Une intrusion dans des messageries de policier a mené à l’interpellation d’un suspect de 22 ans. Entre fichiers policiers consultés et revendication en ligne, l’enquête de ZATAZ scrute une chaîne d’accès fragilisée.
Le parquet de Paris a confirmé l’arrestation d’un homme de 22 ans, mercredi vers 17 h, dans un village de 800 habitants au nord de Limoges, après le piratage de boîtes mails visant des fonctionnaires du ministère de l’Intérieur survenu durant la semaine du 8 décembre 2025. Le suspect, déjà condamné en 2025 pour atteinte à un système de traitement automatisé des données, a été placé en garde à vue, dans une enquête ouverte pour atteinte à un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État en bande organisée, passible de dix ans de prison. Laurent Nuñez, Ministre de l’Intérieur, indique que le TAJ et le FPR ont été consultés et que « quelques dizaines de fiches » auraient pu être extraites, sans les « millions de données » indiqués par le présumé pirate.
Une interpellation ciblée après une intrusion confirmée
Les faits de l’affaire du piratage de boîtes électroniques de fonctionnaires du Ministére de l’Intérieur affiche ce que ZATAZ vous explique depuis des mois : le business de la données dans les mains de jeunes en mal d’argent et de reconnaissance.
Le signal judiciaire est tombé après l’annonce politique. Mercredi soir, le parquet de Paris a confirmé l’interpellation d’un jeune homme de 22 ans, arrêté au nord de Limoges, en Haute-Vienne, au domicile familial. L’opération est conduite vers 17 h par des policiers de la BRI, selon les éléments communiqués, et se déroule sans heurts. Le lieu exact n’est pas précisé, si ce n’est qu’il s’agit d’un village d’environ 800 habitants. Le même soir, le dossier bascule officiellement dans une séquence classique de cyberenquête pénale, avec une garde à vue qui peut durer jusqu’à 48 heures.
Les soupçons portent sur une participation au piratage ayant visé le ministère de l’Intérieur pendant la semaine du 8 décembre 2025. L’attaque, décrite comme une « intrusion malveillante » par le ministre de l’Intérieur Laurent Nuñez sur franceinfo, a touché des serveurs de messagerie. Dans ce type de scénario, la messagerie n’est pas qu’un outil de communication, elle devient un point d’appui. Un compte compromis ouvre souvent l’accès à des conversations, à des pièces jointes, à des habitudes internes et, surtout, à des identifiants qui circulent trop facilement. C’est précisément l’angle assumé par le ministre, qui évoque la récupération de « codes d’accès » à partir de certaines boîtes professionnelles. Je lisais beaucoup de moquerie et de propos déplacés sur cette affaire. Il faut dire qu’à quelques mois d’élections importantes en France permet de fournir du grain à moudre à toutes les oppositions politiques. Mais qui n’a jamais laissé trainé un mot de passe dans un courriel ? Directement ou indirectement ?
Sur le plan judiciaire, l’infraction retenue est lourde et structurante pour la suite. L’enquête est ouverte pour atteinte à un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État en bande organisée. L’enjeu dépasse la performance technique du pirate présumé, il porte aussi sur l’organisation, les complicités éventuelles et la méthode. Le suspect encourt, à ce stade, jusqu’à dix ans d’emprisonnement. Autre élément saillant, rappelé par la procureure, il est « déjà connu des services de justice » et a été condamné en 2025 pour des faits similaires, une atteinte à un système de traitement automatisé des données. Cette antériorité change la lecture des faits, car elle inscrit l’affaire dans une trajectoire, pas dans un accident isolé.
