportera de l'eau au moulin des détracteurs de ces fichiers monstrueux qui finissent par ficher toute la population (et dire que c'est ce scandale qui a débouché sur la création de la CNIL...).

Maintenant j'espère que leur but n'est pas de laisser le fichiers dans la nature, car les inscrits n'ont rien à voir avec leur litige entre les service de police et leurs "amis".

mrintrepide Premium

Le 16/12/2025 à 18h30

Le but du forum n'est pas de vendre les données volées ? Donc je n'y crois pas.

Jarodd Premium

Le 16/12/2025 à 18h44

J'y vois le support de l'annonce, pas de la revente des données.

Le 17/12/2025 à 09h02

Ce "vous", je pense que c'est globalement le pays incluant donc sa population en partant du principe que l'on a les gouvernants, mettant en place les administrations, que l'on mérite!
Et ce n'est hélas pas faux: Si ce gag potentiellement fumeux pouvait donner un coup d'arrêt au fichage généralisé.
Car on attends avec gourmandise la fuite du fichier des empreintes ADN, alors qu'il suffira bientôt d'avoir traversé en dehors des clous pour se faire imposer le conton-tigeage: Là, les assureurs auraient de quoi sabrer les jéroboam pour les fêtes.
Vu les branquignols qui tiennent cela au chaud, cela arrivera fatalement un jour et il ne faudra pas crier à l'accident: La seule inconnue là dedans n'est pas de savoir si cela arrivera, mais quand?

mrintrepide Premium

Le 16/12/2025 à 18h43

Et quel est le lien informatique commun entre les "TAJ, FPR, Interpol, DGFIP, CNAV, Cheops, Proxyma" ?
Il y en a qui n'ont aucun lien avec le ministère en question.

Grutorel Premium

Le 17/12/2025 à 10h33

D'apres les premier éléments, le piratage initial était "que" sur la messagerie de la police, mais des données de type "login/mot de passe" ont été échangé, le pirate a donc pu accédé à des données facilement. L'utilisation d'un NOEMI (ordinateur portable sécurisé) qui aurait été "volé" (ou donné avec complicité interne) dans un commissariat est également évoqué.
j'ai pu voir des captures du pirate avec un fichier JSON de 16 millions d'entrée, correspondant au dépôt de plainte mais impossible à vérifier en état.