L’intrusion informatique détectée dans la nuit du 11 au 12 décembre au ministère de l’Intérieur prend une tournure particulièrement alarmante avec la revendication publique, ce week-end, du forum cybercriminel BreachForums. Les opérateurs de cette plateforme, spécialisée dans le trafic de données volées, affirment être les auteurs de l’attaque et avoir exfiltré des informations confidentielles concernant potentiellement plus de 16 millions de personnes.
Le 13 décembre, un administrateur se présentant sous le pseudonyme « Indra » a publié un message détaillé annonçant le retour de BreachForums après plusieurs mois de silence, marqués par des saisies internationales et des arrestations en France à l’été 2025. Cette réapparition s’accompagne d’une revendication explosive : les pirates déclarent avoir « pleinement compromis » le ministère de l’Intérieur (MININT) en représailles aux interpellations d’anciens responsables du forum, proches du groupe ShinyHunters.
Selon leurs affirmations, l’attaque aurait donné accès à des bases de données hautement sensibles, notamment :
- Le Traitement d’Antécédents Judiciaires (TAJ), qui contiendrait des données sur 16 444 373 individus – suspects, victimes et éléments d’identification compris ;
- Le Fichier des Personnes Recherchées (FPR) ;
- Des systèmes interconnectés relevant d’Interpol, de la Direction Générale des Finances Publiques (DGFIP) et de la Caisse Nationale d’Assurance Vieillesse (CNAV).
Les auteurs revendiquent en outre avoir exploité les serveurs de messagerie du ministère pour diffuser l’annonce de leur retour. Ils lancent un ultimatum d’une semaine aux autorités françaises et au FBI : soit un paiement pour la destruction des données exfiltrées, soit leur mise en vente publique sur le forum, afin de démontrer que BreachForums n’est pas un piège orchestré par les forces de l’ordre.
À ce jour, ces allégations n’ont pas été étayées par des preuves publiques indépendantes, comme des échantillons de données. L’enquête, menée par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) avec l’appui de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), se poursuit.
Dans un premier temps, l’incident avait été nettement minimisé par les autorités : qualifié d’intrusion limitée aux serveurs de messagerie, sans « compromission grave », il était présenté comme maîtrisé dès les premières heures. Cette communication initiale a rapidement été contredite par l’évolution des faits reconnus par le ministère lui-même, qui a fini par admettre un accès à certains applicatifs métiers, permettant à l’assaillant de pénétrer un certain nombre de fichiers. Des mesures correctives ont été prises en urgence : généralisation de la double authentification, rotation massive des mots de passe et audits approfondis.
Le ministre de l’Intérieur, Laurent Nuñez, continue d’affirmer qu’aucune « compromission grave » n’a été constatée à ce stade, tout en précisant que l’évaluation de l’ampleur réelle se poursuit. Une plainte a été déposée auprès du parquet de Paris.
Cette affaire intervient dans un contexte de multiplication des cyberattaques contre des institutions publiques françaises en 2025. Si les revendications de BreachForums se révélaient exactes, elles exposeraient une faille majeure dans la protection des données policières et administratives, avec des conséquences potentiellement dramatiques pour la vie privée de millions de citoyens.
Les autorités invitent la population à la plus grande vigilance et rappellent les réflexes élémentaires de cybersécurité. L’évolution de cette enquête, déjà sous haute tension, sera scrutée de près dans les jours à venir.
Sources :
- Communiqué et déclarations du ministère de l’Intérieur (12-15 décembre 2025)
- Interview de Laurent Nuñez sur RTL et BFMTV (12 décembre 2025)
- Publication officielle de BreachForums (13 décembre 2025)
- LeMagIT / TechNadu, couverture de la revendication de BreachForums (14-15 décembre 2025)
- L’Informaticien, « Cyberattaque au MININT : l’accès aux messageries ouvre la porte aux outils internes » (15 décembre 2025)
Voici le message de revendication de cette attaque
Bonjour communauté BreachForums, bienvenue à nouveau.
Cette fois, les choses seront différentes.
Tout d’abord, nous nous excusons pour la confusion causée par les discussions sur le « honeypot » et autres histoires. Nous sommes vraiment désolés et allons maintenant tout expliquer.
La vérité est que « BreachForums » était à l’origine un projet de « ShinyHunters/hollow » et un autre groupe avant eux. Leur groupe (hollow, shiny, etc.) était arrêté. Seul un membre avait le projet original « ShinyHunters PGP » key, et cette personne était notre amie. Comme vous avez peut-être deviné, nous avions un différend.
Maintenant, après la fermeture et le fait d’avoir mis hors ligne tous les domaines saisis dans les 15 derniers jours, je suis sûr que tout le monde croit que nous sommes des agents du FBI ou quelque chose de similaire. Nous ne l’étions pas, et nous allons le prouver à la communauté BreachForums.
Nous annonçons par la présente qu’en vengeance pour nos amis arrêtés, nous avons réussi à compromettre « MININT » — le Ministère français de l’Intérieur.
Comme les actualités en France le rapportent, ils disent seulement que nous avons accédé à leurs serveurs de messagerie gouvernementaux. Sur France, pourquoi ne parlez-vous pas des 16 444 373 individus dont les données ont été accédées depuis votre fichier police.
Vous savez de quoi je parle ? « TAJ » (Traitement d’Antécédents Judiciaires — Criminal Records Processing). Et quoi d’autre ? « FPR » (Fichier des Personnes Recherchées — the database of all wanted persons). Et encore plus.
Qu’en est-il d’INTERPOL ? Vous avez vraiment essayé de cacher cela des deux dernières semaines ? Le « EASF MI » system ? Pourquoi plus personne ne parle du système financier du DGFIP (public finances) ? Pourquoi le word sur le CNAV (pensions) ?
Bref, ce n’est pas notre problème. Si un gouvernement ne peut même pas se protéger lui-même, imaginez si un terroriste avait obtenu toutes ces données. Qu’est-ce qui aurait pu se passer ?
Maintenant, vous nous payez pour ce que vous avez fait à nos amis.
Pour prouver à la communauté que nous ne sommes pas des agents du FBI ou police, nous donnons une semaine aux forces de l’ordre françaises pour nous contacter à :
breachforums@tutanota.de (mailto:breachforums@tutanota.de)
pour négocier ce qui arrive à leurs fichiers.
(Pour prouver votre identité, vérifiez vos logs audit et envoyez un message contenant mon full Cheops account name.)
Plus vous prenez de temps, plus nous allons divulguer de données. Vous avez maintenant deux options :
-
À votre achat, toutes les données gouvernementales exfiltrées par nous seront supprimées.
-
Nous les vendons à notre communauté pour prouver que nous ne sommes pas des forces de l’ordre.