À Lens, une intrusion dans le système d’information a dégradé l’activité municipale, notamment la téléphonie et certains services en ligne. La ville maintient l’accueil physique, mais bascule en mode crise, plainte à l’appui.La ville de Lens a annoncé vendredi matin être victime d’une « intrusion dans son système d’information », avec des impacts sur le fonctionnement des services municipaux et des lignes téléphoniques. La mairie indique qu’un diagnostic technique est en cours pour évaluer l’origine et la gravité de l’incident, tandis que des mesures de sécurité et de protection ont été mises en place. L’accueil en mairie reste assuré pour les démarches, mais plusieurs numéros sont inaccessibles et le « portail famille » est hors ligne.
Le signal initial est concret : des perturbations de réseau, « notamment téléphonique », relevées au fil de la semaine. La ville rappelle qu’une panne a déjà touché le standard les 23 et 24 décembre 2025 [date des premiéres perturbations]. Ce vendredi, la mairie confirme le scénario le plus sensible via un communiqué de presse : il ne s’agit pas seulement d’un incident technique, mais d’une intrusion dans le système d’information, survenue dans la nuit de lundi à mardi, selon la communication municipale.
Dans ce type d’affaire, la téléphonie agit souvent comme le premier indicateur visible d’un problème plus large. Un réseau municipal est un ensemble : voix, données, applicatifs, messagerie, accès distant. Quand le téléphone tombe, c’est parfois le symptôme d’une action de coupure, de segmentation d’urgence, ou d’une dégradation provoquée par l’attaquant. Ici, la mairie évoque des « premières investigations » menées dans la semaine, avant l’annonce officielle, ce qui suggère une détection progressive, à mesure que des anomalies s’accumulent.
Face à l’incertitude, la municipalité enclenche la logique de gestion de crise : diagnostic technique en cours pour qualifier l’origine et la gravité, et priorisation de mesures de sécurisation et de protection des données. C’est la séquence classique : contenir d’abord, comprendre ensuite, et maintenir la continuité minimale des services.
Services maintenus au guichet, mais numérique et numéros secondaires coupésLa communication de Lens insiste sur un point de réassurance : les services restent accessibles aux horaires habituels, y compris pour l’état civil, déclaration de naissance, de décès, passeport, carte nationale d’identité. C’est une façon de dire que le cœur de la relation usagers n’est pas interrompu, à condition de se déplacer.
En revanche, la téléphonie est clairement affectée. Le numéro central est maintenu « en mode dégradé », et la mairie demande de l’utiliser uniquement en cas d’urgence. Tous les autres numéros dépendant des services municipaux ne sont pas accessibles. Cette architecture, une seule porte d’entrée, le reste coupé, ressemble à une stratégie de réduction de surface : limiter les canaux pour éviter l’aggravation, préserver un point de contact, et concentrer la capacité de réponse.
Le numérique, lui aussi, décroche. Le « portail famille » est annoncé inaccessible. La ville indique sur Facebook qu’une solution de secours sera mise en place si le service n’est pas rétabli avant la date limite d’inscription, réponse adressée à une mère inquiète pour l’inscription à la cantine. Cette précision montre l’impact concret sur la vie quotidienne : la cyberattaque n’est pas abstraite, elle se traduit par des démarches qui reviennent au papier, au guichet ou à des procédures dérogatoires.
Plainte et diagnostic : l’enjeu de l’attribution et de la preuve
Selon les éléments rapportés, la mairie a déposé plainte le 23 décembre en lien avec ces faits. Cette date est importante : elle situe une judiciarisation rapide, au moment même où les perturbations téléphoniques étaient encore le symptôme le plus visible. Déposer plainte permet d’ouvrir la voie à des investigations, et surtout de fixer un cadre pour conserver des preuves, journaux, traces, chronologie, décisions de crise.
À ce stade, la mairie ne donne ni date de retour à la normale, ni qualification publique du mode opératoire, rançongiciel, sabotage, intrusion silencieuse. Elle parle d’un diagnostic en cours. Cette prudence est cohérente : trop annoncer trop vite peut aider l’adversaire à ajuster ses actions ou créer de la confusion chez les usagers, surtout quand les canaux officiels sont eux-mêmes fragilisés.
Dans l’ombre, la priorité opérationnelle est généralement double : empêcher la propagation et assurer la continuité. Le fait que certains services en ligne soient indisponibles, et que des numéros secondaires soient coupés, peut refléter des choix de segmentation réseau et de mise à l’écart de systèmes à risque, plutôt qu’une panne purement subie.
LockBit 5 : 100 victimes listées en décembreDécors de Noël, clochette, neige qui tombe, puis un « bienvenue » glaçant : LockBit 5 aligne en décembre 2025 cent victimes, dont quarante et une déjà publiées et cinquante-neuf encore sous compte à rebours.
