Démantèlement de Dumpsec : 7 hackers français arrêtés pour 1500 entités piratées
Sept interpellations dans six villes, 1500 entités françaises visées, des dizaines de millions de données extraites en quelques mois : l’Office anti-cybercriminalité (OFAC) a annoncé jeudi 11 juin 2026 le démantèlement de Dumpsec, l’un des groupes de hackers les plus actifs sur le territoire. Trois chiffres résument l’affaire. Mais derrière le coup de filet, ce sont trois questions plus structurelles qui se posent : comment un groupe composé de jeunes majeurs et de mineurs a-t-il pu s’attaquer à l’Assemblée nationale, à Leroy Merlin, à des fédérations sportives et à des sites médicaux ? Pourquoi ces attaques n’ont-elles été découvertes qu’en novembre 2025 ? Et, surtout, que reste-t-il à faire pour les 1500 victimes qui découvrent, cette semaine, l’ampleur réelle du pillage ?
Le coup de filet : Sept interpellations coordonnées le 9 juin 2026 dans six villes (Lille, Marseille, Strasbourg, Poitiers, Bordeaux, Limoges) par l’OFAC.
L’ampleur : Plus de 1500 entités françaises visées, dont l’Assemblée nationale, Leroy Merlin, le Crous, l’Éducation nationale, des sites médicaux et des fédérations sportives.
Le profil type : Jeunes majeurs et mineurs, autodidactes, en quête de notoriété, opérant depuis la France et revendant les données sur BreachForums.
L’enjeu : 1500 entités sont désormais potentiellement en infraction avec le RGPD, et des dizaines de millions de Français doivent vérifier si leurs données (santé, identité, IBAN) circulent.
Que s’est-il vraiment passé le 9 juin 2026 ?
L’opération, pilotée par l’antenne rennaise de l’Office anti-cybercriminalité, a mobilisé simultanément six antennes régionales de l’OFAC. Le résultat est sans précédent par son ampleur sur le sol français : sept personnes interpellées en moins de 24 heures, dont des mineurs, et plusieurs supports numériques saisis au cours des perquisitions, a détaillé RTL le 11 juin 2026, citant un communiqué de Nicolas Guidoux, chef de l’OFAC.
Le mode opératoire n’est pas celui d’un groupe de ransomware classique, qui chiffre les données et réclame une rançon. Dumpsec opérait en plusieurs étapes distinctes, comme l’a documenté une interview exclusive de FrenchBreaches avec l’un de ses leaders en mars 2026 :
Repérage d’une faille technique sur un site ou un portail (souvent une vulnérabilité IDOR, un abus de permission, ou une erreur de configuration interne).
Extraction massive des données accessibles, sans chiffrement préalable : aucun blocage pour l’organisation, donc aucune alerte immédiate.
Revendication publique sur les réseaux sociaux et dans la presse spécialisée, pour bâtir une réputation de groupe “redouté”.
Revente des bases de données sur BreachForums, le marché noir de référence pour les données personnelles.
Cette mécanique, purement extractive, explique pourquoi de nombreuses victimes n’ont découvert l’intrusion qu’après l’annonce du démantèlement. Il n’y a pas eu de rançon à payer, donc pas de moment déclencheur. La commissaire Julie Benoit, cheffe du pôle des enquêtes cyber à l’OFAC, le résume ainsi, citée par Ouest-France : « Ce sont de jeunes hackers français en quête de notoriété et se croyant hors d’atteinte. »
Pourquoi 1500 entités françaises ont-elles été visées ?
L’inventaire dressé par l’OFAC donne le vertige. L’Assemblée nationale, l’enseigne de bricolage Leroy Merlin, le Crous, l’Éducation nationale, plusieurs fédérations sportives, des sites médicaux, mais aussi Adecco, Mondial Relay, Cegedim et le ministère des Sports : la liste publiée par La Voix du Nord mélange institutions publiques, grands groupes du CAC 40 et PME locales.
Cette diversité apparente cache un point commun technique : toutes ces structures possédaient au moins un portail web accessible depuis l’extérieur, exposant des données personnelles sans contrôle d’accès robuste. Le groupe Dumpsec, selon l’enquête de FrenchBreaches, a reconnu publiquement avoir exploité quatre types de failles principales :
Les vulnérabilités IDOR (Insecure Direct Object Reference), qui permettent d’accéder à des ressources privées en modifiant un identifiant dans l’URL.
Les abus de permissions internes, quand un compte utilisateur normal peut lire ou exporter des données auxquelles il ne devrait pas avoir accès.
Les exports massifs non surveillés, par exemple un export CSV complet accessible sans validation préalable.
Les erreurs humaines de configuration, comme un bucket S3 laissé public ou une API de test oubliée en production.