Dès vendredi, plusieurs courriels m’ont été envoyés par « des » inconnus pour parler de cette « revendication ». Une manipulation ratée 😉
La communication officielle insiste sur un point de contrôle, celui du volume. Laurent Nuñez affirme qu’il n’y a pas eu extraction de « millions de données ». Il dit toutefois que « quelques dizaines de fiches » confidentielles ont pu être « extraites« . L’écart entre ces deux ordres de grandeur est central. Dans une crise cyber, la quantité est un indicateur, mais la nature des données pèse souvent plus lourd. Une poignée de fiches issues d’outils policiers peut suffire à créer des risques opérationnels, d’image et de confiance, même si aucune rançon n’a été demandée, comme l’affirme le ministre. Un autre indicateur interessant. Ce pirate a-t-il recherché des informations sur des proches (ChatNoir ? ShinyHunters ? TheKilbob ? Etc.) ou s’est-il contenté de chercher des noms médiatiques ?
TAJ, FPR, revendication, le brouillard des chiffres
Le ministre précise que le Traitement d’antécédents judiciaires (TAJ) et le Fichier des personnes recherchées (FPR) ont été « consultés« . Il les qualifie de « fichiers importants« . Les descriptions disponibles dessinent pourquoi. Le TAJ ne se limite pas à des condamnations, il agrège des données issues d’enquêtes de police et de gendarmerie, avec des informations pouvant inclure des coordonnées de victimes ou de témoins. Le FPR centralise des signalements, comme des fugitifs, des interdictions de territoire ou des disparitions inquiétantes. Dans un ministère, ces bases ne sont pas des annexes, elles sont au cœur de missions quotidiennes, et leur simple consultation illégitime déclenche une alerte de souveraineté interne.
Face à cette gravité, un groupe de pirates informatiques qui revendiqué l’attaque, un groupe qui ne cachait qu’un seul individu (Dumpsec ?) sans fournir de preuve, et affirmait avoir accédé à des données de plus de 16 millions de personnes issues de fichiers de police. L’affirmation se heurte, frontalement, à la ligne gouvernementale d’une extraction limitée. Ce décalage illustre un mécanisme fréquent dans les crises cyber : la revendication sert parfois à amplifier l’impact, à semer le doute, à saturer l’espace informationnel, ou à négocier une réputation avec l’aide d’influenceurs divers et variés. Le fait que le ministre nie toute demande de rançon ne ferme pas la porte à une stratégie d’influence. La pression peut viser l’opinion, l’institution, voire les personnels.
Vente diffusée début 2025.
Laurent Nuñez place aussi l’origine de l’intrusion dans des « imprudences » internes. Il évoque, de manière explicite, des mots de passe échangés en clair et par mail, malgré des rappels réguliers de prudence. Il ajoute une dimension d’échelle, « 300.000 agents » au ministère de l’Intérieur, pour expliquer la difficulté à obtenir une discipline homogène. Cette phrase, au-delà de la justification, décrit un problème de renseignement défensif : plus l’organisation est vaste, plus la surface humaine devient une surface d’attaque. Et quand des identifiants circulent en clair, la technique la plus sophistiquée n’est plus nécessaire. Une simple lecture de messagerie peut suffire à franchir un verrou. Souvenez-vous de cet internaute pirate que ZATAZ avait pu interviewer en début d’année concernant les multiples fuites de données ayant impacté le pays (mais pas que) : « Je n’ai rien de technique, je suis juste malin« . C’est d’ailleurs pour ce genre de rencontres que j’avais sorti un single (écouter ci-dessous) pour motiver de jeunes internautes attirés par la cybersécurité à se tourner vers le côté lumineux de la force et ne pas finir dans le « dark »… d’une prison.
Le ministre indique avoir saisi la CNIL, « comme la loi nous l’impose« . Il annonce également une enquête administrative qu’il a demandée. Ces deux gestes, placés côte à côte, montrent la double piste d’une crise cyber dans l’État : la conformité et la responsabilité. La CNIL traite l’obligation déclarative et l’impact sur les données personnelles. L’enquête administrative, elle, vise la chaîne interne, les procédures, les comportements, et la manière dont des codes ont pu se retrouver exposés. Dans l’immédiat, le ministre affirme ne pas pouvoir dire si des enquêtes seront compromises, tout en assurant que cela ne met pas « en danger la vie » des Français. Cette prudence sur l’opérationnel, combinée à une certitude sur l’absence de danger vital, balise la communication, mais laisse l’essentiel ouvert : quelles fiches ont été vues, copiées, ou simplement parcourues.
