Leader historique de la formation professionnelle en France, l’Afpa serait victime d’un piratage massif. Les cybercriminels menacent de publier 5 To de données sensibles.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
Fondée en 1949, l’Afpa est l’institution française de référence pour la formation professionnelle des adultes. Le 6 août 2025, le groupe cybercriminel INC Ransom revendique une attaque contre l’agence, affirmant détenir 5 téraoctets de données sensibles. Si aucune preuve n’a encore été publiée, les pirates évoquent la prise d’otage numérique des fichiers, laissant planer la menace d’une divulgation prochaine.
Afpa, un pilier de la formation en France
Etonnant écho que l’attaque vécu par l’AFPA. Aprés le CNFPT, il y a quelques jours, c’est donc à cette nouvelle institution d’être ciblée par des malveillants. Créée en 1949, l’Association nationale pour la formation professionnelle des adultes a été pensée pour répondre aux besoins du pays en pleine reconstruction. Son rôle : former des travailleurs qualifiés pour accompagner le redressement industriel et économique.
Devenue Agence nationale en 2017, l’Afpa a élargi son champ d’action avec plus de 150 000 stagiaires formés chaque année ; des centaines de centres répartis sur tout le territoire ; des filières allant de l’industrie au numérique, en passant par le bâtiment et les services. Un véritable acteur social qui accompagne aussi les demandeurs d’emploi et participe à l’insertion professionnelle. Un maillage dense, une mission d’intérêt général… mais aussi une énorme quantité de données personnelles et administratives à protéger.
Le 6 août 2025, INC Ransom frappe
Le groupe INC Ransom, déjà connu pour ses attaques contre des institutions publiques et privées en Europe, comme la prestigieuse Biennal de Venise, annonce le 6 août 2025 avoir compromis le réseau informatique de l’Afpa. Le message publié sur leur site de fuite évoque une prise d’otage de 5 To de données. Des fichiers sensibles incluant données personnelles, documents internes, correspondances électroniques. Une menace explicite de publication sur leur blog dans les jours ou semaines à venir. Fait rare pour être souligné, aucun échantillon de données prétendument collectés.
⏳ Jusqu’où tolérerez-vous d’être piraté ?
CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.
Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.
À ce stade donc, d’autant que les blogs d’INC Ransomw sont hors service depuis le 16 août, aucune donnée n’a été diffusée publiquement. Cette absence de « preuve de vie » pourrait signifier deux choses : les négociations sont en cours (j’y crois moyen, la doctrine française étant de ne pas payer) ; les cybercriminels cherchent à accentuer la pression médiatique avant la mise en ligne. Pour INC Ransom, viser l’Afpa présente plusieurs avantages, même si dans la grande majorité des cas, les cyber attaques se font au hasard des failles (techniques ou humaines). Le volume massif de données avec des dizaines d’années d’archives, dossiers de formation, contrats, bilans financiers. un impact social fort qui pourrait afficher des centaines de milliers de bénéficiaires actuels ou passés. L’Afpa étant liée à l’État, l’attaque touche indirectement les pouvoirs publics.
Les cybercriminels exploitent ici un levier psychologique puissant : l’Afpa gère non seulement des informations personnelles (identités, coordonnées, parcours professionnels) mais aussi des données administratives confidentielles. Leur exposition pourrait avoir des conséquences graves pour les usagers comme l’usurpations d’identité ; des tentatives d’escroqueries bancaires ; Etc.
INC Ransom, un groupe en expansion ?
Peu connu du grand public, INC Ransom s’est imposé en quelques années dans le paysage du Ransomware-as-a-Service (RaaS). 159 cyber attaques en 2024, 201 en 2025, ces pirates se caractérisent par une stratégie de la « double extorsion » : vol + chiffrement des données ; publication progressive des fichiers en cas de non-paiement. Ce mode opératoire rappelle celui de LockBit ou BlackCat, mais avec une communication plus discrète et un ciblage laissant penser à une préférence pour les organismes publics ou parapublics européens.
Pour le moment, et depuis le 16 août, les blogs d’INC Ransom dans le darkweb sont hors services.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
