À Dunkerque, la « ville du Corsaire Jean-Bart » apparaît comme otage numérique d’un groupe baptisé Lynx. Les pirates réclament 3 millions de dollars et exhibent une “preuve” d’intrusion.Le groupe de pirates Lynx affirme avoir compromis la Ville de Dunkerque et demande une rançon de 3 000 000 $ (2 760 000 €) pour éviter une publication de données. L’annonce, datée du 05 janvier, est classée « Encrypted » et accompagnée d’un volet « Proof« , signe d’une stratégie de pression typique des extorsions modernes. Au-delà du cas dunkerquois, la liste des victimes revendiquées par Lynx dessine un rythme d’activité en hausse, avec 82 victimes datées de 2024, 266 de 2025 et déjà 21 sur les premiers jours de 2026. Parmi elles, 2 domaines en .fr.
Une rançon calibrée et un récit de « preuve »
Dans leur mise en scène, Lynx pose un décor simple et efficace : une collectivité locale, un montant rond, et la promesse implicite d’un avant/après. La Ville de Dunkerque est décrite comme engagée depuis une décennie dans la revitalisation et la transformation du territoire dunkerquois, avec des services orientés vers les jeunes, les familles, les seniors et les personnes en situation de handicap, ainsi qu’un accent sur l’implication citoyenne, la vie culturelle, l’appui aux entreprises et l’emploi. C’est précisément ce type d’organisation, très exposée par la diversité de ses missions, qui constitue une cible rentable pour l’extorsion : beaucoup d’usagers, beaucoup de prestataires, beaucoup de fichiers, et une obligation de continuité de service. Sauf que les pirates n’ont pas bien compris le fonctionnement d’une collectivité française et encore moins le paiement de rançon dans l’hexagone territoriale.
L’annonce repérée lundi par le Service de Veille ZATAZ range l’affaire dans la catégorie « Chiffrée », ce qui suggère un chiffrement des systèmes, et ajoute “Preuve”, un marqueur de crédibilité destiné à convaincre que l’accès est réel. Dans l’économie des rançons, la « preuve » n’est pas un détail : elle sert à réduire l’incertitude de la victime et à accélérer la décision, souvent avant même que l’analyse interne soit stabilisée. La somme revendiquée, 3 000 000 $ (2 760 000 €), est présentée comme un « income », autrement dit l’objectif financier associé à cette prise d’otage.
Derrière la communication des pirates, l’enjeu de renseignement est double. D’abord, ce que Lynx choisit de dire, « Encrypted » et « Proof », donne des indices sur sa méthode de pression. Ensuite, ce qu’il ne dit pas, nature des données, périmètre touché, chemin d’accès, impose de traiter leur discours comme une source hostile : informative, mais orientée vers l’obtention d’un paiement.
La menace des pirates du groupe Lynx à l’encontre de la Ville de Dunkerque. La liste des victimes, un baromètre d’activité
Lynx ne se contente pas d’un nom prestigieux comme Dunkerque. Le groupe aligne une liste de victimes datées, comme un tableau de chasse conçu pour intimider les prochaines cibles et rassurer d’éventuels « partenaires » criminels sur sa capacité d’exécution. En recoupant uniquement les entrées fournies, le service de veille ZATAZ obtient une photographie nette du tempo revendiqué : 82 victimes en 2024, 266 en 2025, et déjà 21 en 2026 à la date du 06 janvier 2025, soit 369 au total sur la période couverte par la liste. Le saut entre 2024 et 2025 est particulièrement parlant : +184 entrées d’une année sur l’autre, ce qui renforce l’impression d’une industrialisation, réelle ou proclamée, de la sélection et de la publication des cibles.
Cette liste révèle aussi un signal utile pour l’écosystème français : le nombre de domaines en .fr y est faible mais non nul. Dans l’extrait fourni, on compte 2 victimes en .fr, www.ville-dunkerque.fr et hartford.fr. Ce chiffre n’est pas un indicateur de sécurité nationale, il dépend d’un échantillon et d’une revendication, mais il rappelle un point constant : la barrière linguistique ne protège pas, et la notoriété d’une institution peut suffire à déclencher une attaque opportuniste.
Pour une collectivité, le risque ne se limite pas au chiffrement. Le simple fait d’être nommée alimente la pression sur les agents, les élus, les prestataires, et tous ceux qui dépendent des services municipaux. Surtout à 3 mois d’élections municipales. Dans ce théâtre d’extorsion, la première bataille se joue sur l’information : vérifier vite, circonscrire, et ne pas laisser le narratif des attaquants devenir la seule “version des faits”.Les motivations revendiquées par Lynx
Dans sa communication, Lynx présente son activité comme strictement guidée par un objectif financier, qu’il affirme vouloir poursuivre sans provoquer de dommages jugés excessifs. Le groupe revendique une ligne de conduite se voulant "éthique" (Sic!), excluant volontairement les institutions gouvernementales, les hôpitaux et les organisations à but non lucratif, décrites comme essentielles au fonctionnement de la société (ce qui est pourtant le cas d'une mairie, ndr). Cette posture, fréquente dans les discours de groupes d’extorsion, vise à distinguer leur action d’un sabotage indiscriminé. Lynx met également en avant un modèle opérationnel fondé sur l’échange et la négociation, préférant, selon ses termes, le dialogue à la destruction. Les attaques sont présentées comme un levier pour ouvrir une discussion économique, dans laquelle la résolution prime sur le chaos. Le groupe affirme enfin vouloir maintenir des standards "professionnels", avec une communication transparente et des interactions ciblées, afin de faire coexister activités commerciales et cybersécurité sans basculer, selon lui, dans un conflit inutile ou incontrôlé. Bref, sous ces beaux discours ne vous y trompez pas, des pirates informatiques, rien d'autre !"
Quand un groupe comme Lynx publie une « preuve », il produit surtout du renseignement d’influence, la riposte commence par reprendre le contrôle du récit et des indicateurs techniques.
Un exemple de courrier envoyé par les pirates du groupe Lynx. merci à ZATAZ
