Cyberattaque au ministère de l’Intérieur : une faille « sidérante » révèle des faiblesses critiques

Le ministère de l’Intérieur a subi une intrusion informatique jugée très grave fin 2025. Un hacker de 22 ans, interpellé depuis, a pénétré des systèmes sensibles de la Police nationale. Lors de son audition devant la commission des lois du Sénat le 13 janvier 2026, le ministre Laurent Nuñez a exposé des négligences embarrassantes, soulignant une vulnérabilité majeure dans la cybersécurité de l’État.

Comment le pirate est-il parvenu à entrer ?

L’attaque s’est déroulée avec une simplicité déconcertante, sans outil sophistiqué.Le hacker a d’abord compromis plusieurs comptes de messagerie professionnelle d’agents de police. À l’intérieur, il a repéré des échanges où des mots de passe d’applications métier étaient transmis en clair (sans chiffrement ni protection).Le ministre a qualifié cela de « défaut majeur d’hygiène numérique »  une pratique contraire à toutes les recommandations de sécurité répétées en interne.

Sans aucune protection supplémentaire, l’intrus a accédé à sept applications différentes, dont deux critiques :

• Le TAJ (Traitement des Antécédents Judiciaires)
• Le FPR (Fichier des Personnes Recherchées)

L’absence totale de double authentification (MFA/2FA) sur ces portails a constitué le point faible fatal. Ce mécanisme, qui exige un second facteur (code SMS, app authenticator…), aurait très probablement stoppé net l’intrusion.

Ampleur des données compromises : pas de millions, mais un risque réel

Bonne nouvelle : aucune modification ni destruction de données n’a été constatée.

Cependant, des extractions ont eu lieu, exposant des informations sensibles :

• TAJ (19 millions d’entrées au total) : 72 fiches complètes + plusieurs milliers de « sommaires » (résumés avec état civil et infos partielles, sans motif d’inscription)
• FPR : 23 fiches + environ 3 000 sommaires
• Fiches Interpol : 10 consultées, dont 1 extraite

Aucun ciblage précis n’a été repéré (pas d’opération contre des personnes spécifiques). Le but probable : revente sur le dark web. Le suspect a été mis en examen pour accès frauduleux en bande organisée dans un système étatique et placé en détention provisoire.

Réactions immédiates et plan de remédiation

Dès la détection (fin novembre 2025), le ministère a réagi vite :

• Réinitialisation massive des mots de passe
• Suppression d’un millier de comptes inactifs
• Suppression des accès compromis

La mesure phare : généralisation obligatoire de la double authentification sur toutes les applications touchées par le portail vulnérable.

Ce déploiement concerne potentiellement 300 000 agents et des centaines d’applications/portails. Le ministre a averti : c’est un chantier long et complexe, impossible à boucler du jour au lendemain.

Il a justifié un certain retard par la priorité donnée à la sécurisation des systèmes pour les Jeux Olympiques (2024), qui a mobilisé des ressources importantes. Malgré tout, il nie tout « relâchement » global et insiste sur les efforts déjà consentis ces dernières années.

Leçons à tirer : l’humain reste le maillon faible

Cette affaire rappelle une vérité cruelle en cybersécurité : les outils les plus avancés ne servent à rien si les bases ne sont pas respectées.

Échanger des mots de passe par mail en clair ? Absence de MFA sur des fichiers aussi sensibles ? Ces manquements, même isolés, ont ouvert une brèche royale.La CNIL a été saisie, des audits internes lancés, et une nouvelle messagerie plus sécurisée est en cours de déploiement. L’objectif : passer d’une posture réactive à une vraie culture de la sécurité pour tous les agents.En attendant, cette intrusion – loin d’être la plus technique – est l’une des plus révélatrices des failles persistantes dans les administrations françaises.

Source :Public Sénat