Skip to content
RançongicielEn cours

Fuite chez Organisme pour la Sécurité de l’Aviation Civile

En février 2026, le groupe d'extorsion LAPSUS$ a revendiqué le vol d'environ 420 Go de données de l'OSAC (Organisme pour la Sécurité de l'Aviation Civile), dont cartes d'identité, passeports, diplômes, justificatifs de domicile et documents internes ; les données ont ensuite été intégralement diffusées.

Victime
Organisme pour la Sécurité de l’Aviation Civile

Le 24 février 2026, l'OSAC (Organisme pour la Sécurité de l'Aviation Civile) — l'organisme français délégué de sécurité et de certification de l'aviation civile, chargé d'inspecter et de certifier aéronefs, équipements et personnels — a été désigné comme victime d'une vaste opération de vol de données et d'extorsion. Le groupe LAPSUS$ a annoncé via Telegram avoir compromis l'OSAC et exfiltré environ 420 Go de données, puis, les négociations ayant échoué, a diffusé l'intégralité du butin publiquement.

Les attaquants ont publié des échantillons puis la totalité du jeu de données, qui mélangeait des données personnelles d'individus (candidats, personnels certifiés, salariés) et des documents opérationnels et internes sensibles. Des fichiers feraient référence à de grands acteurs de l'aéronautique et de la défense, dont Thales, Dassault Systèmes, Airbus, Boeing, la FAA américaine et l'armée française, ce qui suscite des inquiétudes sur la sensibilité de la fuite, bien au-delà de simples données personnelles.

Les données exposées comprendraient :

  • Cartes nationales d'identité et passeports
  • Diplômes et certifications
  • Justificatifs de domicile
  • Listes d'utilisateurs / d'adresses e-mail
  • Manuels, procédures et documents opérationnels internes

L'OSAC a reconnu l'incident et mis son site web en maintenance, mais sa communication publique a cherché à en minimiser l'impact, présentant les éléments exposés surtout comme des manuels, des procédures et des données personnelles limitées. Les déclarations de l'OSAC, d'Airbus, de Dassault, de Thales et des autres entités citées n'ont pas été confirmées de manière indépendante dans leur intégralité, et, les données circulant déjà, les personnes concernées sont exposées à des risques accrus d'hameçonnage, d'usurpation d'identité, de fraude documentaire et d'ingénierie sociale. À la date de divulgation, la situation n'était pas résolue.

Sources

  1. frenchbreaches.comhttps://frenchbreaches.com/blog/lorganisme-de-securite-de-laviation-civile-osac-vise-par-une-fuite-revendiquee
  2. enderi.frhttps://enderi.fr/cyberattaque-revendiquee-contre-losac-quels-enjeux-pour-la-securite-aerienne-et-la-defense/
  3. redpacketsecurity.comhttps://www.redpacketsecurity.com/lapsus-ransomware-victim-osac-aero/

Incidents liés

RançongicielContenu

Fuite chez Commune de Lens

Fin décembre 2025, la mairie de Lens (Pas-de-Calais, France) a révélé une intrusion dans son système d'information qui a paralysé les services municipaux pendant environ une semaine, bloquant les logiciels des agents et les lignes téléphoniques ; le vecteur d'attaque n'a pas été divulgué et aucun vol de données n'a été confirmé.

Victim
Commune de Lens