Un pirate revendique une série d’intrusions à Paris, Nantes et Lyon
Posté : dim. 14 juin 2026 08:21
Un pirate revendique une série d’intrusions à Paris, Nantes et Lyon
Après Tchap, un même pirate affirme avoir compromis des services publics, éducatifs et médicaux à Paris, Nantes et Lyon, avec des données concernant plusieurs centaines de milliers de personnes.
Un pirate déjà associé à une compromission présumée de Tchap revendique désormais plusieurs attaques visant Nantes, Lyon, Bobigny, Annecy et Paris. Ses publications évoquent des annuaires d’agents publics, des dossiers de rendez-vous médicaux, des données scolaires, des informations associatives et des comptes clients appartenant à une enseigne de box cadeau. Il attribue régulièrement ses accès à la « Human stupidity« , formule utilisée pour désigner des erreurs humaines, des identifiants exposés ou de mauvaises pratiques. Alors que plus d’une dizaine de pirates français ont été arrêtés ces derniéres semaines, ce pirate a décidé de continuer ses malveillances.
De Tchap aux données médicales nantaises
Le profil revendiquant ces nouvelles opérations sur un forum pirate (ZATAZ ne le nommera pas) serait le même que celui ayant ciblé Tchap, la messagerie officielle de l’administration française développée par la DINUM. Le pirate, que ZATAZ ne nommera pas ici, présentait cette plateforme comme une solution « souveraine et sécurisée » destinée à remplacer WhatsApp ou Signal auprès des agents publics.
Selon son propre récit, il aurait obtenu par ingénierie sociale un compte valide sur le segment consacré à l’Éducation, accessible via une adresse baptisée « matrix » (Sic!). Depuis ce seul compte, l’attaquant affirmait pouvoir atteindre 73 467 comptes, l’annuaire des utilisateurs n’étant pas isolé entre les segments. Il revendiquait également l’accès à 643 459 messages provenant de salons visibles depuis le compte compromis, ainsi qu’à 876 espaces conservant leur historique. Le pirate indiquait avoir récupéré 59 386 fichiers multimédias, représentant 13,51 Go. Selon lui, leur téléchargement ne nécessitait aucune authentification et pouvait concerner plusieurs segments. Il signalait également 90 occurrences de la mention « Diffusion Restreinte« , niveau français de protection appliqué à certaines informations sensibles. Il avait accompagné ses publications d’extraits présentés comme des échanges tenus par des fonctionnaires sur leur plateforme gouvernementale sécurisée. Des élèments prouvant une analyse poussée des données qu’il indiquait avoir exfiltré.
Cette séquence sert désormais de toile de fond à une nouvelle série de revendications. À Nantes, le pirate dit avoir ciblé le Service de santé au travail de la région nantaise, accessible depuis le domaine sstrn.fr. Il affirme avoir compromis 435 855 utilisateurs avec l’aide du pirate ChimeraZ.
La vulnérabilité décrite reposerait sur trois faiblesses combinées : aucun privilège particulier nécessaire, aucune limitation du nombre de requêtes et des identifiants numériques séquentiels. Ce mécanisme correspond à une faille IDOR, dans laquelle un attaquant modifie directement un identifiant afin d’accéder à des ressources qui ne devraient pas lui être ouvertes.
Les données revendiquées comprennent 72 197 numéros de téléphone uniques, 62 545 adresses électroniques et des informations relatives à 84 431 organisations. L’attaquant évoque aussi 355 112 personnes disposant d’un historique de rendez-vous médicaux entre 2020 et 2026. Les catégories exposées par ce cyber criminel incluraient des visites initiales de prévention, des examens périodiques, des consultations précédant une embauche, des visites de reprise et des rendez-vous demandés par un employeur ou un médecin. Mais pourquoi donc s’attaquer à ce type de structure ?
Toujours à Nantes, le pirate affirme avoir compromis 5 274 comptes liés au site de Nantes Métropole. Il précise que ces données concerneraient des agents municipaux. Pour expliquer l’accès, il utilise une nouvelle fois l’expression « Human stupidity« , sans détailler la méthode employée ni fournir de description technique supplémentaire.
Éducation, associations et commerce également visés
À Lyon, l’attaquant revendique une opération visant l’Académie de Lyon et plus précisément, selon ses dires, la partie « Affectation et sectorisation ». Il présente Affelnet comme le système informatisé utilisé par l’académie pour gérer l’affectation des élèves dans les lycées publics après la classe de troisième.
