Une cyberattaque d’ampleur a frappé le ministère de l’Intérieur français en novembre et décembre 2024, révélant des failles critiques dans la sécurité des systèmes informatiques d’État. Un suspect, Melvin L., âgé de 22 ans, a été interpellé le 17 décembre 2024 et mis en examen pour accès frauduleux à des bases de données sensibles de la police nationale. Cette affaire, qui a permis l’accès à des fichiers comme le TAJ (Traitement des antécédents judiciaires) et le FPR (Fichier des personnes recherchées), soulève des questions sur la protection des données personnelles de millions de citoyens.
Chronologie des Événements
L’intrusion a débuté autour du 9 novembre 2024, lorsque des pirates ont compromis des identifiants de policiers, partagés en clair malgré les protocoles de sécurité. L’accès s’est effectué via le portail CHEOPS, une plateforme sécurisée reliant aux bases de données policières. La détection n’a eu lieu que le 22 novembre, soit après 13 jours d’activité non repérée, grâce à un algorithme identifiant des consultations anormales et compulsives.
Le 14 décembre, une revendication apparaît sur le forum BreachForums, où un groupe sous le pseudonyme « Indra » affirme avoir exfiltré 16,4 millions de fiches sensibles et lance un ultimatum au ministre. Les autorités minimisent initialement l’incident, Laurent Nuñez évoquant une simple « intrusion dans les services de messagerie » le 11 décembre. Le 17 décembre, Melvin L. est arrêté à son domicile en Haute-Vienne par la BRI. Il est mis en examen le 20 décembre pour « maintien frauduleux en bande organisée dans un système de traitement automatisé de données » et placé en détention provisoire, risquant jusqu’à 10 ans de prison.
Profil du Suspect : Melvin L.
Melvin L., né en 2002 et résidant chez sa mère près de Limoges, est un autodidacte en informatique décrit comme discret et solitaire. Dès le collège, il démontrait des talents en piratage, comme contrôler les écrans des professeurs. Ayant abandonné ses études pendant la pandémie de Covid-19, il s’est tourné vers la revente en ligne et des activités cybercriminelles.
Déjà condamné en 2024 pour SIM swapping (détournement de lignes téléphoniques), escroqueries et swatting, il opérait sous des pseudonymes comme « SSRQM ». Lors de son interrogatoire, il a nié une implication majeure, affirmant avoir été « instrumentalisé » par d’autres hackers plus expérimentés. Les enquêteurs le soupçonnent d’avoir agi en bande organisée, potentiellement liée à des groupes comme ShinyHunters.
Ampleur de la Brèche et Données Compromises
Les pirates ont accédé à des dizaines, voire une centaine, de fiches confidentielles, incluant des données ultra-sensibles du TAJ (17 millions de fiches sur mis en cause, victimes et témoins) et du FPR. Contrairement aux revendications exagérées sur BreachForums, les autorités affirment qu’il n’y a pas eu d’exfiltration massive, mais des consultations et extractions limitées – des dizaines de milliers de noms potentiellement siphonnés. Aucune rançon n’a été demandée, et aucun danger immédiat pour les citoyens n’est signalé, bien que des risques d’usurpation d’identité persistent.
L’attaque a exploité des failles basiques : mots de passe en clair et absence systématique d’authentification à double facteur (MFA). Cela met en lumière une « hygiène numérique » défaillante au sein du ministère, malgré les avertissements récurrents de l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Réactions Officielles et Mesures Prises
Le parquet de Paris a ouvert une enquête préliminaire le 4 décembre, confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). Laurent Nuñez a qualifié l’intrusion de « très grave » le 17 décembre, après avoir initialement sous-estimé sa portée. Des mesures immédiates ont été mises en œuvre : généralisation du MFA, révocation d’accès, changements de mots de passe, et saisine de la CNIL pour évaluer les impacts sur la vie privée.
Le ministre a insisté sur l’absence de lien avec des acteurs étatiques, pointant plutôt vers des cybercriminels opportunistes. Une enquête administrative interne est en cours pour identifier les responsabilités au sein du ministère.
Controverses et Implications
Un article du Canard enchaîné révèle la durée prolongée de l’intrusion et la minimisation initiale. Des critiques fusent sur l’incompétence en cybersécurité au plus haut niveau de l’État, avec des appels à la démission de Laurent Nuñez. Elle souligne les risques liés à la centralisation des données sensibles et interroge la capacité de la France à protéger ses infrastructures critiques face à des menaces croissantes.
Des experts en cybersécurité, comme ceux cités dans les médias, doutent de l’ampleur réelle et appellent à une transparence accrue. L’affaire pourrait influencer les débats sur la réforme des fichiers policiers et renforcer les investissements en sécurité numérique, dans un contexte de multiplication des cyberattaques contre les institutions publiques.
Sources :