Le 9 juin 2026, une opération nationale a frappé Dumpsec, collectif français accusé d’avoir dérobé et revendu plusieurs dizaines de millions de données sensibles.Le démantèlement du groupe de pirates informatiques français Dumpsec marque une étape importante dans une enquête ouverte en novembre 2025 par le parquet de Paris. Sept personnes ont été interpellées simultanément sur le territoire français. Le groupe est soupçonné d’avoir ciblé des organismes publics, des entreprises, des fédérations sportives et des plateformes médicales. Derrière leurs pseudonymes, les suspects revendiquaient publiquement certaines attaques et proposaient des informations volées sur des forums spécialisés.
Une enquête construite depuis Rennes
L’affaire débute en novembre 2025, après une cyberattaque visant une entreprise rennaise. La section J3 du parquet de Paris, spécialisée dans la lutte contre la cybercriminalité, saisit alors l’Office anti-cybercriminalité. Les investigations sont confiées à son antenne de Rennes, chargée de centraliser les faits signalés sur l’ensemble du territoire.
Ce rapprochement fait progressivement apparaître une série d’intrusions attribuées au même collectif. Les cyber-enquêteurs identifient plus de 500 sociétés ou organismes touchés directement, ou affectés par l’intermédiaire d’un prestataire compromis. Une autre estimation communiquée après les interpellations évoque plus de 1 500 entités potentiellement visées. Cet écart peut refléter des périmètres distincts : victimes confirmées d’un côté, cibles possibles ou données découvertes durant l’enquête de l’autre. Il faut savoir que cette bande de cyber criminelles gardées des informations qu’elles diffusaient au fil du temps.
Parmi les noms cités figurent un espace de l’Assemblée nationale, Leroy Merlin, l’Éducation nationale, des centres régionaux des œuvres universitaires et scolaires, plusieurs fédérations sportives ainsi que des sites liés au secteur médical. Cette diversité illustre une stratégie fondée sur l’opportunité. Une organisation publique, un commerce national ou un service de santé peuvent exposer des informations différentes, dont la valeur dépend de leur nature, de leur fraîcheur et des possibilités de recoupement. Même motivation que le pirate HexDex, Breach3D, Angel_Batista. A noter que ces données finissaient dans des LookUp, souvent exploités par les mêmes personnes. ZATAZ vous montrait, il y a peu, l’intérieur de ce business pas comme les autres.
Le préjudice annoncé ne se limite pas au nombre d’organismes concernés. Plusieurs dizaines de millions de données auraient été exfiltrées. Ce volume ne correspond pas nécessairement à autant de personnes distinctes. Une même identité peut apparaître dans plusieurs fichiers, avec une adresse électronique, un numéro de téléphone, un identifiant ou d’autres renseignements associés. L’enjeu réside aussi dans la combinaison de ces éléments, susceptible de faciliter des fraudes, des campagnes d’hameçonnage ou des tentatives d’usurpation. Sans parler, donc, de ces fameux LookUp, dont le trés (trop) médiatique Searcher.Dumpsec aurait exploité ses vols comme un instrument de notoriété. Le collectif revendiquait ses opérations dans les médias et cherchait à amplifier ses messages sur les réseaux sociaux. Des internautes (des « influenceurs » étaient sollicités afin de relayer ces publications). Les informations dérobées étaient ensuite proposées sur des espaces spécialisés, notamment BreachForums, présenté comme un lieu d’échange et de commercialisation de données compromises.
Des traces numériques jusqu’aux suspects
L’anonymat affiché par Dumpsec constituait l’un des piliers de sa communication. Ses membres semblaient persuadés que les pseudonymes, les plateformes clandestines et la dispersion des opérations suffiraient à empêcher leur identification. L’enquête a suivi une logique inverse : accumuler les traces, rapprocher les incidents et rechercher les éléments communs laissés au cours des attaques. Discord, Telegram, Etc. Plus le filet est gros, plus les files se rejoignent.
L’analyse des indices de compromission a joué un rôle central. Ces indices peuvent correspondre à des adresses techniques, des comptes, des fichiers, des modes opératoires ou des connexions observées dans plusieurs systèmes. Pris séparément, chacun apporte une information limitée. Leur confrontation permet toutefois de reconstruire une chronologie et d’établir des rapprochements entre différentes intrusions.
Avec l’appui de son plateau technique, l’Office anti-cybercriminalité est parvenu à identifier puis localiser sept personnes. Selon Julie Benoit, commissaire et cheffe du pôle des enquêtes cyber à l’OFAC, les profils seraient jeunes, parfois mineurs et souvent autodidactes. Leur motivation aurait mêlé recherche de reconnaissance, exposition médiatique et sentiment d’impunité comme ZATAZ a pu vous le montrer dans les interviews de Hexdex, Angel_Batista ou encore Breach3d.Le mardi 9 juin 2026, les sept suspects ont été interpellés lors d’une opération coordonnée. Le dispositif associait l’échelon central de l’OFAC, son antenne rennaise, les implantations de Lille, Strasbourg, Bordeaux et Marseille, ainsi que le détachement de Limoges. Des interventions ont également été signalées à Poitiers. Cette mobilisation simultanée visait à éviter la disparition de preuves, la destruction de supports numériques ou la concertation entre les personnes recherchées.
Les saisies réalisées lors de telles opérations peuvent devenir déterminantes pour la suite judiciaire. Ordinateurs, téléphones, comptes en ligne et supports de stockage sont susceptibles de préciser les rôles, les accès utilisés, les données récupérées et les éventuelles transactions. Les interpellations ne suffisent donc pas, à elles seules, à clôturer le travail technique. Elles ouvrent une nouvelle phase consacrée à l’exploitation des éléments recueillis et à l’attribution précise des faits.
Cette affaire met aussi en évidence l’intérêt d’un maillage territorial spécialisé. Des victimes dispersées peuvent considérer chaque intrusion comme un incident isolé. Leur centralisation révèle parfois une campagne structurée, des outils communs et des acteurs récurrents. La coopération entre antennes permet alors de transformer une série de signalements locaux en enquête nationale.
Le coup porté à Dumpsec rappelle enfin qu’une identité numérique fragmentée n’efface ni les erreurs opérationnelles ni les traces cumulées. En cyber-renseignement, la patience analytique peut finir par lever l’anonymat revendiqué… surtout quand on croit malin d’attaquer des entités françaises avec un logo affichant le drapeau Russe comme a pu le constater ZATAZ, pendant des mois !
merci à ZATAZ