Aucun de ces points faibles ne nécessite un haut niveau de technicité, ce qui explique le profil des interpellés : des mineurs et des jeunes majeurs, souvent autodidactes, sans formation initiale en cybersécurité, mais capables d’utiliser des scripts disponibles publiquement et de chaîner plusieurs failles connues. Comme nous l’avions analysé dans notre article sur les attaques par credential stuffing, la barrière à l’entrée du cybercrime n’a jamais été aussi basse.
Que risquez-vous si vos données sont dans le dump ?
Pour les 1500 entités victimes, la première obligation est juridique : notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation, comme l’impose le RGPD. Pour les particuliers concernés, c’est-à-dire potentiellement des dizaines de millions de Français, le risque dépend du type de données exfiltrées.
Selon les informations publiées par les enquêteurs et l’enquête de FrenchBreaches, les données mises en vente sur BreachForums comprenaient :
Des cartes nationales d’identité (CNI) et scans de pièces d’identité.
Des emails et numéros de téléphone, utilisables pour du phishing ciblé.
Des justificatifs de domicile et dossiers administratifs.
Des données de santé sensibles, notamment via les intrusions dans des sites médicaux et chez Cegedim.
Des informations concernant des mineurs, point particulièrement sensible pour les intrusions dans l’Éducation nationale et les Crous.
Concrètement, si vous avez été élève, parent d’élève, patient, salarié d’une de ces structures, ou même candidat à un poste chez l’un des recruteurs visés, vos données circulent probablement déjà. C’est pourquoi il devient urgent d’appliquer les réflexes détaillés dans notre checklist post-piratage : surveiller ses comptes, changer les mots de passe, vérifier les IBAN, et guetter les tentatives d’usurpation d’identité dans les six prochains mois.
Changer immédiatement les mots de passe de tous vos comptes utilisant la même adresse email.
Activer la double authentification sur vos comptes sensibles (banque, Impots.gouv, Ameli, CAF).
Surveiller votre compte bancaire pendant 6 mois pour détecter tout IBAN usurpé, comme nous le recommandions déjà dans l’affaire du piratage de la DGFIP.
Déposer une plainte en ligne sur la plateforme Thésée si vous constatez une utilisation frauduleuse de vos données.
❌ À ne pas faire
Payer une rançon pour récupérer vos données, même si l’on vous menace : c’est inutile et cela finance le réseau.
Réutiliser le même mot de passe sur plusieurs services, comme l’a illustré le piratage en série des comptes de l’Éducation nationale.
Cliquer sur les liens contenus dans les emails de “vérification” reçus après l’annonce : ce sont très probablement des tentatives de phishing opportunistes.
Ignorer la notification officielle, car la CNIL imposera aux entreprises de notifier individuellement les personnes concernées dans les meilleurs délais.
Comment l’OFAC a-t-elle remonté la piste jusqu’au groupe ?
L’enquête, ouverte en novembre 2025, ne part pas d’un coup de génie technique mais d’une cyberattaque ciblant « une entreprise basée à Rennes », comme l’a précisé l’OFAC dans son communiqué. Cette attaque, dont la nature exacte n’a pas été révélée, a servi de point d’entrée aux enquêteurs pour remonter une chaîne de compromissions jusqu’au groupe Dumpsec.
La méthode, décrite par la commissaire Benoit, tient en trois mots : « recouper, identifier, neutraliser ». Concrètement, l’OFAC a exploité plusieurs angles d’attaque classiques :
Les indices de compromission (IP, hashes, techniques) réutilisés d’une victime à l’autre, ce qui a permis de lier plusieurs intrusions à un même acteur.
Les revendications publiques sur les réseaux sociaux, par ailleurs un signalement précis de l’un des hackers sur son adresse email de contact.
Le traçage financier des paiements en crypto sur BreachForums, là où le groupe encaissait le produit de la revente des dumps.
Le recoupement avec les précédentes enquêtes, notamment celle qui avait abouti au démantèlement de Tchap quelques jours plus tôt (cf. notre article sur le piratage de Tchap), avec des modes opératoires parfois similaires.
L’opération finale a été lancée le 9 juin 2026 sur six points du territoire. Le timing n’est pas anodin : intervenir avant l’été permet de couper court aux déclarations médiatiques estivales et de saisir le matériel numérique avant qu’il ne soit détruit.
