Fuite chez Resana
Le 18 novembre 2025, les utilisateurs de Resana — la plateforme collaborative interministérielle gérée par la DINUM — ont été notifiés d'une exfiltration de données après l'intrusion via un compte compromis. Jusqu'à environ un million d'agents publics potentiellement exposés, avec des courriels de rançon visant les fonctionnaires.
- Victime
- Resana
Le 18 novembre 2025, Resana — la plateforme collaborative interministérielle opérée par la Direction interministérielle du numérique (DINUM) et utilisée par l'ensemble des ministères français comme espace de stockage et de partage de documents, souvent décrite comme « un Google Drive des fonctionnaires » — a notifié ses utilisateurs d'une exfiltration de données. L'annonce est intervenue alors que des attaquants commençaient à envoyer des courriels d'extorsion directement à des agents et fonctionnaires de l'État.
Selon la DINUM, la fuite ne provient pas d'une faille de l'infrastructure de Resana mais de l'usage d'identifiants légitimes : les attaquants se sont connectés à un compte utilisateur compromis plutôt que d'exploiter une vulnérabilité technique. La plateforme n'aurait pas disposé d'authentification multifacteur au moment des faits, permettant à un seul jeu d'identifiants d'atteindre des données liées à une très large population d'agents publics.
Les données exposées comprenaient :
- Noms complets
- Adresses électroniques professionnelles
- Numéros de téléphone personnels et professionnels
- Rattachement à une organisation / un ministère
- Statut professionnel et informations associées
Les attaquants ont affirmé que plus d'un million d'agents étaient concernés et ont réclamé une rançon d'environ 17 000 euros, sans que la DINUM confirme officiellement le volume ni la nature exacte des documents concernés. L'incident a été attribué à deux acteurs français utilisant les pseudonymes « HexDex » et « Angel_Batista ». Les services de cyberdéfense ministériels ont été mobilisés, et les autorités ont appelé l'ensemble du personnel à changer ses mots de passe professionnels, à activer l'authentification multifacteur lorsque c'est possible et à rester vigilant face aux courriels de rançon et aux tentatives d'hameçonnage. Au moment de la divulgation, l'évaluation du périmètre de la fuite était toujours en cours.
Sources
- numerama.comhttps://www.numerama.com/cyberguerre/2120401-chantage-en-cours-sur-des-agents-et-fonctionnaires-de-letat-francais-des-hackers-ont-exfiltre-des-donnees-dune-plateforme-interministerielle.html
- franceinfo.frhttps://www.franceinfo.fr/internet/securite-sur-internet/cyberattaques/enquete-francetv-comment-deux-piratages-ont-permis-la-fuite-de-donnees-sensibles-sur-des-hauts-fonctionnaires-et-le-vol-d-armes-a-feu-dans-des-cambriolages_7641599.html
- lejournaleconomique.comhttps://www.lejournaleconomique.com/2025/11/20/des-hackers-exfiltrent-des-donnees-sensibles-chantage-sur-des-agents-et-fonctionnaires-de-letat-francais/
- lynxintel.iohttps://lynxintel.io/fr/resana-une-faille-dans-les-donnees-du-gouvernement-francais/