Toufik-de-Planoise Actualités, Investigation

En Bourgogne/Franche-Comté, près de 300 000 jeunes visé·e·s par une cyberattaque de grande ampleur

Exclu « le Ch’ni ». Le piratage informatique est une offensive en eaux troubles, mais aux répercussions concrètes au quotidien. Nombre de bases de données se voient ainsi subtilisées pour du chantage, de la déstabilisation, ou une vente au plus offrant. Le 19 octobre dernier, c’est le « Centre Hospitalier Intercommunal de Haute-Comté » qui a été attaqué. Selon un expert, l’ensemble des fichiers patientèle, soit 100 000 dossiers, incluant identités complètes, historiques médicaux, comptes-rendus d’opérations, auraient été impactés. Touchant donc jusqu’aux institutions les plus établies, la question des mesures de sécurité adoptées se voit progressivement posée par le grand public. Mais l’année 2026 à peine entamée, la même référence vient d’alerter sur un autre incident local : le « CRIJ Bourgogne/Franche-Comté » a lui aussi été visé, affectant, cette fois, près de 300 000 personnes de la région.


Un ancien du renseignement en lanceur d’alerte
La publication date du 8 janvier, aussi laconique que glaçante. Elle émane de Christophe Boutry, ex-membre de la « DGSI » condamné pour avoir transmis des informations sur le darkweb. En fin connaisseur, il s’est depuis reconverti dans la veille et la sûreté numérique. Au point de lister les alertes chaque jour, répertoriant « les fuites de données d’entreprises françaises, de l’État, de services publics » afin de « centraliser les incidents connus, avec un objectif de suivi, de transparence et d’analyse ». Le fâcheux épisode d’il y a trois mois à Pontarlier, il l’avait disséqué et relayé. Via la « carte avantages jeunes », il avance que noms, prénoms, dates de naissance, adresses électroniques, numéros de téléphone, adresses postales et modes de paiement de 282 906 « cibles » seraient dans la nature. Ou plus exactement, dans l’escarcelle de « crackers/crackeuses », qui auraient fourni des « échantillons crédibles » tels que des « noms, adresses et numéros ».

Une annonce consultable par les initié·e·s dans les méandres de « BreachForums », plateforme fermée en 2023 mais dont les tentacules ont encore défrayé la chronique il y a quelques semaines dans une affaire relative au Ministère de l’Intérieur et à plusieurs « CAF » d’Île-de-France. Une somme d’éléments qui nécessitaient des investigations plus poussées par « le Ch’ni », alors que la situation n’avait jusqu’alors jamais été ébruitée. Sollicitées le 15 janvier par nos soins, les instances du « CRIJ Bourgogne/Franche-Comté » apprenaient en effet la nouvelle. Le temps de saisir la « CNIL » et de diligenter une enquête, leurs responsables nous retournaient que « les premières vérifications n’ont fait apparaître aucune problématique apparente de cet ordre » selon des évaluations préliminaires. Sans exclure une intrusion astucieuse plus difficilement détectable, nos interlocuteurs ont considéré qu’une faille critique et massive était « peu probable ».

Annonce de « HexDex2 », capture d’écran.


Pour « le Ch’ni », un aperçu plus que parlant
Mais à force de recherches et de contacts, la piste exposée par Christophe Boutry s’est pourtant avérée extrêmement tangible. Dans un coin ombrageux du web, le pseudonyme « HexDex2 » propose bien un export précis de « 282 906 entrées » sous format caractéristique « JSONL » issues du site « https://www.avantagesjeunes.com/ ». Avec, en guise de démonstration et d’avant-goût, la fourniture gratuite de quelque 1 000 lignes correspondant à autant d’inscrit·e·s… Patronyme, domicile, coordonnées, jusqu’au statut socio-professionnel (lycéen·ne, apprenti·e, privé·e d’emploi…), tout y est. Grâce aux registres d’états-civils que nous avons pu consulter en mairies, il ne nous a pas été compliqué de confirmer l’authenticité de toutes les vérifications opérées. Quelques-un·e·s, encore, ont reçu un texto de notre part, leur apprenant la désagréable raison de notre demande, mais confirmant, tout autant, la véracité effarante de notre panel.

Aucun des huit départements n’y échappe, laissant peu doute sur l’exactitude et l’étendue du détournement. Mais que ce soit concernant l’extorsion ou sa gestion de crise, comment de tels ratés sont possibles ? Pour Christophe Boutry, rien d’étonnant à ce stade : « Le fait que l’institution n’ait pas encore communiqué n’est pas inhabituel : il y a souvent un décalage important entre l’intrusion technique, la mise en vente sur les forums et le moment où les services informatiques internes confirment la faille – quand ils le font ». Ce que conforte un second spécialiste consulté, qui s’exprime en off : « Pour lancer la machine, il y a toujours un temps. Mais dès lors qu’il y a un doute, les gestionnaires doivent en aviser les usagers/usagères ! Dans ce cas de figure, il y a intérêt et même urgence à agir. La loi l’impose, c’est aux articles 75 et 86 du règlement européen de 2016. Avec autant de matière, vous pouvez facilement usurper une identité, envoyer un mail frauduleux, lancer un harcèlement ciblé ».


Illustration d’en-tête : crédit Tima Miroshnichenko – « Pexels.com » – CC0.