Le 6 mars 2026, le groupe de cybercriminels LAPSUS$ a publié sur un forum spécialisé une revendication affirmant avoir obtenu un accès au TAJ, le Traitement des Antécédents Judiciaires, fichier central de la Police nationale et de la Gendarmerie française. Selon le site FrenchBreaches, qui a rapporté la publication en premier, le groupe affirmerait détenir un package de 4 gigaoctets présenté comme une image système complète d’un poste de travail opérationnel des forces de l’ordre.
Si cette revendication est confirmée, ce ne serait pas simplement une fuite de données parmi d’autres. C’est l’intégralité de l’environnement numérique de travail des agents qui serait potentiellement compromise : accès VPN, logiciels métiers, certificats cryptographiques, outils de rédaction des procédures pénales, et terminaux mobiles « Neo » des agents de terrain.
Taux de véracité estimé : 65 à 70 %
La revendication est accompagnée d’une capture d’écran montrant une arborescence de fichiers partiellement floutée sous la mention « Data Breached », publiée par un profil « GOD User » affilié à LAPSUS-GROUP. Ce début de preuve matérielle, combiné au contexte de l’intrusion confirmée de décembre 2025 au ministère de l’Intérieur, justifie un taux de crédibilité élevé mais non définitif.
Ce qui renforce la revendication :
La capture d’écran publiée sur le forum montre un profil doté d’une clé PGP opérationnelle, d’un score de réputation de 214 et d’un compte créé en décembre 2025, soit au moment précis de la première intrusion confirmée au ministère. L’arborescence de fichiers visible, même floutée, présente des racines cohérentes avec des répertoires de déploiement de postes de travail police. La description du TAJ publiée par le groupe est factuellement exacte et non copiée-collée depuis des sources publiques.
Ce qui maintient le doute :
L’arborescence est intentionnellement floutée, ce qui empêche toute vérification indépendante. La date de création du compte (décembre 2025) coïncide avec la première attaque confirmée : il n’est pas exclu que le groupe exploite des éléments déjà obtenus lors de cette première intrusion. Aucun échantillon de données n’a encore été rendu public à l’heure de la publication de cet article. Aucune confirmation officielle n’a été apportée par le ministère de l’Intérieur ni par l’ANSSI. Enfin, LAPSUS$ est historiquement connu pour des revendications dont la portée réelle est souvent inférieure à ce qui est annoncé.
Notre conclusion provisoire : la revendication est suffisamment précise, documentée et contextualisée pour ne pas être écartée. Elle doit néanmoins être traitée avec prudence jusqu’à publication d’un échantillon vérifiable ou confirmation officielle.
Le TAJ : de quoi parle-t-on exactement ?
Le TAJ est une base de données centralisée utilisée quotidiennement par la Police nationale et la Gendarmerie pour les enquêtes judiciaires, administratives et les vérifications d’antécédents. Il recense environ 61 millions de fiches incluant non seulement les suspects et mis en cause, mais aussi les victimes et les témoins. Sa sensibilité est maximale : il contient des données à caractère personnel de catégorie particulière au sens de la directive (UE) 2016/680 dite « Police-Justice ».
Le TAJ est consulté bien au-delà du cadre pénal strict. Il est systématiquement interrogé pour les recrutements dans des secteurs sensibles : agents SNCF et RATP, personnels de la défense, de l’aéronautique, des centrales nucléaires, de la sécurité privée. Une fiche TAJ peut donc avoir des conséquences directes et durables sur la vie professionnelle de millions de personnes.
Ce que contient le package revendiqué
D’après la publication rapportée par FrenchBreaches, les accès revendiqués concerneraient les catégories suivantes.
- Infrastructure réseau et accès : installateurs VPN Cisco, profils de connexion, certificats d’autorité et clés cryptographiques. C’est la catégorie la plus critique : la compromission de certificats et de clés permet de déchiffrer des communications passées, d’usurper des identités numériques et de se connecter frauduleusement aux systèmes internes du ministère.