Vente diffusée début 2025.
De Beauvau à BreachForums, une dimension « représailles » ?
L’affaire change encore de texture avec la revendication attribuée à un internaute se présentant comme le « hacker de la Place Beauvau« , publiée sur une copie de BreachForums. Qu’est ce que l’on n’a pas lu sur le sujet. Trés peu de gens connaissent vraiment le sujet. Trés peu de personne on remarqué que l’URL n’était pas le bon. Un « nouveau » site monté à la va vite dés le 20 novembre 2025, avec les mêmes failles. Et pour cause, il s’agit de la copie de « l’ancienne » version de breachforums, diffusée par un « inconnu », en octobre 2025. Le message s’inscrit, selon le récit rapporté, dans une logique de représailles après l’interpellation de cinq hackers en France au cours de l’année 2025. Le ton prêté à cette revendication est explicite, « Vous allez payer pour ce que vous avez fait à nos amis« , et la cible symbolique est limpide : le ministère, ses fichiers, son image de puissance. Même sans preuve technique, l’argument raconte une intention, celle de transformer une intrusion en message politique et communautaire. A quelques mois d’importantes élections (Municipales et présidentielles) l’effet politique a fait mouche.
Vente diffusée début 2024.
Cette séquence renvoie à un autre dossier, celui de Kai West, 25 ans, Britannique présenté comme connu sous le pseudo « Intelbroker » (mais aussi CyberNig**, pseudo raciste, ou encore theKilbob). Souvenez-vous de ce personnage arrêté dans la Ville de Jean-Bart. Je vous parlais de ses propos racistes, de son comportement à la limite du serial killer 2.0 qui aimait affubler ses avatars d’un casque de Nazi (sic!). Il a été interpellé le 22 février 2025 à Dunkerque alors qu’il montait dans un bateau vers son pays d’origine, l’Angleterre. Selon les informations rapportées, le FBI le soupçonne d’être un des responsables de BreachForums. Le voici, notre cinquiéme homme. Les quatre autres complices présumés seront ensuite été arrêtés en France, en juin. Depuis ces arrestations, BreachForums semblait « au point mort« , avec quelques coups d’éclats médiatiques via ses copies. Plusieurs url étaient apparus en .gg ; .info ; .hd ; etc. jusqu’à la revendication liée à Beauvau via la « nouvelle » version en .bf.
Le dossier Kai West est décrit comme un concentré de cybercriminalité structurée : accusations de cyberattaques « d’un très haut degré de complexité« , cibles citées à l’époque comme le groupe hôtelier Accor ou l’agence européenne Europol, puis revente de données sur des espaces criminels. La procureure de Paris, Laure Beccuau, évoquait dans un communiqué des attaques au préjudice de « nombreuses victimes en France et à l’étranger« . Du côté américain, le Department of Justice affirme que West a conspiré pour dérober des données auprès d’entreprises de télécommunications, de systèmes de santé, de fournisseurs Internet et de « plus de 40 autres victimes« , causant « des millions de dollars » de dommages. Les critères d’appartenance revendiqués par IntelBroker : être blanc (sic!).
Les montants cités donnent une idée de l’économie souterraine attribuée à ce type de profils. Il est écrit que Kai West est accusé de s’être enrichi de 2 millions de dollars (1,7 millions d’euros) et d’avoir causé plus de 25 millions de dollars (21,3 millions d’euros) de préjudices. Les paiements auraient transité en cryptomonnaies, avec des comptes bitcoin, monero associés à lui, tandis qu’il assurait n’avoir « pas gagné un centime« . Selon des sources judiciaires, il démentait les cyberattaques et affirmait n’avoir fait que revendre des fichiers obtenus par d’autres, allant jusqu’à dire avoir déjà collaboré par le passé avec les autorités allemandes. Il sera mis en examen pour sept infractions et écroué à la prison de la Santé.
