Des données issues d’au moins onze institutions françaises, dont des caisses de retraite, sont commercialisées sur le dark web par un pirate repéré par ZATAZ.
En ligne depuis quelques jours, une nouvelle alerte cybersec nous a mis en alerte. ZATAZ a identifié un pirate diffusant à la vente des données personnelles d’employés de plusieurs caisses de retraite hexagonale. Cette fuite, aussi discrète que préoccupante, révèle la fragilité de certains systèmes d’information, dont l’humain. Entre adresses IP, mails, téléphones, hachages de mots de passe et noms de domaines institutionnels, les éléments en jeu dessinent un panorama inquiétant pour la sécurité des agents et des infrastructures étatiques.
Le pirate, dont le pseudonyme et l’imagerie visuelle laissent entendre une origine nord-africaine [Je n’en dirai pas plus], a structuré son offre de manière professionnelle. Il propose des listings classés par secteur d’activité, assortis de noms évocateurs tels que « Données liées à la santé publique« , « Données des organismes de sécurité sociale« , ou encore « Retraite« . À travers ces fichiers, ce sont au total plusieurs centaines d’accès qu’il cherche à monnayer, à des tarifs variant de 10 à plus de 4000 euros selon la sensibilité et la rareté des données concernées.
« Données liées à la santé publique » représente à lui seul près de 68 % de la valeur totale estimée de la fuite. »
D’où viennent ces informations ?
Parmi les échantillons analysés par ZATAZ, 58 adresses mail et 50 mots de passe hachés ont été retrouvés. Il s’agit ici des échantillons que le pirate a diffusé pour attirer les acheteurs blacknautes. Les hachages utilisés, au nombre de 28 en MD5 et 22 en SHA-512, montrent une certaine hétérogénéité dans la gestion des mots de passe, voire un usage de méthodes obsolètes comme le MD5, pourtant considéré depuis longtemps comme vulnérable. Plus inquiétant encore, un seul hash SHA-512 se répète à 17 reprises. Ce détail intrigue ZATAZ : s’agit-il d’un mot de passe partagé en interne par plusieurs agents, d’un compte à usage collectif, ou d’un artefact lié à une manipulation du pirate ?
Les régions touchées, bien que partielles, laissent déjà entrevoir une diffusion géographique large : dix employés d’une Caisse d’assurance retraite en Auvergne, six en Aquitaine, cinq du Centre France et trois en Bretagne. Ces données incluent parfois des informations personnelles sensibles comme des adresses postales ou des numéros de téléphone, ce qui accroît le risque de ciblage individuel, notamment via de l’hameçonnage ou de l’usurpation d’identité.
Les 11 domaines identifiés par ZATAZ permettent de relier les données à autant d’entités administratives françaises. L’absence de transparence sur le mode d’obtention de ces données interroge. Le pirate ne précise pas s’il s’agit d’une brèche directe, d’un phishing ciblé ou d’une de données constituées via le regroupement d’informations collectées dans le darkweb (Trojan, RAT, Etc.).
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Le Service Veille ZATAZ, à l’origine de la découverte, a alerté l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dès la mise à jour de la vente pirate, ce qui laisse entendre que des mesures sont en cours pour contenir les éventuelles compromissions, alerter les personnes révélées par le pirate et couper la mauvaise herbe sous le pied de ce hacker malveillant. Pour la petite histoire, l’ANSSI, et cela depuis le début de nos alertes, répond et agit dans l’heure [quand ce n’est pas dans la minute] ! Les alertes se trouvent dans notre espace « Protocole d’alerte ZATAZ« .
Le prix moyen de revente par entrée est estimé à 9,08 €, reflétant la monétisation croissante des données publiques.
Comme chez le marchand du coin !
La tarification appliquée par le pirate suit une logique claire : les données les plus sensibles ou touchant des domaines stratégiques sont vendues plus cher. Ainsi, les 450 accès revendiqués dans le dossier « Données liées à la santé publique » sont proposés à 10$ l’unité, tandis que les 180 accès de la catégorie « Organismes de sécurité sociale » atteignent 1 440$, soit 8 € l’entrée. Le fichier intitulé « Retraite » est proposé à 120 € pour quatre entrées, soit 30 $ chacune. En comparaison, les données issues du secteur de l’éducation, moins rares et considérées comme moins stratégiques, sont cédées à prix réduit : 25 accès pour 100 €, soit 4 € par entrée.
La sophistication de cette offre révèle une approche quasi-commerciale du cybercrime, où l’agencement des produits, leur désignation, leur prix et leur volume sont pensés pour séduire les acheteurs potentiels. Cette organisation méthodique tend à prouver que le pirate ne se contente pas d’un coup isolé, mais s’inscrit dans une logique de marché parallèle, où la donnée publique devient une marchandise comme une autre. Une forme de banalisation inquiétante de la compromission des systèmes étatiques.
La présence de domaines relatifs à l’assurance maladie ou encore à des établissements éducatifs parisiens et lyonnais, montre que ces données ne se limitent pas aux caisses de retraite. Toutefois, sans informations précises sur la méthode de collecte du pirate, il est difficile de dresser un tableau exhaustif de l’ampleur du problème.
Et si c’était un bluff géopolitique ?
Cette affaire illustre un paradoxe contemporain : tandis que l’État pousse à la numérisation de ses services pour des raisons d’efficacité et de modernisation, les infrastructures qui supportent cette transformation restent souvent vulnérables. Les cyberattaques ciblant les institutions publiques se multiplient, et la sophistication croissante des pirates les rend plus difficiles à anticiper et à enrayer. La double authentification s’invite dans toutes les administrations, et ce détail cyber est rassurant.
Dans un contexte de tensions géopolitiques croissantes, où la cybersécurité devient un enjeu de souveraineté nationale, cette vente revêt également une dimension politique. Le positionnement supposé du pirate, présenté comme originaire d’Afrique du Nord, avec un pseudo laissant entrevoir une certaine agressivité dans le contexte géopolitique du moment, pourrait traduire une volonté de déstabilisation ou de revendication idéologique, bien que rien dans les faits ne vienne confirmer cette hypothèse pour l’instant [à part son pseudo et son avatar]. Mais les cyberattaques d’origine étrangère, souvent camouflées ou indirectement revendiquées, s’inscrivent dans une stratégie plus large de fragilisation des démocraties occidentales.
Alors que les administrations, et quelque que soit le pays, peinent encore à se doter de politiques de cybersécurité homogènes et rigoureuses, ce type d’incident rappelle l’urgence d’un changement de paradigme. Il ne suffit plus de réagir à la fuite, il faut désormais la prévenir en amont, avec des systèmes de détection performants, des audits de sécurité réguliers, une formation accrue des agents publics. Une coordination centralisée à l’échelle nationale est indispensable. En France, l’ANSSI est là pour veiller au grain.
Mise à jour : cet article, écrit le 22 mai 2025 devait sortir le 26 mai, le temps que soient effacées les données malveillantes. Sauf que… rebondissement trés étonnant. Le groupe Stormous, connu pour ses diffusions malveillantes a annoncé la diffusion de plusieurs centaines de données similaires !
Rejoignez-nous sur la Lettre d’actualité gratuité de ZATAZ S’abonner à la newsletter ou encore sur WhatsApp et suivez notre veille sur Twitter/X, LinkedIn & YouTube.