- Logiciels métiers : modules CHEOPS NG (rédaction des procédures pénales), suite d’investigation Logi Server, APKs mobiles Logipol. CHEOPS NG est précisément l’environnement par lequel l’intrusion de décembre 2025 avait été opérée.
- Gestion des terminaux mobiles : firmwares Samsung Xcover 4, utilitaires de flashage et pilotes. Ces éléments permettraient en théorie de modifier le comportement des téléphones professionnels « Neo » des agents de terrain.
- Données opérationnelles : archives de dossiers CA3 de 2025 contenant des rapports PDF et des images, soit vraisemblablement des documents issus de procédures pénales réelles concernant des personnes identifiables.
- Documentation technique : cartographie des ports réseau pour les caméras-piétons des agents, facilitant des attaques ultérieures ciblées sur les systèmes d’acquisition vidéo.
- Environnement système : navigateur Firefox ESR préconfiguré, pilotes de carte à puce pour l’authentification forte des agents.
La description du package est synthétisée dans le tableau suivant :
| Catégorie | Éléments concernés | Niveau de criticité |
|---|---|---|
| Infrastructure réseau | VPN Cisco, certificats, clés crypto | 🔴 Maximal |
| Logiciels métiers | CHEOPS NG, Logi Server, Logipol | 🔴 Maximal |
| Terminaux mobiles | Samsung Xcover 4, utilitaires | 🟠 Élevé |
| Données opérationnelles | Dossiers CA3 2025, PDF, images | 🔴 Maximal |
| Documentation technique | Cartographie caméras-piétons | 🟠 Élevé |
| Environnement système | Firefox ESR, pilotes carte à puce | 🟡 Modéré |
La preuve visuelle : ce que montre la capture d’écran
La capture d’écran publiée le 7 mars 2026 montre une publication sur un forum cybercriminel. On y distingue clairement le logo officiel du Ministère de l’Intérieur, une description factuelle du TAJ en anglais (« TAJ is a centralized French criminal database containing 61 million records (suspects and victims) used by Police and Gendarmerie for investigations and background checks »), et une arborescence de fichiers partiellement floutée sous la mention « Data Breached ».
Le profil de l’auteur indique un pseudo « GOD User », un statut de rang élevé au sein du groupe LAPSUS-GROUP, une clé PGP enregistrée, un score de réputation de 214, et une date d’inscription en décembre 2025. La présence simultanée d’une clé PGP et d’un lien Telegram confirme le mode opératoire hybride du groupe : forum spécialisé pour la crédibilité, Telegram pour la diffusion.
Un contexte aggravé par l’attaque de décembre 2025
La revendication de LAPSUS$ ne surgit pas dans le vide. Le ministère de l’Intérieur a subi une première intrusion confirmée entre fin novembre et début décembre 2025. Un pirate informatique avait alors réussi à accéder à CHEOPS en exploitant un couple identifiant/mot de passe échangé en clair par courriel entre agents, ce que le ministre Laurent Nuñez avait qualifié de « défaut d’hygiène numérique ». Des dizaines de milliers de sommaires avaient été aspirés.
En janvier 2026, le ministre avait annoncé une série de mesures de remédiation : réinitialisation des mots de passe, suppression des comptes inactifs, et généralisation de la double authentification.
La question se pose directement : ces mesures ont-elles été pleinement déployées avant que LAPSUS$ ne procède à une nouvelle intrusion ? La présence alléguée dans le package de configurations VPN et de certificats d’autorité suggère un vecteur d’entrée différent de celui de décembre 2025, et potentiellement plus profond dans l’infrastructure.
Qui est LAPSUS$ ?
