Entre le 4 et le 9 janvier 2026, un sous-traitant de Service-public.gouv.fr a subi un incident de sécurité qui a abouti à la divulgation de données personnelles de plusieurs dizaines de milliers d’utilisateurs ayant réalisé des démarches en ligne.
Le portail Service-public.gouv.fr ne jouit plus de son aura d’invulnérabilité : en réalité ce n’est pas le site lui-même qui a été directement piraté, mais une plateforme technique tierce qui achemine les démarches vers les administrations. (les numériques)
🧠 Le contexte technique : HubEE, le maillon faible
Selon des journalistes qui ont enquêté, la fuite proviendrait d’un composant appelé HubEE, plateforme utilisée pour gérer et échanger les documents des démarches administratives. demarchesadministratives
🧩 Ce que cela signifie :
👉 HubEE agit comme un bus d’intégration entre Service-public et plusieurs administrations.
👉 Lorsqu’un usager télécharge une carte d’identité, transmet un justificatif de domicile ou remplit un formulaire, ces informations transitent par ce prestataire.
👉 Une brèche sur HubEE = brèche sur les données de tous les utilisateurs qui l’ont utilisé pendant la fenêtre d’exposition.
📊 Certains articles parlent de :
- ≈70 000 dossiers compromis
- ≈160 000 documents exfiltrés incluant pièces justificatives (scans, identifiants, justificatifs de domicile, etc.)
Ce qui est intéressant techniquement : ce n’est pas le cœur du SI de Service-public qui a sauté, mais la chaîne d’approvisionnement (supply chain), qui reste nettement moins inspectée/analysée en continu. Les sous-traitants représentent souvent la surface d’attaque la moins durcie. C’est une redite des attaques contre les fournisseurs de logiciels dans le privé. 🔗
🧟♂️ Impact utilisateur : plus que des simples identifiants
📌 D’après les communiqués, les données potentiellement affectées sont :
✔ identifiants de connexion utilisés pour des démarches
✔ pièces justificatives produites à l’appui des demandes (type carte d’identité, justificatifs de domicile, etc.)
Portail RGPD
📉 Conséquences concrètes possibles :
⚠️ Phishing hyper-ciblé – des mails difficiles à distinguer de ceux émis par l’État
⚠️ Usurpation d’identité complète – avec pièces scannées, ouvre portes aux fraudes bancaires, prêts ou comptes sociaux
⚠️ Extorsions / Blackmailing – documents sensibles peuvent servir à du chantage ou extorsion
On parle souvent dans les médias de « fuite de données personnelles ». Là, on est potentiellement face à une compromission de données à haut risque, ce qui rend l’incident nettement plus sérieux que la moyenne des fuites. Ce n’est pas juste un mail ou un numéro qui fuit, mais potentiellement des pièces d’identité. 🔥
📤 Réaction officielle : CNIL, ANSSI, notifications
L’administration a :
🔹 notifié la CNIL conformément aux obligations légales ;
🔹 informé l’ANSSI et engagé des mesures de confinement ;
🔹 envoyé des emails d’alerte aux usagers concernés ;
🔹 promis de renforcer les mesures techniques de sécurité, notamment l’authentification des services instructeurs.
Les mesures évoquées par les autorités incluent la réinitialisation des accès compromis et le renforcement de l’authentification à double facteur pour les comptes administratifs (selon certains médias).
🪖 Angle SecuSlice : ce que ça révèle sur l’écosystème cybersécurité public
Ce cas illustre plusieurs problèmes structurels :
🧱 1. La sécurité n’est pas seulement technique
Dans un SI complexe comme celui de l’État, la sécurité doit intégrer :
✔ la gestion des fournisseurs
✔ l’obligation de contrôle continu (CTI / monitoring)
✔ la cartographie des flux de données sensibles
Un simple sous-traitant sans supervision suffisante devient le maillon le plus vulnérable.
🔗 2. Les chaînes d’approvisionnement sont des vecteurs privilégiés
Les attaques modernes ne ciblent plus systématiquement les systèmes centraux ; elles contournent les protections via des tiers (fournisseurs, prestataires, APIs). Ce risque doit être identifié et atténué dans toute stratégie de cybersécurité. ⚙️
📣 3. Transparence vs réalités opérationnelles
L’administration publie les faits, mais reste vague sur le périmètre exact et l’identité du sous-traitant. Sur un plan de communication et de gouvernance, c’est une zone grise qui peut nuire à la confiance des usagers.
🛡 Recommandations pratiques pour les usagers
➡️ Activez l’authentification multifacteur partout où c’est possible
➡️ Surveillez vos comptes pour transactions/fraudes inhabituelles
➡️ Méfiez-vous des appels/SMS/ e-mails inattendus — n’utilisez jamais un lien fourni dans un message
➡️ En cas de doute, changez vos mots de passe associés à feux rouges (identifiant, email, administrations en ligne)
➡️ Signalez toute sollicitation suspecte aux autorités 🚓
🏁 Conclusion
Ce n’est pas seulement une énième fuite de données, c’est surtout le symptôme d’un écosystème numérique où la sécurité des sous-traitants est devenue l’angle mort des politiques de cybersécurité nationales.
Quand même les démarches administratives en ligne — censées être un modèle de sécurité — se font déborder par une fuite chez un prestataire, cela devrait être un signal d’alarme pour tous, publics comme privés.
