"Cette fois-ci, les choses se passeront différemment". C’est par cette promesse que commence le message qui revendique l’attaque informatique la plus médiatique de l’année. Publié le samedi 13 décembre 2025 à 18 heures par un certain "Indra", le texte annonce deux événements importants : le ministère de l’Intérieur a été compromis et BreachForums est de retour.

L’une comme l’autre sont des annonces de taille. D’après les déclarations de Laurent Nunez, le ministre de l’Intérieur, des "dizaines de fichiers sensibles" auraient été consultés, dont le TAJ (Traitement d’antécédents judiciaires) et le FPR (Fichier des personnes recherchées), deux documents rassemblant des millions de données très sensibles. A l’origine de cette infraction, "un ou plusieurs individus", qui seraient restés actifs sur le réseau pendant "plusieurs jours". Quant au retour de BreachForums, il marque l'arrivée d’une nouvelle génération de hackers prêts à tout pour faire connaître leur business.

Un hacker jeune, mais doué

Depuis, le hacker regrette peut-être la publication de son message bravache. La procureure de Paris, Laure Beccuau, a annoncé dans un communiqué de presse mercredi qu’un suspect de 22 ans avait été arrêté et placé en garde à vue. En attendant les résultats de l'enquête de police, il faut néanmoins "rester prudent dans l’attribution de l’attaque", insiste Arnaud Pilon, directeur du pôle Réponses aux incidents chez Synacktiv. "On ne sait pas encore si la personne qui revendique l’attaque est bien celle qu’elle prétend être, et il y a parfois des attaques sous faux drapeaux".

Les actions du pirate renseignent néanmoins en partie sur son profil et ses motivations. En dépit de la jeunesse du suspect, les experts reconnaissent sa technicité. "C’est quand même très pointu de rentrer dans le ministère", concède Adrien Merveille, directeur technique France de CheckPoint, un fournisseur de solutions de cybersécurité. "Ce n’est pas à la portée de n’importe quel hacker".

Le réseau du ministère de l’Intérieur est en effet très bien protégé, "au-delà de l’état de l’art en matière de cybersécurité", insiste Jérôme Saiz, expert en cybersécurité et fondateur de OPFOR Intelligence. Le réseau est surveillé en permanence avec des sondes réseau, qui permettent d’observer tout ce qui s’y passe. Mais, c’est aussi une immense structure, à laquelle accèdent des dizaines de milliers de PC à travers des milliers de postes de police et de gendarmerie. "Dans ces conditions il est impossible de garantir que l’un de ces accès ne soit jamais détourné", précise Jérôme Saiz. C’est peut-être la technique qu’a utilisée le hacker pour pénétrer le réseau. "Un utilisateur aurait pu se faire pirater son poste, soit par un lien piégé, soit avec le téléchargement d’une pièce jointe malveillante", et avoir ainsi fourni ses identifiants sans s’en rendre compte.

En utilisant un poste a priori sécurisé, le pirate aurait ainsi pu rester pendant plusieurs jours au sein du réseau, sans se faire repérer. "S’il n’a effectué que des recherches et n’a pas eu d’activité anormale, cela n’a pas forcément déclenché de signal", explique Baptiste Robert, hacker éthique et chercheur en cybersécurité. Certains attaquants chevronnés restent tapis dans les réseaux pendant des mois, voyant ainsi passer de nombreuses informatiques critiques.

Pour l’instant, le profil de l’homme, âgé d’à peine une vingtaine d’années et vivant chez sa mère à proximité de Limoges, selon une source proche du dossier citée par RTL, n’étonne pas Adrien Merveille. "Il y avait des signes qui montraient un manque de maturité, notamment la façon dont il mettait en avant le vol et les informations qu’il prétendait avoir". En plus d’avoir extrait des informations du TAJ et du FPR, le suspect affirmait notamment avoir des données de la Direction générale des finances publiques et de la Caisse nationale d’assurance vieillesse, deux entités qui ne dépendent pas du ministère de l’Intérieur.

"Un bon pirate est quelqu’un de discret, qui ne se fait pas remarquer afin de rester le plus longtemps possible dans le réseau", précise Baptiste Robert. Le message publié sur BreachForums avait tout d’une provocation, la marque d’une personne jeune, "poussé par l’ego et l’argent, dont la volonté première était de montrer la réouverture de son forum."