LAPSUS$ est un groupe de cybercriminels international apparu en décembre 2021, initialement identifié comme composé en majorité d’adolescents britanniques et brésiliens. Le groupe s’est rendu célèbre par des attaques contre des entreprises de premier plan : Microsoft (37 Go de code source Bing exfiltrés), Nvidia (certificats de signature de code publiés), Samsung (190 Go de code source Galaxy), Okta, Uber, Ubisoft, T-Mobile, Rockstar Games, et Engie (mai 2024).
LAPSUS$ est un groupe d’extorsion, pas de ransomware. Il n’utilise pas de malware de chiffrement et ne gère pas de site de fuite sur le dark web comme les groupes de ransomware classiques (LockBit, AvosLocker). Il opère historiquement via Telegram, réseau grand public, pour maximiser la visibilité. La revendication du 6 mars 2026 marque une évolution : le groupe a cette fois utilisé un forum cybercriminel spécialisé, doté d’un système de réputation et de clés PGP, ce qui témoigne d’une montée en professionnalisme.
Sa méthode de prédilection repose moins sur des exploits techniques sophistiqués que sur la compromission des accès humains : ingénierie sociale, achat d’identifiants volés, corruption d’employés, SIM swapping, et ciblage prioritaire des prestataires et sous-traitants plutôt que des cibles principales. C’est précisément ce dernier point qui doit attirer l’attention : le vecteur initial de la compromission alléguée du TAJ reste à ce stade inconnu.
En mars 2022, sept personnes âgées de 16 à 21 ans ont été arrêtées par la police de Londres. Depuis, le canal Telegram originel est inactif, mais le groupe n’a jamais totalement disparu. La revendication du 6 mars 2026 constitue, si elle est confirmée, un retour fracassant, avec une cible d’une nature radicalement différente : non plus une entreprise technologique privée, mais un fichier de souveraineté de l’État français.
Analyse RGPD : les obligations du ministère de l’Intérieur
Un traitement soumis à la directive « Police-Justice »
Le TAJ relève non pas du RGPD au sens strict, mais de la directive (UE) 2016/680 dite « Police-Justice », transposée en droit français dans la loi Informatique et Libertés (articles 88 et suivants). Cette distinction n’allège pas les obligations de sécurité. En cas de violation avérée, le ministère est soumis à une notification à la CNIL dans les 72 heures. Si la violation présente un risque élevé pour les droits et libertés des personnes concernées, une information individuelle des victimes, suspects et témoins concernés serait requise, une obligation difficilement réalisable à l’échelle de 61 millions de fiches.
La gravité particulière de cette violation potentielle
Trois caractéristiques aggravent ce cas par rapport à une violation de données ordinaire.
La nature des données : le TAJ contient des données relatives à des infractions pénales, catégorie particulièrement protégée. Leur divulgation peut avoir des conséquences directes sur la présomption d’innocence, sur la sécurité des témoins et victimes, et sur l’intégrité des procédures judiciaires en cours.
L’échelle : 61 millions de fiches représentent une part considérable de la population française adulte. Ce serait l’une des violations les plus importantes jamais enregistrées dans le secteur public français.
La compromission des accès : la présence alléguée de clés cryptographiques et de profils VPN signifie que la violation ne serait pas seulement une fuite de données, mais potentiellement une compromission durable des accès aux systèmes régaliens. C’est une distinction fondamentale en matière de gestion de crise.
Ce que nous savons, ce que nous ne savons pas
Ce qui est confirmé : LAPSUS$ a publié le 6 mars 2026 une revendication détaillée affirmant détenir un package de 4 Go décrit comme une image système complète d’un poste de travail des forces de l’ordre. La publication est accompagnée d’une capture d’écran d’arborescence de fichiers partiellement floutée. Le forum sur lequel la publication a été faite est un forum cybercriminel spécialisé, à accès restreint.
Ce qui n’est pas confirmé : l’authenticité de l’arborescence présentée. L’accès effectif au TAJ en tant que base de données. La profondeur réelle de la compromission. Le vecteur d’entrée. La réaction officielle du ministère de l’Intérieur et de l’ANSSI.
