Skip to content
Fuite de donnéesEn cours

Fuite revendiquée chez OSAC (Aviation civile) - Ransomware - voir détail

Le 20 février 2026, le groupe d'extorsion LAPSUS$ a revendiqué le vol d'environ 420 Go de données chez OSAC, l'organisme français de sécurité de l'aviation civile, incluant pièces d'identité, passeports et documents internes ; l'intégralité a ensuite été publiée en ligne.

Victime
OSAC (Aviation civile)

Le 20 février 2026, OSAC — l'Organisme pour la Sécurité de l'Aviation Civile, l'entité française déléguée à la surveillance de la sécurité aérienne et à la certification de navigabilité — a été visé par le groupe d'extorsion LAPSUS$, qui a annoncé via Telegram avoir compromis l'organisme et exfiltré environ 420 Go de données.

LAPSUS$ est connu pour des intrusions reposant sur l'ingénierie sociale, le vol d'identifiants et la compromission de comptes internes plutôt que sur le chiffrement de fichiers, et ce cas a suivi le même schéma de vol de données suivi d'extorsion. Après la revendication initiale, le groupe a publié en ligne l'intégralité des 420 Go en représailles, rendant les données dérobées librement accessibles plutôt que simplement proposées à la vente.

Selon les déclarations du groupe, les données exposées comprenaient des éléments personnels et professionnels très sensibles :

  • Pièces d'identité (cartes nationales d'identité, passeports)
  • Diplômes et justificatifs de domicile
  • Listes d'utilisateurs et d'adresses e-mail
  • Documents internes citant Airbus, Dassault, Thales, Boeing, la FAA américaine et l'Armée française

OSAC a reconnu l'incident, mis son site en maintenance et envoyé aux utilisateurs un courriel rassurant qui minimisait largement l'impact, décrivant les données concernées comme essentiellement des manuels, des procédures et des « données personnelles ». À la date des publications, aucune confirmation indépendante complète du contenu du jeu de données n'avait été émise par OSAC ni par les autorités françaises, et les données divulguées — qui exposent les personnes concernées à des risques d'usurpation d'identité, de fraude documentaire, d'hameçonnage ciblé et d'ingénierie sociale — restaient en circulation.

Sources

  1. fuitesinfos.frhttps://fuitesinfos.fr/article/2026-02-20-osac-aviation-civile
  2. frenchbreaches.comhttps://frenchbreaches.com/blog/lorganisme-de-securite-de-laviation-civile-osac-vise-par-une-fuite-revendiquee
  3. enderi.frhttps://enderi.fr/cyberattaque-revendiquee-contre-losac-quels-enjeux-pour-la-securite-aerienne-et-la-defense/
  4. redpacketsecurity.comhttps://www.redpacketsecurity.com/lapsus-ransomware-victim-osac-aero/

Incidents liés

Fuite de donnéesEn cours

Fuite chez Interrail

Une cyberattaque de décembre 2025 contre Eurail B.V., opérateur des pass Interrail et Eurail, a exposé les données personnelles d'environ 308 000 voyageurs — noms, coordonnées, dates de naissance et numéros de passeport — revendues sur le dark web en 2026.

Victim
Interrail
Records
308.8K
Fuite de donnéesContenu

Fuite de données chez Mingat

Le 19 mars 2026, l'entreprise française de location de véhicules Mingat a confirmé une fuite de données touchant ses clients, qu'elle a informés d'un incident de sécurité ayant exposé des informations personnelles issues de ses fichiers de location.

Victim
Mingat
Fuite de donnéesContenu

3 600 clients de Gustave-Auto concernés par une fuite de données revendiquée

Gustave-Auto, plateforme française de services automobiles (convoyage de véhicules, gestion de flotte et réparation), a révélé en février 2026 qu'une anomalie d'accès avait exposé des données de partenaires — noms, adresses postales et e-mail, numéros de téléphone, coordonnées bancaires (IBAN/BIC) et numéros SIRET/TVA — une revendication évoquant environ 3 600 enregistrements.

Victim
Gustave-Auto
Records
3.6K