Fuite chez Organisme pour la Sécurité de l’Aviation Civile
En février 2026, le groupe d'extorsion LAPSUS$ a revendiqué le vol d'environ 420 Go de données de l'OSAC (Organisme pour la Sécurité de l'Aviation Civile), dont cartes d'identité, passeports, diplômes, justificatifs de domicile et documents internes ; les données ont ensuite été intégralement diffusées.
- Victime
- Organisme pour la Sécurité de l’Aviation Civile
Le 24 février 2026, l'OSAC (Organisme pour la Sécurité de l'Aviation Civile) — l'organisme français délégué de sécurité et de certification de l'aviation civile, chargé d'inspecter et de certifier aéronefs, équipements et personnels — a été désigné comme victime d'une vaste opération de vol de données et d'extorsion. Le groupe LAPSUS$ a annoncé via Telegram avoir compromis l'OSAC et exfiltré environ 420 Go de données, puis, les négociations ayant échoué, a diffusé l'intégralité du butin publiquement.
Les attaquants ont publié des échantillons puis la totalité du jeu de données, qui mélangeait des données personnelles d'individus (candidats, personnels certifiés, salariés) et des documents opérationnels et internes sensibles. Des fichiers feraient référence à de grands acteurs de l'aéronautique et de la défense, dont Thales, Dassault Systèmes, Airbus, Boeing, la FAA américaine et l'armée française, ce qui suscite des inquiétudes sur la sensibilité de la fuite, bien au-delà de simples données personnelles.
Les données exposées comprendraient :
- Cartes nationales d'identité et passeports
- Diplômes et certifications
- Justificatifs de domicile
- Listes d'utilisateurs / d'adresses e-mail
- Manuels, procédures et documents opérationnels internes
L'OSAC a reconnu l'incident et mis son site web en maintenance, mais sa communication publique a cherché à en minimiser l'impact, présentant les éléments exposés surtout comme des manuels, des procédures et des données personnelles limitées. Les déclarations de l'OSAC, d'Airbus, de Dassault, de Thales et des autres entités citées n'ont pas été confirmées de manière indépendante dans leur intégralité, et, les données circulant déjà, les personnes concernées sont exposées à des risques accrus d'hameçonnage, d'usurpation d'identité, de fraude documentaire et d'ingénierie sociale. À la date de divulgation, la situation n'était pas résolue.
Sources
- frenchbreaches.comhttps://frenchbreaches.com/blog/lorganisme-de-securite-de-laviation-civile-osac-vise-par-une-fuite-revendiquee
- enderi.frhttps://enderi.fr/cyberattaque-revendiquee-contre-losac-quels-enjeux-pour-la-securite-aerienne-et-la-defense/
- redpacketsecurity.comhttps://www.redpacketsecurity.com/lapsus-ransomware-victim-osac-aero/