Quels risques encourent les auteurs de la cyberattaque du ministère de l’Intérieur ?

BFMTV a révélé, ce jeudi 11 décembre 2025, que des activités suspectes avaient conduit le ministère de l’Intérieur à renforcer sa cybersécurité afin de “circonscrire la menace”. Le lendemain, Laurent Nuñez, actuel ministre de l’Intérieur, affirmait qu’un assaillant avait pu pénétrer dans un certain nombre de fichiers. Il a depuis admis un piratage des messageries du ministère de l’Intérieur, puis un accès à “certains systèmes d’information”, notamment le traitement des antécédents judiciaires ainsi que le fichier des personnes recherchées, mais également que quelques dizaines de fiches avaient pu être extraites du système.

Un signalement ayant aussitôt été effectué par le ministère de l’Intérieur auprès du parquet de Paris, une enquête judiciaire a été ouverte. Dès lors, au regard de ces éléments, que risquent les hackers à l’origine de l’attaque contre le ministère de l’Intérieur ?

Plusieurs infractions apparaissent susceptibles d'être caractérisées.

I - Infractions relatives aux systèmes de traitement automatisé de données :

Pour caractériser l’infraction, il faut donc l’existence d’un système de traitement automatisé de données (STAD). Le Code pénal ne contient pas de définition des STAD, le législateur, face à l’évolution technologique et au risque que celle-ci devienne rapidement obsolète, n’ayant pas souhaité s’avancer sur ce point.

Il n'y a pas lieu de s'attarder sur ce point, l'article 230-6 du Code pénal définit le traitement des antécédents judiciaires (TAJ) comme un traitement automatisé de données à caractère personnel. L'article premier du décret n° 2010-569 du 28 mai 2010 relatif au fichier des personnes recherchées (FPR) définit lui aussi le FPR comme un traitement automatisé de données à caractère personnel.

A - Accès ou maintien frauduleux dans un STAD.

Selon l’article 323-1 du Code pénal, “le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 euros d’amende”.

La caractérisation de cette infraction suppose l’existence d’un accès ou d’un maintien dans un système de traitement automatisé de données, réalisé de manière frauduleuse, c’est-à-dire sans autorisation. La Cour de cassation retient que la simple usurpation d’un identifiant suffit à caractériser l’accès frauduleux (Cass. crim., 9 mars 2016, n° 14-86.795 ; Cass. crim., 12 juillet 2016, n° 16-82.455). Il importe peu, à cet égard, que les données n’aient pas été altérées ou qu’aucun préjudice n’ait été effectivement causé : le seul accès frauduleux au système suffit à engager la responsabilité pénale de son auteur.

En l’espèce, l’accès au traitement des antécédents judiciaires ainsi qu’au fichier des personnes recherchées, obtenu par le piratage des messageries d’agents du ministère de l’Intérieur, ne laisse subsister aucun doute quant à la caractérisation de ce délit.

Par ailleurs, lorsque cette infraction est commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à sept ans d'emprisonnement et à 300 000 euros d’amende.

Enfin, l’article 323-4-1 du Code pénal prévoit que, lorsque l’infraction est commise en bande organisée, la peine est portée à dix ans d’emprisonnement et à 300 000 euros d’amende. La bande organisée est définie, conformément aux dispositions de l’article 131-71 du Code pénal, comme tout groupement formé ou toute entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs infractions. Elle implique l’existence d’une organisation structurée, concertée et durable entre ses membres, dans le but de commettre les infractions projetées (Cass. crim., 20 juin 2018, n° 17-84.740).

B - L'altération de données dans un STAD

Selon l’article 323-3 du Code pénal, “le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende”.

La caractérisation de cette infraction suppose donc la commission de l’un des actes limitativement énumérés par le texte, ainsi que leur caractère frauduleux.

En l’espèce, le ministre de l’Intérieur fait état de l’extraction de plusieurs dizaines de fiches issues du traitement des antécédents judiciaires et du fichier des personnes recherchées. Ces données ayant été obtenues à la suite d’un piratage informatique, sans aucun droit d’accès au système, il ne subsiste que peu de doute quant à la caractérisation de ce délit.

Lorsque le système de traitement automatisé de données contient des données à caractère personnel et qu’il est mis en œuvre par l’État, la peine est portée à sept ans d’emprisonnement et à 300 000 euros d’amende.