DPO PARTAGE suivra l’évolution de cette situation et mettra à jour cet article au fil des éléments nouveaux.
Éclairage : ce que la première attaque de décembre 2025 avait déjà révélé
Pour comprendre la portée de la revendication LAPSUS$ du 6 mars 2026, il est indispensable de replacer l’événement dans son contexte direct. Le Monde avait consacré, dès le 17 décembre 2025, une analyse détaillée à la première intrusion confirmée au ministère de l’Intérieur, disponible ici : https://www.lemonde.fr/pixels/article/2025/12/17/ce-que-l-on-sait-du-piratage-du-ministere-de-l-interieur_6658350_4408996.html
Ce que cet article établissait, et qui prend une résonance particulière trois mois plus tard, peut se résumer en quatre points.
Le vecteur initial : la messagerie professionnelle. L’intrusion de décembre 2025 n’était pas le fruit d’un exploit technique sophistiqué. Elle a débuté par la compromission de boîtes de messagerie professionnelle d’agents qui s’échangeaient des identifiants en clair par courriel. Un défaut d’hygiène élémentaire, selon les propres termes du ministre Laurent Nuñez. Ce point est fondamental : si LAPSUS$ a pu obtenir en mars 2026 des clés cryptographiques et des profils VPN, c’est que le problème de fond, la gestion insuffisante des accès et des secrets d’authentification, n’a pas été entièrement résolu entre décembre et mars.
L’accès aux « applicatifs métiers » comme marqueur de profondeur. Dès décembre 2025, le ministère confirmait à BFMTV que les attaquants avaient eu accès à des « applicatifs métiers », soit des outils et logiciels internes avec potentiellement des accès à des bases de données. La revendication LAPSUS$ du 6 mars 2026 s’inscrit dans une logique d’escalade par rapport à ce premier niveau d’accès : le package de 4 Go décrit non plus la consultation de fichiers, mais la reconstitution complète d’un environnement de travail opérationnel.
Une première arrestation, mais une question de périmètre. Un suspect de 22 ans, né en 2003 et déjà condamné pour des faits similaires, avait été interpellé près de Limoges le 17 décembre 2025 et placé en détention provisoire le 20 décembre. Sa mise en examen portait sur un accès frauduleux « en bande organisée » à un système étatique traitant des données personnelles. L’utilisation du terme « bande organisée » dans la qualification pénale retenue est un indicateur que les enquêteurs n’excluaient pas d’emblée une action coordonnée dépassant un individu isolé.
Des zones d’ombre qui n’ont pas été levées. L’article du Monde soulignait que le ministère admettait ne pas connaître « l’ampleur de la compromission » ni l’origine exacte de l’intrusion. Trois mois après les faits, cette incertitude n’a pas été formellement levée publiquement. La revendication de LAPSUS$ en mars 2026 pose dès lors une question à laquelle les autorités devront répondre : s’agit-il d’une deuxième intrusion indépendante exploitant les mêmes failles structurelles, ou d’une continuation de l’accès obtenu en décembre 2025 par un acteur différent qui aurait récupéré les éléments laissés lors de la première compromission ?
La lecture de l’article du Monde de décembre 2025 reste indispensable pour quiconque souhaite comprendre l’historique de cette vulnérabilité et la séquence qui conduit à la revendication d’aujourd’hui.
Sources
- FrenchBreaches : « Base policière TAJ : le groupe LAPSUS$ revendique un accès à 61 millions de fiches de police »— https://frenchbreaches.com/blog/base-policiere-taj-le-groupe-lapsus-revendique-un-acces-a-61-millions-de-fiches-de-police
- Le Monde Pixels : « Ce que l’on sait du piratage du ministère de l’Intérieur » — https://www.lemonde.fr/pixels/article/2025/12/17/ce-que-l-on-sait-du-piratage-du-ministere-de-l-interieur_6658350_4408996.html
