Fuite de données personnelles : la série noire continue pour l'Etat
Après le ministère de l'Intérieur, c'est au tour d'une plateforme d'échange de pièces justificatives de la Direction interministérielle du numérique (Dinum), de l'Urssaf et de l’Office français de l’immigration et de l’intégration (OFII) d'être victimes de fuites de données. Le ministre de l'Intérieur, interrogé par les sénateurs sur la cyberattaque de mi-décembre 2025, a reconnu un "manque d'hygiène informatique".
© Capture vidéo Sénat/ Audition de Laurent Nuñez devant la commission des lois du Sénat le 13 janvier
Le vendredi 16 janvier 2026, la Dinum a révélé avoir détecté le 9 janvier une attaque sur la plateforme d'échange de documents HubEE. Celle-ci est utilisée par plusieurs administrations - direction de l'information légale et administrative (Dila), direction générale de la cohésion sociale (DGCS), direction générale de la Santé (DGS) et Cnaf - pour des démarches en ligne réalisées via le site service-public.gouv.fr. La Dinum a pris dès le 9 janvier des "mesures conservatoires" mais fait état de 70.000 dossiers et 160.000 documents exfiltrés (pièces justificatives), "contenant pour certains des données personnelles". Le mode opératoire utilisé pour l'attaque n'a pas été détaillé.
Fuites à l'Urssaf et à l'office de l'immigration
Le 19 janvier l'Urssaf a détecté "un accès non autorisé à l'API (interface d’échanges) contenant certaines données de la déclaration préalable à l'embauche, réservée à ses partenaires institutionnels". Un "compte partenaire" a été utilisé, via des identifiants volés antérieurement, pour dérober les coordonnées de 12 millions de salariés. L'Urssaf indique que son système d'information "n'a pas été compromis" et que la procédure de déclaration préalable à l'embauche reste fonctionnelle.
De son côté, l'Office français de l'immigration et de l'intégration (OFII) a confirmé début janvier 2026 une compromission via un opérateur/partenaire chargé de dispenser les cours de langue dans le cadre du contrat d'intégration républicaine. L'attaque a été revendiquée sur Breach Forums avec la mise en vente d'environ "2 millions de lignes de données" liées à l’OFII contenant des coordonnées et des données de parcours (formations…).
Identifiants en clair dans des mails
Ces cyberattaques font suite à celle dont a été victime le ministère de l'Intérieur mi-décembre. Trois bases de données ultra sensibles, la base de traitement des antécédents judiciaires (TAJ), le fichier des personnes recherchées (dont les fichés S), et les fiches Interpol avaient été consultées par un pirate de 22 ans, depuis arrêté.
Laurent Nunez, ministre de l'Intérieur, a été interrogé par le Sénat sur cette affaire le 13 janvier. Le ministre a fait état de 72 fiches TAJ exfiltrées (sur 19 millions de fiches) ainsi que plusieurs dizaines de milliers de lignes de synthèse, 23 fiches extraites pour les personnes recherchées et 10 fiches Interpol consultées et une exfiltrée. Le mode opératoire de l'attaque se révèle on ne peut plus basique. Après avoir réussi à accéder à la messagerie de la police nationale, le pirate a effectué une simple recherche d'identifiants/ mots de passe dans les mails et à peine 50 mots clefs lui ont été nécessaires pour trouver ces informations indiquées en clair dans les messages… Autrement dit, c'est le non-respect de règles de base d'hygiène informatique qui a permis cette attaque.
Les mots de passe ont été depuis réinitialisés et un millier de comptes obsolètes supprimés. La double authentification a été mise en place et sera étendue à toutes les applications du ministère. Des audits et une nouvelle messagerie sécurisée ont été annoncés.
