L’Office de lutte contre la cybercriminalité (OFAC) a annoncé le démantèlement du groupe de hackers Dumpsec et l’arrestation de sept suspects, mineurs ou jeunes majeurs, responsables du vol de dizaines de millions de données visant plus de 1 500 entités publiques et privées françaises.
Dumpsec est responsable de plusieurs fuites de données
L’ampleur des cibles illustre l’infinité des ambitions du groupe de hackers. Parmi les victimes figurent l’Assemblée nationale, l’enseigne de bricolage Leroy Merlin, des fédérations sportives et des sites médicaux. Dumpsec ne faisait pas de distinction entre acteurs publics et privés : toute organisation détenant des données utilisables était une cible.
La commissaire Julie Benoit, responsable de la cellule cyber-enquêtes à l’OFAC, a dressé pour l’AFP un portrait sans ambiguïté des personnes interpellées : « Ce sont de jeunes hackers français en quête de notoriété et se croyant hors de portée. » Elle les décrit comme « mineurs ou jeunes adultes », « souvent autodidacte » Et « totalement décomplexé ».
Ce côté décomplexé s’est retourné contre eux. Les cyberattaques avaient été publiquement revendiquées dans les médias et les données volées mises en vente sur BreachForums, un forum spécialisé dans le commerce de données piratées. Cette exposition volontaire a fourni aux enquêteurs de précieux éléments d’identification.
L’OFAC a ouvert l’enquête en novembre 2025 suite à une attaque informatique visant une entreprise basée à Rennes. C’est l’antenne rennaise de l’Office qui a mené les investigations. Les arrestations ont ensuite mobilisé simultanément les antennes de Lille, Marseille, Strasbourg, Poitiers, Bordeaux et Limoges, couvrant l’ensemble du territoire national.
La commissaire Julie Benoit a résumé la doctrine appliquée : « Nous avons une stratégie claire : croiser, identifier, neutraliser. »
Lors des perquisitions, les enquêteurs ont saisi plusieurs supports numériques, en cours d’analyse. L’enquête reste ouverte, ce qui laisse penser que le périmètre exact des victimes et l’étendue réelle des données compromises ne sont pas encore définitivement établis.
