Chaque jour en France nous offre une occasion de nous réjouir des performances de l’État républicain.
Prenez par exemple la plateforme Hubee : vous ne saviez même pas que cela existait il y a encore quelques jours, et pourtant, l’actualité nous l’a fait découvrir et, en apprenant qu’il s’agissait d’un bidule étatique, vous avez immédiatement senti tous vos sphincters se refermer par réflexe et habitude. Vous avez raison.
HubEE (ou Hub d’Échange de l’État) est une superbe plateforme interministérielle française, opérationnelle depuis 2021, développée par la Direction interministérielle du numérique (la DINUM) dont l’objet est de faciliter la transmission sécurisée des démarches administratives en ligne effectuées par les citoyens vers les administrations et les collectivités territoriales. Obligatoire pour certaines procédures, HubEE agit comme une « poste électronique de l’État » en permettant l’échange de notifications, de fichiers et de données.
On le comprend, cet outil gère donc un nombre important de documents potentiellement très sensibles échangés entre les administrations et les assujettis et malgré cette importance, il semble que sa sécurisation n’ait pas été aux standards requis pour éviter les soucis : l’État français vient en effet de confirmer une compromission de données d’une ampleur exceptionnelle avec une « exfiltration » de près de 844 Go de données, soit environ 160 000 documents.
La fuite semble ne pas provenir d’une faille directe de l’infrastructure étatique mais plutôt de la compromission d’un compte cloud appartenant à un prestataire technique, permettant à des acteurs malveillants d’accéder à des informations hautement stratégiques.
Saperlipopette, il semble que la chaîne des sous-traitants numériques de l’administration ne soit pas tout à fait aussi solide qu’on le voudrait.
De surcroît, la nature des documents ayant fuité est particulièrement préoccupante pour la sécurité nationale : parmi les fichiers en goguette, on retrouve des plans détaillés de sites sensibles, notamment des établissements pénitentiaires et une base militaire, ainsi que des dossiers techniques sur des infrastructures critiques.
Bien sûr, les autorités tentent actuellement de minimiser l’ampleur de la catastrophe en expliquant que les systèmes de production n’ont pas été directement infiltrés. Cependant, la diffusion de ces schémas structurels représente un risque sécuritaire majeur, obligeant les services spécialisés à mener des analyses d’impact approfondies pour prévenir toute exploitation physique ou numérique de ces données.
On leur souhaite bien du courage, alors que cette fuite vient s’ajouter aux autres, malheureusement déjà nombreuses, impliquant à chaque fois des données privées, personnelles et souvent sensibles, détenues par des administrations ou des services publics dont tout indique à présent que leur gestion de la sécurité est particulièrement approximative.
Et non, ce n’est pas une exagération outrancière de la situation (ce n’est pas le genre de la maison, voyons !) si l’on s’en tient à ce qui s’est passé sur les trois derniers mois par exemple.
Ainsi, en octobre dernier, un groupe de hackers faisait fuiter plus de 45 millions d’enregistrements de citoyens français, compilés à partir de multiples sources comme les registres électoraux ou démographiques (noms complets, adresses, dates de naissance), les registres de professionnels de santé, ainsi que des informations financières et d’assurance automobile.
Ainsi, dans le même mois, une brèche dans la base de données de la FFTir (fédération reconnue par le ministère des Sports) exposait les données personnelles de 250 000 tireurs sportifs actuels et 750 000 anciens licenciés, incluant numéros de licence, état civil, adresses postales, emails et numéros de téléphone. Bien que la FFTir ne soit pas une entité gouvernementale au sens stricte, elle gère tout de même des licences sous tutelle publique et cette fuite a entraîné – comme on pouvait s’y attendre – des cambriolages et vols d’armes.
Ainsi, en novembre, c’est Synbird – un service de prise de rendez-vous en ligne pour l’état civil utilisé par les collectivités locales – qui subit une brèche impactant 1300 mairies françaises. Là encore, des données personnelles sont volées (ce qui sera confirmé par plusieurs villes comme Brest, Quimper, Ploërmel, Mauron et Josselin). D’autres mairies isolées (Saint-Aubin d’Aubigné, Chatou, Alfortville) ont rapporté des fuites similaires en novembre.
Ainsi, toujours en novembre, c’est Pajemploi et l’URSSAF qui se font piller : au travers de Pajemploi – un service dédié à la déclaration des employés de garde d’enfants – ce sont les données de 1,2 million de personnes qui se retrouvent dans la nature, avec leurs noms, adresses, lieux de naissance, numéros de sécurité sociale et noms d’institutions bancaires.
Ainsi, le mois de décembre s’est ouvert avec une (nouvelle) brèche sur le site de France Travail affectant 1,6 million de jeunes suivis par les missions locales. Les données exposées incluent noms, prénoms, dates de naissance, adresses, numéros de téléphone, numéros de sécurité sociale et identifiants France Travail, tout ce qu’il faut pour « phisher » efficacement. Au passage, c’est l’une des sept fuites rapportées pour cette agence en 2025, soulignant quelques petits soucis récurrents.
Ainsi, un peu plus tard en décembre, c’est le Ministère de l’Intérieur qui passe à la casserole : une intrusion dans les systèmes de messagerie de ce ministère a permis aux hackers d’accéder à des comptes professionnels et à des fichiers sensibles, exposant potentiellement des données de plus de 16 millions de citoyens français, incluant des dossiers judiciaires, des informations personnelles identifiables et des enregistrements policiers. L’enquête a permis de retrouver un pirate de 22 ans à Limoges qui aura essentiellement profité d’un laxisme assez incroyable des règles de sécurité en place (pas de second facteur d’authentification par exemple).
Bref, même lorsqu’on se contente de revenir sur un triplet de mois seulement, la conclusion qui s’impose est que l’État, ce gardien de coffre-fort qui « cache » sa clé sous le paillasson, est absolument infoutu de sécuriser les données personnelles de ses citoyens, ainsi que les données de ses administrations, y compris les données sensibles.
Comme de nombreux précédents l’ont montré, l’État est caricaturalement mauvais lorsqu’il s’agit d’informatique. La numérisation des administrations est devenu au mieux un sujet de blagues, au pire une série de catastrophes industrielles. « L’État stratège », en matière de cybersécurité, c’est un parachutiste manchot. Intention louable mais atterrissage prévisiblement douloureux.
Mais pire que tout, c’est ce même État, ces mêmes stratèges aux petits pieds et ces mêmes décideurs incompétents qui, actuellement, poussent tant qu’ils le peuvent l’implantation d’une identité numérique pour tous les citoyens, leur obligation de s’en servir pour un oui ou un non, y compris sur les réseaux sociaux par exemple, afin d’assouvir leurs désirs de contrôle, et bien sûr de censure dans le cas des plateformes sociales.
Ce même État absolument infoutu de sécuriser nos données privées ainsi que ses propres données sensibles est absolument déterminé à nous imposer une identité numérique qui va centraliser en concentrer encore davantage nos données personnelles dans ses pognes maladroites de balourd incompétent.
Qu’est-ce qui pourrait mal tourner ?