⚠️ Ce que le démantèlement ne règle pas
Interpeller 7 personnes ne met pas fin au problème. Plusieurs faits restent préoccupants : les données volées sont déjà dans la nature, vendues et téléchargées par des acheteurs qu’il est impossible d’identifier. Une partie de ces données sera utilisée pour des escroqueries ciblées dans les 12 à 24 prochains mois. Comme nous l’avions vu dans le cas du piratage de la DGFIP, la fuite initiale a généré des vagues d’arnaques aux IBAN plusieurs mois après. La vigilance doit donc s’installer dans la durée, pas seulement dans l’émotion de l’annonce. Enfin, Dumpsec n’est probablement pas le seul groupe actif en France avec ce mode opératoire : la prochaine opération de l’OFAC pourrait viser un autre collectif, structuré de manière identique.
Que vont devenir les 1500 entités victimes ?
Le travail ne fait que commencer pour l’OFAC, qui doit désormais identifier précisément quelles entités ont été compromises et notifier chacune d’elles. Du côté de la CNIL, le contrôle de la conformité post-incident va s’intensifier : toutes les structures visitées par Dumpsec sont en effet susceptibles d’avoir manqué à leurs obligations de sécurité du RGPD, ce qui peut coûter cher, comme l’a montré la condamnation de Free à 42 millions d’euros en 2026.
Pour les organisations non encore contactées par l’OFAC, la priorité est claire :
Auditer ses portails web et API pour détecter les vulnérabilités IDOR et les abus de permissions.
Vérifier les logs d’accès sur les 12 derniers mois pour identifier des extractions massives non documentées.
Documenter la chaîne de notification en cas de fuite avérée, pour répondre aux obligations RGPD dans les 72 heures.
Communiquer de manière transparente avec les utilisateurs concernés, en évitant le silence qui aggrave la crise de confiance.
L’affaire Dumpsec illustre surtout que la cybersécurité n’est plus une affaire de pare-feux ou d’antivirus, mais un problème de gouvernance des accès. Tant qu’une PME française, une mairie ou un hôpital laissera un export CSV de 500 000 fiches clients sans protection, des groupes comme Dumpsec auront un terrain de jeu infini. Le jour où le code pénal évoluera pour sanctionner aussi les organisations négligentes, et pas seulement les attaquants, le rapport de force changera vraiment.
Questions fréquentes sur le démantèlement de Dumpsec
Comment savoir si mes données sont dans le dump Dumpsec ? ▼
Aucune liste publique n’a été diffusée à ce stade. Les entités directement impactées (Leroy Merlin, Éducation nationale, Crous, etc.) devraient notifier leurs clients et usagers dans les prochaines semaines. Pour un particulier, le plus sûr est de surveiller les signes d’usurpation d’identité (emails ou SMS inhabituels, tentatives de connexion inhabituelles) et d’utiliser un service de surveillance du dark web comme Have I Been Pwned, dont nous expliquons le fonctionnement dans notre guide dédié.
Les 1500 entités vont-elles être sanctionnées par la CNIL ? ▼
Pas automatiquement, mais chacune est désormais sous surveillance. La CNIL peut ouvrir un contrôle sur toute structure dont les manquements en matière de sécurité des données sont avérés. La condamnation de Free à 42 millions d’euros en 2026 pour défaut de sécurité a créé un précédent. Pour les entités qui peuvent prouver qu’elles ont correctement notifié, corrigé les failles et renforcé leur sécurité dans les 72 heures, le risque de sanction financière est limité.
Pourquoi des mineurs ont-ils pu pirater l’Assemblée nationale ? ▼
Les vulnérabilités exploitées (IDOR, abus de permissions, exports non protégés) ne nécessitent pas de compétences techniques exceptionnelles. Un adolescent de 15 ans, motivé et bien outillé, peut compromettre un portail mal configuré. La barrière à l’entrée du cybercrime n’a jamais été aussi basse : des tutoriels gratuits, des scripts disponibles sur GitHub, des outils de scan automatisés. C’est pourquoi la vraie question n’est pas qui a piraté, mais pourquoi les défenses étaient si faibles.
L’OFAC peut-elle récupérer les données déjà vendues ? ▼
Non. Une fois les bases mises en vente sur BreachForums et téléchargées par des acheteurs, elles se diffusent sur d’autres forums, dans des messageries chiffrées, parfois même sur des clouds publics. L’arrestation des 7 suspects met fin au groupe, pas à la circulation des données. La priorité est désormais d’identifier les acheteurs pour bloquer les usages frauduleux, ce qui est techniquement et juridiquement très difficile.
Quelle différence entre Dumpsec et un groupe de ransomware ? ▼
Un groupe de ransomware chiffre vos données et exige une rançon pour vous rendre l’accès. Dumpsec opérait en mode extractif : il copiait les données et les revendait, sans bloquer les serveurs. Résultat : la victime ne se rend compte de rien pendant des mois, jusqu’à ce que les données apparaissent sur un forum ou soient utilisées pour des arnaques. C’est un mode opératoire plus discret, donc plus difficile à détecter en amont.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