L’ombre de BreachForums et ShinyHunters

Comme les forums russophones de hackers, BreachForums s’est fait connaître comme lieu de rassemblement de nombreux cybercriminels. Les pirates y mettaient en vente des bases de données volées ou des kits de phishing, s’échangeaient des techniques de piratage et proposaient leurs services en écriture de virus aux plus offrants. Anglophone, le site avait été créé en 2022 sur les cendres de RaidForum, un site originellement pensé pour coordonner des campagnes de cyberharcèlement. Ce dernier s’était peu à peu transformé en gigantesque marché pour les données volées lors de hacks ou récupérées après des fuites. Il avait finalement été saisi par le FBI et Europol en 2022.

BreachForums avait pris sa suite, et avait vite rencontré un certain succès, comptabilisant jusqu’à 300 000 utilisateurs. Mais en mars 2023, il avait été fermé après l’arrestation de son fondateur, l’Américain Conor Brian Fitzpatrick, connu sous le nom de Pompompurin sur le site. Le forum avait néanmoins ressuscité peu de temps après, à une autre adresse avant d'être de nouveau fermé par les autorités. BreachForums réapparaissait depuis régulièrement sous des formes et des adresses différentes. Un jeu du chat et de la souris avec les autorités, qui semblait définitivement terminé en juillet 2025, avec l’arrestation de plusieurs administrateurs clés du site, dont quatre Français, tous membres du gang ShinyHunters.

Le groupe a pendant longtemps administré le forum, raconte Adrien Merveille. ShinyHunters était connu pour ses motivations financières, à l’inverse de certains gangs alignés sur les intérêts iraniens ou russes. Adeptes de ransomwares, ces logiciels qui prennent en otage les données des victimes jusqu’à versement d’une rançon, les ShinyHunters ciblaient en particulier le secteur du transport et du retail. La France figurait parmi les pays les plus visés par le groupe, sur le podium avec les Etats-Unis et le Royaume-Uni. "C’est un gang extrêmement prolifique. Rien qu’en 2025, ils ont attaqué Balenciaga, Kering, Air France, Louis Vuitton, Cartier…", égrène Adrien Merveille.

Malgré l’arrestation de certains de ses membres en juillet, ShinyHunters a survécu. Il ne semble néanmoins pas à l'origine du retour de BreachForums. Si le pirate de Beauvau affirme avoir agi pour "se venger de ses camarades arrêtés", ShinyHunters a réfuté son appartenance au groupe.

Sont-ils vraiment innocents dans cette affaire ? Difficile à dire. "Ils ont tout intérêt à dire que ce n’était pas eux", analyse Baptiste Robert. "Après une telle attaque, ils savent qu’ils vont être la cible principale des autorités, et les hackers n’aiment pas être sous le feu des projecteurs".

"Il est dans leur intérêt d’entretenir le flou", abonde Jérôme Saiz. "Dans ce genre d’affaires, il est très difficile de savoir exactement à qui l’on parle et quelles sont leurs motivations". Sans compter qu'il n’est pas rare de voir différents groupes de hackers s’attaquer entre eux, se voler ou s’attribuer des attaques que d’autres ont perpétrées. "Ce n’est pas forcément le cas ici, mais il faut rester très prudent et ne pas prendre les déclarations de n’importe qui sur BreachForums pour argent comptant".

Dernière hypothèse : celle du "honeypot". La technique du "pot de miel" est régulièrement utilisée par les autorités pour piéger les cybercriminels. Une fois qu’ils ont pris le contrôle d’un site, au lieu d’immédiatement le fermer, les forces de l’ordre peuvent en profiter pour observer les activités qui s’y déroulent, récupérer des informations sur les pirates qui le fréquentent, des mots de passe, des mails, des adresses IP… Un cauchemar pour les hackers. "Le FBI a déjà créé un honeypot de BreachForums pour attirer les hackers", rappelle Adrien Merveille.

Le retour du site a d'ailleurs alimenté les soupçons des communautés de chercheurs comme de hackers. "Indra" avait consacré une longue partie de son message à expliquer qu’il ne s’agissait pas d’une opération du FBI, mais bien d’un retour du site. Son arrestation convaincra certains de sa bonne foi, mais cette nouvelle mouture de BreachForums ne devrait pas faire long feu.