Annus horribilis : le bilan février 2026 des fuites de données

Vous en reprendrez bien un peu ?
La France n’est pas à la traîne. À défaut d’être une voix sur la scène diplomatique, elle excelle dans un autre registre : balancer nos données dans la nature, secteur privé comme secteur public, avec un amateurisme crasse et un mépris si assumé que communiquer sur le sujet semble soit leur écorcher les lèvres, soit relever du je-m’en-foutisme caractéristique d’un règne qui s’achève.
Le naufrage continue de plus belle (voir article de février) et vous êtes les passagers impuissants. Un jour viendra où la responsabilité de l’État sera engagée pour les millions de victimes.

Prisons, Armée, Hermès : 844 Go de données critiques dans la nature, le cabinet français DCE Conseil mis à nu par des hackers

Si l’année 2025 avait déjà battu des records en matière de fuite de données, 2026 démarre sous les auspices d’une année noire pour la souveraineté numérique française. Cette fois, ce ne sont pas seulement des bases de clients qui s’évaporent, mais les entrailles logistiques et sécuritaires d’infrastructures d’État : plans de prisons, bases militaires, dispositifs de sécurité de boutiques de luxe ou encore schémas d’entrepôts stratégiques.

Fuites de données au CNRS, des fichiers du Projet « NectarCam » publiés par le groupe LAPSUS$

Christophe Boutry Site Officiel Menu Soutien Discord Vidéos La Boîte Noire Articles Fuites Infos | Polyope Privacy is not a crime Christophe Boutry Site Officiel Privacy is not a crime Vidéos La Boîte Noire Articles Fuites Infos Polyope Discord Soutien Fuites de données au CNRS, des fichiers du Projet « NectarCam » publiés par le groupe LAPSUS$ 28 décembre 2025 1:15 Par Christophe Boutry Le 27 décembre 2025, la communauté de la cybercriminalité a été secouée par une nouvelle publication sur le célèbre (et résilient) forum BreachForums. J’ai rapidement attiré mon attention sur ce post, publié par l’utilisateur breach3d, une figure connue agissant en tant que modérateur de la plateforme. Il y mettait en ligne ce qui semble être le premier volet d’une exfiltration massive ciblant les infrastructures de recherche françaises. Bien que breach3d soit l’auteur du post, il n’est pas, à proprement parler, l’attaquant originel. Le leak est officiellement attribué à un acteur se revendiquant du groupe LAPSUS$ (ou de sa résurgence en 2025 sous le nom de Scattered LAPSUS$ Hunters), une entité déjà connue pour ses intrusions spectaculaires contre des géants comme Microsoft ou Nvidia. Cette distinction entre le « diffuseur » et « l’auteur » est, à mon sens, essentielle : elle suggère soit une collaboration, soit une revente de données au sein de l’écosystème souterrain. L’anatomie d’un dump : Entre archive et production Le fichier exfiltré, un dump SQL intitulé cta_NectarCamDemo, constitue une véritable radiographie d’un environnement de gestion de données scientifiques. En analysant les en-têtes, j’ai pu constater que l’extraction a été réalisée via l’interface phpMyAdmin v5.2.2, reposant sur un moteur MariaDB 10.11. Un point particulièrement notable : la date de génération du dump est le 20 décembre 2025, soit à peine une semaine avant sa publication. Cette proximité temporelle contredit l’hypothèse d’un simple « vieux serveur oublié ». Certes, certaines données remontent à 2015, mais les versions logicielles employées démontrent que l’infrastructure était active, maintenue et connectée au moment de l’intrusion. Le recours à un serveur qualifié de « Demo » apparaît ici comme une erreur stratégique : il a visiblement servi de miroir involontaire à des données de production bien réelles. NectarCam : Un trésor technologique exposé Le projet ciblé n’est autre que la NectarCam, un instrument de pointe destiné aux télescopes de taille moyenne (MST) de l’observatoire international CTA (Cherenkov Telescope Array). Piloté par le CNRS et le CEA, ce projet vise l’observation des rayons gamma les plus énergétiques de l’univers. Il s’agit d’un dispositif extrêmement avancé, capable de filmer à près d’un milliard d’images par seconde. Ce que révèle la fuite, c’est la structure même de cet instrument. Les tables AsembeledModule (sic) et AssembledCamera détaillent l’organisation interne de la caméra en 265 modules ou tiroirs (drawers). Plus préoccupant encore, la table calib_spe_fit_records contient plus de 8 000 enregistrements de calibration Single Photo-Electron (SPE). Ces données ne relèvent pas de simples tests : elles constituent un socle scientifique essentiel à l’interprétation des observations astrophysiques. Le risque des adresses MAC et du « Shadow IT » L’un des aspects les plus sensibles que j’ai relevés concerne la table backplane_list. Celle-ci dresse un inventaire précis des équipements réseau internes, incluant les adresses MAC des cartes de communication. Entre de mauvaises mains, ces identifiants uniques constituent de véritables leviers pour cartographier un réseau interne, identifier les constructeurs et préparer des attaques par mouvement latéral ou usurpation d’identité réseau. L’existence même de ce dump sous l’intitulé « Demo » illustre parfaitement les dérives du Shadow IT dans le milieu académique. Pour des besoins de formation, de démonstration ou de présentation en conférence, des copies de bases de données réelles sont souvent déplacées vers des environnements moins sécurisés, échappant de fait au contrôle des Directions des Systèmes d’Information (DSI). Une attaque toujours en cours ? La proximité entre la date d’exportation (20 décembre) et la publication publique du leak laisse penser que la faille pourrait ne pas être totalement colmatée. Le fait que seule une « partie 1 » ait été diffusée correspond à une stratégie de pression bien connue : signifier que d’autres données, potentiellement plus sensibles (identifiants, emails, accès serveurs), pourraient suivre en l’absence de réaction. Le CNRS et ses partenaires (IRAP, CEA-IRFU, LAPP) se retrouvent ainsi confrontés à un défi majeur : sécuriser un environnement de recherche fondé sur le partage de données, tout en faisant face à des groupes pour lesquels la compromission de telles infrastructures représente un capital symbolique et technique considérable sur des plateformes comme BreachForums. À ce stade, la vigilance doit s’imposer à l’ensemble de la communauté scientifique européenne. Note méthodologique : les données analysées dans le cadre de cet article sont détruites après analyse et information des personnes concernées. Revenir en haut Recommandation privacy Protégez votre vie privée. Chiffrez vos emails et vos données, sécurisez vos mots de passe et réduisez votre exposition en ligne avec la suite Proton. Bénéficiez de réduction avec notre lien affilié. M Proton Mail Email chiffré V Proton VPN Réseau privé P Proton Pass Mots de passe D Proton Drive Fichiers chiffrés % Proton Unlimited Offre : -30% via mon lien © 2025 • Par Christophe Boutry Mentions légales Politique de confidentialité Contact