Skip to content
Cyber Breaches
Recherche
Fuite de donnéesinvestigating

Fuite de données du Business Registration Service

Des attaquants ont exfiltré les données du registre national des sociétés du Kenya, le Business Registration Service — y compris des informations de propriété et de bénéficiaires effectifs touchant le président Ruto et les entreprises de la famille Kenyatta — et les ont mises en vente sur le dark web.

Victime
Business Registration Service (BRS)
SecteurGouvernement
PaysKenya
GroupeUnknown
Attaquants nommésActeur non identifié (implication interne possible)

Dans la nuit du 31 janvier 2025, le Business Registration Service (BRS) du Kenya — l'agence qui tient le registre national des sociétés — a été compromis, et ses données ont été mises en vente sur le dark web en quelques jours. Parce que le BRS détient les informations de propriété de pratiquement toutes les sociétés enregistrées au Kenya, la fuite était à la fois un incident de confidentialité et une préoccupation de sécurité nationale et de transparence.

Ce qui s'est passé

Les attaquants ont accédé aux systèmes du BRS durant le week-end et ont exfiltré une large partie du registre des sociétés. Les données exposées comprenaient, selon les rapports :

  • Les détails d'enregistrement des sociétés et les actes constitutifs.
  • Les informations sur les mandats d'administrateurs et l'identité des bénéficiaires effectifs — les personnes réelles derrière les entités.
  • Des enregistrements du bureau du séquestre officiel (Office of the Official Receiver), couvrant les sociétés en difficulté financière ou en insolvabilité.

Les informations volées ont été proposées à la vente sur des places de marché du dark web. Notamment, les rapports indiquaient que le lot exposait les intérêts commerciaux du président William Ruto et de la famille Kenyatta, aux côtés de milliers d'entreprises privées — rendant la fuite à la fois politiquement explosive et commercialement sensible.

Réponse

Le BRS a immédiatement mis sa base de données en ligne hors service. Le directeur général Kenneth Gathuma a déclaré que l'agence avait « renforcé ses protocoles de sécurité » et informé des experts en cybersécurité et les forces de l'ordre, les enquêtes étant en cours. Les enquêteurs auraient écarté le rançongiciel comme motif et exploré la possibilité d'un acteur interne, compte tenu de l'ampleur et de la rapidité de l'extraction. Au moment de la divulgation, aucun groupe n'avait été identifié de manière définitive et le nombre exact d'enregistrements n'avait pas été publié.

Pourquoi c'est important

Les registres de bénéficiaires effectifs existent précisément pour lutter contre le blanchiment d'argent, l'évasion fiscale et la corruption en révélant qui contrôle réellement les sociétés. Lorsque ce même registre est piraté et vendu, les données deviennent un puissant outil aux fins inverses — permettant la fraude, l'ingénierie sociale ciblée, le chantage et l'espionnage concurrentiel. L'incident du BRS est survenu au cœur d'une vague plus large d'attaques contre des organismes publics kényans en 2024-2025 (dont la Kenya Urban Roads Authority et la Micro and Small Enterprise Authority), intensifiant l'examen de la manière dont le pays sécurise l'infrastructure numérique centralisée qu'il a rapidement bâtie. L'épisode a aussi avivé le débat sur les pouvoirs d'application de l'Office of the Data Protection Commissioner du Kenya et sur la résilience des dépositaires de données publiques chargés de registres nationaux sensibles.

Chronologie

  1. Dans la nuit du vendredi 31 janvier, des attaquants exfiltrent des données des systèmes du Business Registration Service.

  2. Les enregistrements volés — propriété des sociétés, mandats d'administrateurs et bénéficiaires effectifs — apparaissent en vente sur des places de marché du dark web.

  3. Les rapports notent que le lot expose les intérêts commerciaux du président William Ruto et de la famille Kenyatta, parmi de nombreuses entreprises privées.

  4. Le BRS met sa base de données en ligne hors service et déclare avoir renforcé ses protocoles de sécurité ; les enquêteurs soupçonneraient une implication interne et écartent le rançongiciel.

  5. Le directeur général du BRS, Kenneth Gathuma, confirme que les enquêtes se poursuivent et que des experts en cybersécurité et les forces de l'ordre ont été informés.

Sources

  1. techpoint.africahttps://techpoint.africa/2025/02/03/kenyas-business-registration-service-data-breach/
  2. ntvkenya.co.kehttps://ntvkenya.co.ke/news/cyberattack-on-govt-agency-leaks-private-details-in-major-data-breach/
  3. kenyanews.go.kehttps://www.kenyanews.go.ke/govt-issues-cyber-security-alert-over-potential-data-breach/

Incidents liés

Fuite de donnéesInconnu

Fuite chez justice.fr

Le 22 décembre 2025, une base de données attribuée à la justice française (justice.fr) a recirculé en ligne, exposant les données personnelles, professionnelles et bancaires — dont IBAN/BIC — de plus de 1 100 magistrats, juges, avocats et personnels judiciaires.

Victim
justice.fr
Fuite de donnéesContenu

Fuite chez Ministère des Sports

Le 19 décembre 2025, le ministère français des Sports a confirmé une fuite touchant un système lié au dispositif Pass'Sport, exposant les données d'environ 3,5 millions de foyers — noms, dates de naissance, coordonnées, numéros de Sécurité sociale, INE et CAF — publiées sur un forum criminel.

Victim
Ministère des Sports
Fuite de donnéesContenu

Fuite chez Ministère de l’Intérieur

En décembre 2025, des attaquants ont compromis des boîtes mail professionnelles du ministère de l'Intérieur et accédé à des fichiers de police sensibles, dont le TAJ (antécédents judiciaires) et le FPR (personnes recherchées) ; le ministère a confirmé l'exfiltration de quelques dizaines de fichiers, les attaquants revendiquant les données de 16,4 millions de personnes.

Victim
Ministère de l’Intérieur