IntelBroker, BreachForums et le courtage de données volées
De décembre 2023 à juin 2025, BreachForums apparaît, selon les autorités françaises et américaines, comme une place de marché structurée pour monétiser données volées et accès frauduleux. Des publications attribuées à IntelBroker et à une sphère associée illustrent un modèle industriel : échantillons gratuits, négociation en messages privés, paiement en cryptomonnaie, réputation et crédits internes. En juin 2025, l’enquête devient judiciaire. Le DOJ (SDNY) inculpe le Britannique Kai West, présenté comme opérant sous les alias IntelBroker (ou Kyle Northern, ou Thekilbob) avec des dommages estimés à plus de 25 million $ (23,0 millions d’euros). En France, comme expliqué plus haut, le parquet de Paris annonce des interpellations liées à l’administration de BreachForums.
Le mot « forum » est trompeur, il suggère une simple conversation. Dans les éléments cités par les autorités, BreachForums est plutôt décrit comme une infrastructure de marché, accessible sur le clearweb, anglophone, dotée de mécanismes qui rapprochent l’activité criminelle d’une économie de plateforme. Le parquet de Paris parle d’un lieu d’échange et de revente de données volées et d’accès frauduleux, avec plusieurs centaines de milliers d’utilisateurs et une forte visibilité dans l’écosystème cyber. Cette description importe moins pour l’image que pour la conséquence : à cette échelle, une donnée n’est plus seulement volée, elle devient « liquide », donc revendable, recombinable et exploitable par d’autres. On comprend mieux avec ce genre d’espace pourquoi on parle beaucoup plus de piratages informatiques. Il n’y en a pas plus que depuis que je travaille sur ce sujet (+ 30 ans), les pirates communiquent beaucoup plus, d’où mon terme de « marketing de la malveillance« . Ils ont besoin de vendre. Ils ont besoin de clients. Ils ont donc besoin de communiquer sur leurs « produits ».
Le Department of Justice (DOJ) insiste, lui, sur les rouages. Profils, publications publiques, fils de discussion, messages privés pour conclure, crédits internes, niveaux de réputation, signatures : l’ensemble sert à transformer une exfiltration en actif commercial. Dans une place de marché, la confiance est un produit rare. Elle se fabrique avec des signaux simples, visibles et répétables. Comme ZATAZ vous le montre depuis des années : fréquence de publication, historique de ventes, retours des acheteurs, présence d’échantillons. Dit autrement, la technique du piratage ne suffit pas. Il faut aussi une vitrine, des règles implicites et un langage de transaction. Depuis quelques mois, ces pirates profitent aussi de la visibilité que peuvent leur donner certains internautes sur les réseaux sociaux au point que certains de ces pirates n’hésitent plus à contacter, en direct et en privé, pour en parler ! J’ai toujours refusé, ce qui m’a valu menace de mort, appels téléphoniques en pleine nuit.
Vente diffusée à l’été 2022.
Dans ce modèle, ce qui se vend n’est pas uniquement une « base ». Le « produit » peut être une base de clients, de patients ou d’employés, mais aussi un accès opérationnel, panel, VPN, compte administrateur, API, outils internes, et parfois du code interne, perçu comme un raccourci pour comprendre l’architecture d’une organisation. Les annonces servent alors d’interface entre deux mondes : celui qui vole et celui qui sait exploiter. La plateforme rend ce passage simple, en réduisant les frictions, en mettant en scène l’offre et en normalisant le paiement. Des plateformes qui permettent la mise en vente d’outils plus précis, comme des LookUp. ZATAZ vous en parlait ici et là et vous en montre sur la chaîne Youtube de ZATAZ.
