Piratage au ministère de l’Intérieur : des hackers ne passent pas inaperçus dans les fiches S
Le groupe ShinyHunters revendique l’accès aux bases de données les plus sensibles de Beauvau, y compris le fichier des personnes recherchées (FPR) et le TAJ (Traitement des antécédents judiciaires). En 2025, le ministère n’avait toujours pas généralisé l’authentification à double facteur (2FA) pour accéder à ces outils critiques.
Ce qui se déroule au ministère de l’Intérieur constitue un fiasco sécuritaire. Il n’est pas courant d’admettre que le fichier le plus sensible de France, celui des personnes recherchées (FPR), incluant les fameuses fiches S, a été accessible par des hackers comme une page Facebook mal sécurisée.
Le ministre de l’Intérieur, Laurent Nuñez, a été contraint de s’exprimer sur Franceinfo ce mercredi pour tenter de minimiser les dégâts. Il a confirmé que « quelques dizaines de fiches » avaient été extraites, tout en restant vague sur l’étendue totale de la compromission. En plus du FPR, le TAJ (Traitement des antécédents judiciaires) a également été consulté. Des millions de profils, de photos et de dossiers criminels pourraient désormais être exposés.
Un piratage « low-cost » dû à une mauvaise hygiène numérique
Comment cela a-t-il été possible ? Il n’y a pas eu de faille « zero-day » ultra-complexe ni de cyber-espionnage digne d’un film de James Bond. Les assaillants ont simplement pris le contrôle des messageries professionnelles de policiers.
À l’intérieur de ces messageries, ils ont découvert des identifiants et des mots de passe partagés en clair par des agents, en violation de toutes les règles de sécurité de base.
Ces codes ont permis aux pirates de se connecter à CHEOPS, le portail central des outils de la police nationale. Cet outil permet de consulter les permis de conduire, les signalements de drones et, surtout, les bases de données judiciaires. Normalement, l’accès nécessite une carte professionnelle et un code PIN, mais une « voie secondaire » par identifiant et mot de passe, beaucoup moins sécurisée, a été exploitée.
Le problème ? En 2025, le ministère n’avait toujours pas généralisé l’authentification à double facteur (2FA) pour accéder à ces outils critiques. C’est une lacune sérieuse. Alors que la plupart des applications demandent un code par SMS, l’accès aux fiches S reposait encore, dans certains cas, sur une simple chaîne de caractères.
L’argument des « imprudences » ne sera pas satisfaisant
Laurent Nuñez a évoqué des « imprudences » individuelles. Cependant, la sécurité d’un système national ne peut pas uniquement dépendre de la vigilance de milliers d’agents surmenés. Si un système permet de partager des codes d’accès sensibles par e-mail sans déclencher d’alerte, cela signale un système techniquement obsolète.
Quelle est la réaction du ministère ? Un « plan d’action immédiat » visant enfin à généraliser la double authentification. C’est le minimum requis, mais cela reste surtout un aveu d’échec.
En somme, l’État a fait preuve d’un excès de confiance ou de négligence technique. Ce piratage ne se limite pas à une fuite de données : c’est un message aux cybercriminels indiquant que les bases de données les plus sensibles de la République sont accessibles facilement.