Enfin, l’article 323-4-1 du Code pénal prévoit que, lorsque l’infraction est commise en bande organisée, la peine est portée à dix ans d’emprisonnement et à 300 000 euros d’amende. La bande organisée est définie, conformément aux dispositions de l’article 131-71 du Code pénal, comme tout groupement formé ou toute entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs infractions. Elle implique l’existence d’une organisation structurée, concertée et durable entre ses membres, dans le but de commettre les infractions projetées (Cass. crim., 20 juin 2018, n° 17-84.740).

II - Atteinte aux intérêts fondamentaux de la nation.

L’objectif des pirates informatiques ayant attaqué le ministère de l’Intérieur est de contraindre l’État à négocier avec eux. Ils affirment agir en “représailles à l’arrestation de nos amis”, en référence à l’arrestation, le 13 juin 2025, de quatre Français accusés d’avoir “commis des cyberattaques d’un très haut degré de complexité technique, au préjudice de nombreuses victimes en France et à l’étranger”. Ils menacent l’État en déclarant : “vous allez payer pour ce que vous avez fait à nos amis”, et poursuivent en invitant explicitement les autorités à engager des négociations.

Ils laissent deux options à l’État. Soit celui-ci négocie avec eux et achète les données, soit il ne donne pas suite ; dans ce cas, ils menacent de vendre les données et ajoutent : “plus vous tardez, plus nous divulguerons de données”.

Laurent Nuñez déclarait vendredi : “Ça peut être des ingérences étrangères, ça peut être des gens qui veulent défier les pouvoirs publics et montrer qu’ils sont capables d’accéder à des systèmes, et puis ça peut être aussi de la cybercriminalité”. Il convient dès lors d’examiner la possibilité que ces délits aient été commis pour le compte d’une puissance étrangère et que les données aient été extraites en vue d’être fournies à cette dernière.

A - Atteinte aux intérêts fondamentaux par livraison d’informations à une puissance étrangère

L’article 411-6 du Code pénal dispose que « le fait de livrer ou de rendre accessibles à une puissance étrangère, à une entreprise ou organisation étrangère ou sous contrôle étranger, ou à leurs agents, des renseignements, procédés, objets, documents, données informatisées ou fichiers dont l’exploitation, la divulgation ou la réunion est de nature à porter atteinte aux intérêts fondamentaux de la nation est puni de quinze ans de détention criminelle et de 225 000 euros d’amende ».

Plusieurs éléments constitutifs doivent être caractérisés :

En premier lieu, il doit exister un acte positif, consistant en la livraison ou la fourniture de procédés, objets, documents, données informatisées ou fichiers.

En second lieu, cette livraison ou cette fourniture doit être réalisée au profit d’une puissance étrangère, d’une entreprise ou organisation étrangère ou sous contrôle étranger, ou de leurs agents.

Enfin, l’exploitation, la divulgation ou la réunion des éléments limitativement énumérés par le texte doit être de nature à porter atteinte aux intérêts fondamentaux de la nation.

Conformément aux dispositions de l’article 410-1 du Code pénal, les intérêts fondamentaux de la nation s’entendent comme toute atteinte portée à son indépendance, à l’intégrité de son territoire, à sa sécurité, à la forme républicaine de ses institutions, aux moyens de sa défense et de sa diplomatie, à la protection de sa population en France comme à l’étranger, à l’équilibre de son milieu naturel et de son environnement, ainsi qu’aux éléments essentiels de son potentiel scientifique et économique, notamment agricole, et à son patrimoine culturel.

En l’espèce, il n’est pas possible de se prononcer de manière certaine en l’absence d’éléments relatifs à l’origine du piratage, à l’existence éventuelle de commanditaires étrangers, ainsi qu’à l’usage effectif qui a été fait des données dérobées. L'enquête confirmera ou non cette hypothèse.

Toutefois, il peut être affirmé que la divulgation de données issues du fichier des personnes recherchées, lequel contient notamment des informations relatives à des personnes susceptibles de porter atteinte à la sûreté de l’État, ainsi que du traitement des antécédents judiciaires, serait évidemment de nature à porter atteinte aux intérêts fondamentaux de la nation.

Il s'agit d'un crime puni de quinze ans de détention criminelle et de 225 000 euros d'amende.

Le Parquet de Paris indique, par communiqué de Madame Laure Beccuau, procureure de Paris, qu'un suspect a été interpellé dans le cadre de l'enquête ouverte par la section de lutte contre la cybercriminalité du parquet de Paris, notamment pour des faits d’atteinte à un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État en bande organisée.

Le recours au pluriel laisse entendre que d’autres qualifications pourraient être envisagées.

Affaire à suivre.