Cette plateforme traite les vœux d’orientation, les établissements et filières souhaités, les résultats scolaires ainsi que certains critères administratifs. Son objectif consiste à répartir les places disponibles, notamment lorsque plusieurs lycées reçoivent davantage de demandes que leur capacité ne le permet. Le pirate informatique parle de plus de 170 000 saisies exfiltrées !
Ce même criminel, qui semble être trés jeune, affirme aussi avoir pénétré le module de scolarité en ligne du Conservatoire à Rayonnement Départemental Jean-Wiéner de Bobigny. Il revendique 1 654 utilisateurs compromis sur le domaine bobigny.rdl.fr. Là encore, il attribue l’accès à la « Human stupidity » et ajoute dans sa petite annonce malveillante n’avoir « rien à ajouter« .
Human Stupidity as alway
Parmi les autres victimes citées figure le Réseau National des Juniors Associations, situé à Paris. Cette structure accompagne des jeunes de moins de 18 ans souhaitant créer des projets associatifs, agir collectivement et participer à la vie citoyenne. Une association qui ne méritait clairement pas de finir ainsi. Pourquoi ne pas avoir voulu les aider ? Un historique personnel avec la structure qui s’est mal terminé ? L’association a pour mission l’éducation populaire, la participation des jeunes et la volonté de modifier le regard porté sur la jeunesse.
Enfin, l’attaquant revendique une intrusion contre Smartbox. Il affirme avoir compromis 60 568 utilisateurs du site smartbox.com. La plateforme commercialise des coffrets et cadeaux d’expérience consacrés notamment aux voyages, à la restauration, au bien-être et aux loisirs.
Le pirate invoque encore « Human Stupidity as always« .
Selon le Service de veille et d’investigation de ZATAZ, cette succession de revendications dessine moins une campagne fondée sur une technique unique qu’une exploitation répétée des faiblesses humaines, de contrôles d’accès insuffisants et de services exposés. Trois signaux majeurs pour le renseignement cyber.
Reste une question : pourquoi agit-il ainsi ? Quelles sont ses motivations ? La recherche de reconnaissance ? L’adrénaline ? Une motivation politique ? L’argent ? Dans ce dernier cas, le pirate n’a jamais tenté de vendre les contenus dérobés.
Il reste étonnant que ce jeune pirate poursuive ses actions malgré les arrestations survenues ces dernières semaines, notamment celles liées à Hexdex, Breach3d ou Dumpsec.
merci à ZATAZ
Après Tchap, un même pirate affirme avoir compromis des services publics, éducatifs et médicaux à Paris, Nantes et Lyon, avec des données concernant plusieurs centaines de milliers de personnes.Un pirate déjà associé à une compromission présumée de Tchap revendique désormais plusieurs attaques visant Nantes, Lyon, Bobigny, Annecy et Paris. Ses publications évoquent des annuaires d’agents publics, des dossiers de rendez-vous médicaux, des données scolaires, des informations associatives et des comptes clients appartenant à une enseigne de box cadeau. Il attribue régulièrement ses accès à la « Human stupidity« , formule utilisée pour désigner des erreurs humaines, des identifiants exposés ou de mauvaises pratiques. Alors que plus d’une dizaine de pirates français ont été arrêtés ces derniéres semaines, ce pirate a décidé de continuer ses malveillances.
De Tchap aux données médicales nantaises
Le profil revendiquant ces nouvelles opérations sur un forum pirate (ZATAZ ne le nommera pas) serait le même que celui ayant ciblé Tchap, la messagerie officielle de l’administration française développée par la DINUM. Le pirate, que ZATAZ ne nommera pas ici, présentait cette plateforme comme une solution « souveraine et sécurisée » destinée à remplacer WhatsApp ou Signal auprès des agents publics.
Selon son propre récit, il aurait obtenu par ingénierie sociale un compte valide sur le segment consacré à l’Éducation, accessible via une adresse baptisée « matrix » (Sic!). Depuis ce seul compte, l’attaquant affirmait pouvoir atteindre 73 467 comptes, l’annuaire des utilisateurs n’étant pas isolé entre les segments. Il revendiquait également l’accès à 643 459 messages provenant de salons visibles depuis le compte compromis, ainsi qu’à 876 espaces conservant leur historique. Le pirate indiquait avoir récupéré 59 386 fichiers multimédias, représentant 13,51 Go. Selon lui, leur téléchargement ne nécessitait aucune authentification et pouvait concerner plusieurs segments. Il signalait également 90 occurrences de la mention « Diffusion Restreinte« , niveau français de protection appliqué à certaines informations sensibles. Il avait accompagné ses publications d’extraits présentés comme des échanges tenus par des fonctionnaires sur leur plateforme gouvernementale sécurisée. Des élèments prouvant une analyse poussée des données qu’il indiquait avoir exfiltré.
