Selon le média spécialisé French Breaches, des captures d’écran montrant des sessions actives sur des portails internes de la Gendarmerie nationale et du ministère des Armées circulent actuellement dans des espaces fréquentés par des cybercriminels. Les éléments publiés suggèrent non pas une faille technique sur les sites institutionnels eux-mêmes, mais la compromission de comptes d’agents disposant d’accès légitimes aux systèmes.
Cette révélation intervient dans un contexte déjà tendu pour la cybersécurité de l’État, moins de 24 heures après l’affaire FICOBA, où 1,2 million d’IBAN auraient été consultés via un compte agent compromis. Le rapprochement temporel nourrit les interrogations sur la robustesse des mécanismes de protection des identités numériques au sein des administrations sensibles.
Des portails internes exposés via des comptes authentifiés
D’après French Breaches, les captures diffusées montrent des accès actifs à des services internes de la Gendarmerie nationale ainsi qu’à des plateformes de gestion des ressources humaines du Ministère des Armées. Les connexions semblent passer par MindefConnect avec authentification multifacteur activée, ce qui renforce l’hypothèse d’identifiants valides plutôt que d’une exploitation de vulnérabilité applicative.
Les interfaces visibles incluraient des outils liés au recrutement, à la formation et à la reconversion. Ces environnements permettent la consultation et parfois la modification de dossiers administratifs, de candidatures ou de données personnelles. Si l’authenticité des captures était confirmée, l’enjeu dépasserait largement la simple atteinte réputationnelle : il s’agirait d’un accès à des données sensibles concernant des personnels de sécurité et de défense.
Un autre point soulevé par le média concerne l’accès à un compte via Keycloak, solution de gestion des identités et des accès (IAM) utilisée pour centraliser l’authentification aux services internes. Dans un écosystème où de nombreuses applications sont fédérées via un système d’authentification unique, le contrôle d’un compte agent peut ouvrir bien plus que l’application initialement visée.
L’hypothèse privilégiée : la compromission d’identités
L’analyse publiée par French Breaches et Seb La Tombe insiste sur un élément essentiel : rien n’indique, à ce stade, que les portails eux-mêmes aient été “hackés”. Les sessions visibles semblent authentifiées de manière classique, avec MFA. Cela oriente vers un scénario de compromission d’identité : phishing ciblé, malware de type infostealer, vol de cookies de session ou réutilisation de mots de passe issus de fuites antérieures.
Ce type d’incident est souvent plus insidieux qu’une attaque exploitant une faille technique. Un compte valide, doté de droits légitimes, permet de naviguer dans les systèmes sans déclencher immédiatement d’alerte. La menace repose alors sur la capacité de l’attaquant à exploiter ces accès pour effectuer des mouvements latéraux, étendre ses privilèges ou extraire des données.
Dans le cas d’un accès à l’IAM central, le risque est stratégique. Un attaquant pourrait théoriquement modifier des paramètres de sécurité, autoriser de nouvelles applications ou exploiter des jetons d’authentification pour accéder à d’autres briques du système d’information ministériel. Dans des environnements de défense, où les architectures sont interconnectées, la question n’est pas uniquement celle des données consultées, mais celle du potentiel d’escalade.
À ce stade, aucune communication officielle détaillée n’a confirmé l’incident ou son ampleur.
Vous avez aimé cet article ? Abonnez-vous à notre Newsletter gratuite pour des articles captivants, du contenu exclusif et les dernières actualités.