A plusieurs reprises lors de son audition devant la commission des lois du Sénat, Laurent Nuñez a mis en avant « la transparence » dont a fait preuve son ministère suite à la cyberattaque qui a visé plusieurs systèmes informatiques sensibles début décembre. Un jeune hacker de 22 ans a été depuis mis en examen pour « accès frauduleux en bande organisée dans un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat » et placé en détention provisoire.
Les conditions de cette intrusion sont apparues plutôt embarrassantes pour le ministère de l’Intérieur. Le hacker s’est rendu maître de boîtes mails de la police nationale dans lesquelles des agents avaient échangé des mots de passe pour accéder à un certain nombre d’applications. « Un défaut d’hygiène numérique », a concédé Laurent Nuñez.
Sur les 150 applications de police, le suspect a pu en consulter 7, parmi lesquelles, le Traitement d’antécédents judiciaires (TAJ), le Fichier des personnes recherchées (FPR), et les fiches Interpol.
« L’attaquant n’a pas procédé à des modifications ou destructions de documents »
Dans le détail, le hacker a pu extraire 72 fiches TAJ et plusieurs milliers de « sommaires » sur les 19 millions que comporte le système. Pour le FPR, 23 fiches, 3 000 sommaires, ont été extraits. 10 fiches Interpol ont été consultées, et 1 a été extraite.
« L’attaquant n’a pas procédé à des modifications ou destructions de documents », précise le ministre. Des mesures ont été prises « immédiatement » après la cyberattaque telles que la réinitialisation des mots de passe, la suppression de comptes inactifs, « et puis on a regardé partout où il était passé. On a fait un criblage et un rétro criblage », a-t-il indiqué avant de faire part de la principale réponse à cette attaque. « On a imposé la double identification systématique sur toutes les applications qui figuraient sur le portail dans lequel a pénétré l’assaillant ».
L’Anssi (l’autorité nationale en matière de cybersécurité et de cyberdéfense) a aussi communiqué la « signature de l’assaillant à l’ensemble de ministères »
Le récit a néanmoins quelque peu interpellé les sénateurs. « Ce n’était quand même pas les instructions du ministère de l’Intérieur d’échanger les mots de passe par mail ? », a interrogé la présidente de la commission, Muriel Jourda (LR). « Bien sûr que non », a répondu le ministre qui précise que le hacker n’a pas pu accéder aux applications qui disposent déjà d’une double identification.
« C’est effarant, même nous, on a un système de double identification pour rentrer dans nos comptes JULIA (JUstificatifs en LIgne des Avances) […] L’impression qu’on a, c’est qu’il y a eu un relâchement en termes de culture de la sécurité », a observé la sénatrice PS, Laurence Harribey qui se souvient que le risque cyber avait été pris à bras-le-corps, en amont des JO, par Laurent Nuñez dans ses anciennes fonctions de préfet de police de Paris.
« On a priorisé une sécurisation de tous les systèmes d’information qu’on a utilisés pendant les Jeux […] Là, on parle des centaines d’autres applications du ministère. Ce n’est pas un relâchement », s’est-il défendu avant d’ajouter : « On a 1 000 systèmes d’information […] On déploie la double identification au fur et à mesure, mais ça prend énormément de temps. On parle de 300 000 agents […] On ne peut pas passer, d’un coup de baguette magique à l’authentification simple, le mot de passe, à la double identification ».
« On n’a pas détecté d’actions faites à dessein sur tel ou tel individu »
Quant à savoir si l’auteur de l’attaque a choisi à dessein de consulter et d’extraire certaines fiches plutôt que d’autres, le ministère « n’a pas identifié de ciblage cohérent », et aucun des éléments prélevés ne concernait de procédure en cours. « Il n’y a pas eu d’utilisation malveillante, si ce n’est la volonté de récupérer des données et de les revendre sur le darknet. On n’a pas détecté d’actions faites à dessein sur tel ou tel individu. Nous n’avons pas approché les personnes concernées. En judiciaire, je ne sais pas ».
Pour ce qui concerne, l’application de la loi du Sénat visant à sortir la France du piège du narcotrafic, promulguée le 13 juin 2025, le ministre a cité le décret du 8 septembre dernier qui désigne la Direction nationale de la police judiciaire (DNPJ) comme chef de file ou encore la création du Parquet national anticriminalité organisée (Pnaco) le 5 janvier dernier.
Les mesures de police administrative, « ont été mises en œuvre immédiatement » après la promulgation de la loi. 1 682 interdictions administratives de paraître sur les points de deal, 96 fermetures de commerces soupçonnés de blanchiment ont été prononcées depuis cet été.
La loi prévoit aussi la possibilité pour les préfets d’expulser de son logement, une personne impliquée dans un trafic de stupéfiants, si son logement est situé dans la zone d’interdiction de paraître. 185 injonctions aux bailleurs sociaux ont été prononcées pour 16 expulsions ont été prononcées.
Enfin, un décret est actuellement devant le Conseil d’Etat qui obligera les opérateurs à relever l’identité des personnes qui achètent des cartes SIM prépayées.