Ce point est central pour comprendre pourquoi les autorités ciblent aussi l’infrastructure. Retirer une place de marché ne fait pas disparaître la cybercriminalité. En revanche, cela perturbe une partie de la chaîne logistique, celle qui convertit un vol en revenu. Une base qui reste isolée est un risque. Une base qui circule, se revend et s’enrichit devient un multiplicateur de dommages, avec des effets en cascade : fraude, hameçonnage, usurpation d’identité, attaques par permutation de cartes SIM, ou ciblage plus fin parce que les données sont recoupées.
IntelBroker et l’économie de la réputation
La chronologie fournie, notamment les éléments de décembre 2023 et de juin 2024, montre un profil cohérent avec celui d’un courtier de données, au sens strict : quelqu’un qui met en vente des lots, qui propose des accès, qui négocie, et qui sait que la notoriété est un levier de prix. IntelBroket n’est pas seul dans ce cas. Qu’il se nomme Varun, Zikn, Dajjal, Breachz, C0rrupt, Personne27, CYBERVAULT, Arkeliaad, TheFrenchGuy, Lanvin, LaFouine, TSK, Etc. Certains (rares) agissent pour le défit. La grande majorité (surtout) pour le profit. Ils sont des centaines de part le monde à jongler avec ce process, ce business de la malveillance.
Dès décembre 2023, BreachForums (1er du nom) et XSS (espace fermé par les autorités Françaises et Ukrainiennes), évoquaient plusieurs offres attribuées à la sphère « CyberN » et à IntelBroker. Le Service de veille ZATAZ avait pu y constater, d’un côté, une revendication de vente d’un lot présenté comme lié à Colonial Pipeline, annoncé à 200 Go pour 30 000 $ (27 600 euros). On y trouvait aussi une proposition d’accès à une « dashboard » associée à l’armée américaine pour 5 000 $ (4 600 euros), ainsi qu’une vente d’accès à des services IT, mentionnant GitHub, GitLab, Docker, Vault, Azure, pour 8 000 $ en Monero (conversion indicative en euros : 7 360 euros. Ces trois points appellaient déjà la même prudence : dans mon corpus, il s’agit de revendications de forum, c’est-à-dire de promesses commerciales, sans validation publique indépendante. Dans un article, la nuance n’est pas un détail juridique, c’est le cœur de la rigueur : on décrit une annonce, pas un fait prouvé. Quelques jours plus tard, le même pirate affichera le Facebook Marketplace dans sa liste de victimes.
Ce qui ressort de cet ensemble, c’est moins la liste des cibles que la grammaire commerciale. Un courtier de données efficace sait alterner le payant et le gratuit. Il sait aussi que l’offre doit être compréhensible en quelques lignes, parce que l’audience scrolle, compare, et n’achète que si le risque perçu est bas. Une mécanique de publications gratuites, parfois contre crédits internes (quelques euros), destinées à gagner en crédibilité et à augmenter la capacité à vendre ensuite. La logique est simple, et donc redoutable : l’échantillon agit comme une preuve sociale, le fil public sert de publicité, et la négociation bascule en messages privés pour finaliser le prix, les conditions et le paiement.
Vente diffusée début 2025.
Juin 2024 illustre un autre ressort : le code interne comme monnaie d’influence. IntelBroker revendique une compromission Apple et la fuite de contenus liés à trois outils internes, AppleConnect-SSO, Apple-HWE-Confluence-Advanced et AppleMacroPlugin. Le point important n’est pas de fantasmer une prise de contrôle totale. Il est de comprendre l’intérêt d’une telle fuite dans un marché. Du code interne, même partiel, peut donner des indices de cartographie, noms de services, intégrations, workflows, et exposer des choix d’authentification ou d’outillage. Mais, surtout, « toucher une marque » est un multiplicateur d’audience. Dans une économie de réputation, cela se convertit en vues, en demandes, puis en ventes. Publier gratuitement n’a rien d’altruiste : c’est un investissement, qui vise une rentabilité future. Les ransongiciel en son un exemple parfait. Souvenez-vous, en 2015, je rencontrais un pirate qui m’expliquait attendre avec appetit le RGPD. Pour lui, dès mai 2018, les entreprises payeraient qu’elles le veuillent ou non. Payer le pirate ou payer les frais de justice.