LockBit 5 affiche une vitrine de Noël : 100 victimes en décembre 2025, 41 fuites publiées et 59 en attente, avec des comptes à rebours et des secteurs très variés. La liste fournie montre une cadence serrée fin décembre, avec plusieurs entrées datées du 29 décembre et près de vingt jours restants avant diffusion. Parmi les noms les plus marquants figurent Marriott, la compagnie électrique nationale ENDE, des collectivités locales comme Elundini et Balmuccia, ainsi que des organisations de santé et d’éducation. Le tableau raconte une extorsion industrialisée : publication immédiate pour certains, pression différée pour d’autres, et un risque constant de réutilisation des données.
La scène est presque absurde : une esthétique de fin d’année, clochettes et neige virtuelle, qui habille un dispositif conçu pour faire peur. Le “nouveau site” revendique sa modernité, mais la logique reste brutale : une liste de victimes, un horodatage, un compte à rebours et, parfois, la mention « published » qui signe le passage à l’acte. Dans l’extrait fourni, décembre 2025 concentre à lui seul 100 entrées. Ce volume raconte une continuité d’activité : la vitrine n’est pas un événement, c’est un tableau de bord.
Le rythme se lit dans les horodatages. Le 29 décembre, trois nouvelles victimes apparaissent avec un délai d’environ vingt jours avant diffusion, Samkee Automotive, Labayen y Laborde et Klax. Le 25 décembre, la liste grossit par salves, avec une série de structures industrielles, de services et d’acteurs du numérique. Le 24 décembre suit la même logique. Puis, plus bas, des entrées du 20, du 16, du 14, du 11, du 6, du 5 et du 4 décembre sont déjà estampillées « published » pour une partie d’entre elles. Autrement dit, le mois montre deux temporalités : la publication immédiate et la menace programmée.
Les plus marquants : hôtellerie mondiale, énergie, collectivités
Le caractère “marquant” tient ici à ce que la liste suggère sur l’impact potentiel. Deux entrées distinctes citent Marriott, l’une au niveau d’un domaine principal, l’autre liée à Four Points, ce qui donne à voir une exposition qui touche une marque internationale et son écosystème. À côté, l’extrait mentionne ENDE, présentée comme la National Electricity Company de l’État plurinational de Bolivie. L’énergie n’est pas un secteur comme les autres : lorsqu’un acteur public ou para-public apparaît dans une telle liste, le signal est celui d’une pression qui dépasse l’entreprise pour toucher la continuité de service, la confiance et la souveraineté.
Le volet public local est également visible. Elundini Local Municipality figure dans les entrées publiées, tout comme le Comune di Balmuccia. L’extrait cite aussi un bureau municipal en République tchèque (Kraslice) parmi les victimes en attente. Ces noms montrent un pattern récurrent : la surface d’attaque ne se limite pas aux grandes entreprises. Les organisations de taille modeste, souvent moins outillées, se retrouvent exposées dans la même vitrine que des marques mondiales.
Enfin, le champ santé et éducation ressort nettement. Le Complexo Hospitalar de São Bernardo do Campo est listé comme publié, comme l’est aussi un centre de santé dentaire à Drancy, en France, mais dans la partie non publiée de l’extrait. Dans l’éducation, UNIPLAC et Keys to Literacy apparaissent publiés, tandis que d’autres structures scolaires et de formation figurent dans la liste. Le message implicite est dur : les données associées à ces secteurs, parce qu’elles touchent des publics sensibles, peuvent multiplier le risque d’escroqueries secondaires.
Publié ou en attente : la pression par le calendrier
Les chiffres de l’extrait fixent le cadre. En décembre 2025, 41 victimes sont déjà diffusées, 59 restent sous compte à rebours. Cette distinction n’est pas cosmétique. « Published » signifie que la menace a franchi une étape : l’exposition devient une réalité, avec tout ce que cela implique en termes de copies multiples, de revente possible et de réutilisation. À l’inverse, les entrées “en attente” servent de levier : elles maintiennent la pression, donnent une échéance, et imposent aux victimes un calendrier que l’attaquant contrôle.
On note aussi que plusieurs entrées affichent un nombre à droite, parfois très élevé. L’extrait ne précise pas à quoi il correspond. Mais sa présence, répétée, participe à la mise en scène : quantifier, classer, donner l’impression d’un inventaire. Dans une logique cyber, ce type de présentation a un effet de renseignement : il attire l’attention d’autres acteurs malveillants, et rend l’écosystème plus perméable aux attaques opportunistes, même quand la victime pense n’avoir “que” subi une extorsion.
merci à ZATAZ