Cette séquence sert désormais de toile de fond à une nouvelle série de revendications. À Nantes, le pirate dit avoir ciblé le Service de santé au travail de la région nantaise, accessible depuis le domaine sstrn.fr. Il affirme avoir compromis 435 855 utilisateurs avec l’aide du pirate ChimeraZ.
La vulnérabilité décrite reposerait sur trois faiblesses combinées : aucun privilège particulier nécessaire, aucune limitation du nombre de requêtes et des identifiants numériques séquentiels. Ce mécanisme correspond à une faille IDOR, dans laquelle un attaquant modifie directement un identifiant afin d’accéder à des ressources qui ne devraient pas lui être ouvertes.
Les données revendiquées comprennent 72 197 numéros de téléphone uniques, 62 545 adresses électroniques et des informations relatives à 84 431 organisations. L’attaquant évoque aussi 355 112 personnes disposant d’un historique de rendez-vous médicaux entre 2020 et 2026. Les catégories exposées par ce cyber criminel incluraient des visites initiales de prévention, des examens périodiques, des consultations précédant une embauche, des visites de reprise et des rendez-vous demandés par un employeur ou un médecin. Mais pourquoi donc s’attaquer à ce type de structure ?
Toujours à Nantes, le pirate affirme avoir compromis 5 274 comptes liés au site de Nantes Métropole. Il précise que ces données concerneraient des agents municipaux. Pour expliquer l’accès, il utilise une nouvelle fois l’expression « Human stupidity« , sans détailler la méthode employée ni fournir de description technique supplémentaire.
Éducation, associations et commerce également visés
À Lyon, l’attaquant revendique une opération visant l’Académie de Lyon et plus précisément, selon ses dires, la partie « Affectation et sectorisation ». Il présente Affelnet comme le système informatisé utilisé par l’académie pour gérer l’affectation des élèves dans les lycées publics après la classe de troisième.
Cette plateforme traite les vœux d’orientation, les établissements et filières souhaités, les résultats scolaires ainsi que certains critères administratifs. Son objectif consiste à répartir les places disponibles, notamment lorsque plusieurs lycées reçoivent davantage de demandes que leur capacité ne le permet. Le pirate informatique parle de plus de 170 000 saisies exfiltrées !
Ce même criminel, qui semble être trés jeune, affirme aussi avoir pénétré le module de scolarité en ligne du Conservatoire à Rayonnement Départemental Jean-Wiéner de Bobigny. Il revendique 1 654 utilisateurs compromis sur le domaine bobigny.rdl.fr. Là encore, il attribue l’accès à la « Human stupidity » et ajoute dans sa petite annonce malveillante n’avoir « rien à ajouter« .
Human Stupidity as alway
Parmi les autres victimes citées figure le Réseau National des Juniors Associations, situé à Paris. Cette structure accompagne des jeunes de moins de 18 ans souhaitant créer des projets associatifs, agir collectivement et participer à la vie citoyenne. Une association qui ne méritait clairement pas de finir ainsi. Pourquoi ne pas avoir voulu les aider ? Un historique personnel avec la structure qui s’est mal terminé ? L’association a pour mission l’éducation populaire, la participation des jeunes et la volonté de modifier le regard porté sur la jeunesse.
Enfin, l’attaquant revendique une intrusion contre Smartbox. Il affirme avoir compromis 60 568 utilisateurs du site smartbox.com. La plateforme commercialise des coffrets et cadeaux d’expérience consacrés notamment aux voyages, à la restauration, au bien-être et aux loisirs.
Le pirate invoque encore « Human Stupidity as always« .
Selon le Service de veille et d’investigation de ZATAZ, cette succession de revendications dessine moins une campagne fondée sur une technique unique qu’une exploitation répétée des faiblesses humaines, de contrôles d’accès insuffisants et de services exposés. Trois signaux majeurs pour le renseignement cyber.
Reste une question : pourquoi agit-il ainsi ? Quelles sont ses motivations ? La recherche de reconnaissance ? L’adrénaline ? Une motivation politique ? L’argent ? Dans ce dernier cas, le pirate n’a jamais tenté de vendre les contenus dérobés.
Il reste étonnant que ce jeune pirate poursuive ses actions malgré les arrestations survenues ces dernières semaines, notamment celles liées à Hexdex, Breach3d ou Dumpsec.
merci à ZATAZ