C’est ici aussi que des espaces pirates tels que BreachForums, Darkfiles, Darkforums et compagnie joue un rôle de convertisseur. Sans plateforme, un acteur peut voler. Avec une plateforme, il peut industrialiser la valorisation du vol, parce que la place de marché normalise le « packaging » : une accroche, un lot, un prix, un canal de contact, une monnaie préférée.
De la scène aux tribunaux, les erreurs d’OPSEC
Juin 2025 marque un basculement, parce que les récits de forum rencontrent des procédures. Le 26 juin 2025, le DOJ annonce l’inculpation de, Kai West. Le schéma décrit par les autorités américaines rejoint la logique de courtage observée dans les annonces : compromission de systèmes de victimes, exfiltration de données, vente et diffusion via un forum. Les chiffres avancés encadrent l’ampleur : des dommages cumulés estimés à plus de 25 million $ (23,0 millions d’euros) et un objectif de collecte d’au moins 2 million $ (1,84 million d’euros) via la vente de données.
Un vendeur installé, avec de nombreuses ventes, des centaines de publications, et l’usage de posts gratuits ou contre crédits pour monter en visibilité. Autrement dit, l’accusation ne vise pas seulement une intrusion. Elle vise une activité, une régularité, une méthode, ce qui correspond à l’idée d’une « mécanique industrielle » plutôt qu’à un coup isolé. Comme je vous le montre dans cette vidéo, ce business s’installer sur de nombreux réseaux sociaux Telegram et Discord. D’ailleurs, Telegram a indiqué à ZATAZ il y a peu avoir mis en place une IA pour contrer ces diffusions et ces « boutiques » pirates.
Menaces juin 2024.
Un autre détail change la lecture : l’arrestation en France en février 2025, avec une demande d’extradition américaine. Cette temporalité rappelle que les affaires cyber se construisent souvent à cheval sur plusieurs pays, et que la phase judiciaire est aussi une affaire de coopération, de procédures, de saisies et de synchronisation. Trois jours avant l’annonce du DOJ, le 23 juin 2025, le parquet de Paris annoncait l’interpellation de quatre personnes, suspectées de gérer BreachForums et liées à un collectif présenté comme « ShinyHunters ». Le parquet mettait en avant l’ouverture d’une enquête en août 2024 sur une piste d’administrateurs français, la coopération policière et judiciaire internationale, notamment avec les États-Unis, et l’objectif affiché d’une fermeture durable après saisies informatiques.
L’enjeu, ici, n’est pas de conclure trop vite à la disparition d’un marché. Les places ferment, migrent, réapparaissent, changent d’interface et de nom. En revanche, l’attaque coordonnée sur l’identité présumée d’un courtier et sur l’infrastructure de transaction peut casser, au moins temporairement, la capacité à faire du volume : viser à la fois le broker, qui fournit l’offre, et le forum, qui fournit la liquidité.
Cette approche met aussi en lumière une banalité souvent plus décisive que la « super faille » : l’OPSEC. Une activité qui produit des centaines de publications, des négociations répétées, des paiements, des comptes, des habitudes d’écriture, et des interactions sociales laisse des traces. La mythologie criminelle vend l’image d’une invisibilité totale. La réalité opérationnelle, surtout quand on industrialise, est faite de routines, de raccourcis et de petites incohérences. Ce sont ces détails, accumulés, qui rendent un dossier exploitable.
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
