Alerte OFII : l’Office écrit aux internautes français impliqués par le piratage de leurs données
Posté : ven. 10 avr. 2026 08:15
Alerte OFII : l’Office écrit aux internautes français impliqués par le piratage de leurs données
Après le piratage de l’OFII, le risque immédiat n’est pas théorique. Le message adressé aux usagers en cet début du mois d’avril signale surtout l’ouverture possible d’une période propice aux escroqueries ciblées.
Le message adressé par l’Office français de l’immigration et de l’intégration en ce début du mois d’avril consulté par ZATAZ vise d’abord à prévenir un risque immédiat pour les personnes concernées. L’organisme y indique qu’un accès non autorisé a touché, le 1er janvier 2026, son outil de gestion du Contrat d’intégration républicaine. Certaines données personnelles ont été compromises, notamment des éléments d’identité et des coordonnées.
Ce que l’OFII dit, et ce que cela implique
Le point central du courrier est simple. Un tiers non autorisé a accédé à un outil interne lié au Contrat d’intégration républicaine. L’OFII ne détaille ni la faille exploitée, ni la durée de l’accès, ni le nombre exact de personnes concernées, mais l‘arrestation de deux présumés pirates français il y a quelques semaines donne déjà quelques indications. Cette retenue est classique dans les notifications de compromission, mais elle laisse aux destinataires une information essentielle et une zone d’incertitude. Le fait certain est la compromission. L’inconnue porte sur la profondeur réelle de l’accès et sur l’usage futur des données.
Le courrier énumère les catégories d’informations exposées. L’identité, l’adresse mail, le numéro de téléphone et, pour certains dossiers, l’adresse postale. Ce ne sont pas des données bancaires, ni des mots de passe. Mais en cybersécurité, cette distinction ne suffit pas à réduire fortement la menace. Une identité associée à des coordonnées directes constitue déjà une base solide pour mener des opérations d’ingénierie sociale. Surtout dans ce type de cible. Plus un escroc connaît d’éléments sur sa cible, plus son approche paraît légitime. Un faux agent, un faux service administratif ou un faux intermédiaire peut alors construire un message crédible, avec le bon ton, le bon contexte et parfois le bon prétexte
C’est précisément pour cela que le courrier insiste autant sur la vigilance. L’OFII écrit qu’il faut se méfier des sollicitations suspectes, qu’il s’agisse de mails, de SMS ou d’appels. Cette mise en garde n’a rien de formel. Elle désigne le scénario le plus probable après ce type d’incident. Une personne dont les coordonnées ont été compromises peut recevoir un message évoquant un dossier à compléter, une régularisation, une pièce manquante, une urgence administrative ou une somme à régler. La force de l’arnaque repose moins sur la technique que sur la crédibilité du contexte. Ici, cette crédibilité est renforcée par la nature même de l’organisme visé et par la sensibilité des situations administratives qu’il accompagne.
Pourquoi des pirates ont ciblé l’OFII ?
L’Office français de l’immigration et de l’intégration, l’OFII, est un établissement public français placé sous la tutelle du ministère de l’Intérieur.
Son rôle est d’accompagner plusieurs démarches liées à l’immigration et à l’accueil en France. Il intervient notamment pour l’accueil des étrangers autorisés à s’installer durablement, le Contrat d’intégration républicaine, certaines procédures de regroupement familial, l’aide au retour, ainsi que certaines missions liées à l’asile et à l’hébergement.
En clair, c’est un organisme administratif qui suit une partie des parcours de personnes étrangères en France, avec des dossiers contenant souvent des informations personnelles, sociales et administratives sensibles. C’est aussi pour cela qu’une compromission de ses données a une portée particulière.
Heureusement, à la différence de l’Office français de protection des réfugiés et apatrides, l’OFII n’a pas en charge les personnes demandant le statut de réfugié politique. Mais l’entité n’en reste pas moins sensible. Les pirates étaient-ils commandités par des « externes » ? L’OFII avait déjà été visé par une cyberattaque de type DDoS en janvier 2024, revendiquée par des hacktivistes pro-russes. « Direction la France. Le service d’administration des étrangers a été neutralisé« , avait alors relevé le service de veille et d’enquête de ZATAZ. Un message signé par des pirates pro-Kremlin, désormais supprimé, que je ne citerai malgré tout pas.
Pourquoi ce courrier est plus important que le reste
L’intérêt journalistique de cette affaire ne tient pas seulement à l’existence d’un piratage, ni même à l’ouverture d’une procédure judiciaire. Il tient d’abord au contenu et à la fonction du message envoyé aux personnes concernées. Ce courrier ne raconte pas l’attaque en détail. Il prépare les usagers à la phase suivante, celle où la donnée compromise devient un outil de manipulation.
Dans le cas présent, l’exposition d’éléments d’identité et de contact suffit à créer un risque élevé de phishing ciblé, d’usurpation et de pression psychologique. Une simple adresse mail ou un numéro de téléphone, replacé dans un cadre administratif sensible, peut devenir un levier puissant. L’enjeu, pour les auteurs de fraudes, n’est pas forcément de voler immédiatement de l’argent. Il peut s’agir d’obtenir des informations complémentaires, un document, un RIB, un justificatif ou un identifiant. Une fois ce premier pas franchi, l’attaque change d’échelle.
Après le piratage de l’OFII, le risque immédiat n’est pas théorique. Le message adressé aux usagers en cet début du mois d’avril signale surtout l’ouverture possible d’une période propice aux escroqueries ciblées.
Le message adressé par l’Office français de l’immigration et de l’intégration en ce début du mois d’avril consulté par ZATAZ vise d’abord à prévenir un risque immédiat pour les personnes concernées. L’organisme y indique qu’un accès non autorisé a touché, le 1er janvier 2026, son outil de gestion du Contrat d’intégration républicaine. Certaines données personnelles ont été compromises, notamment des éléments d’identité et des coordonnées.
Contents
Après le piratage de l’OFII, le risque immédiat n’est pas théorique. Le message adressé aux usagers en cet début du mois d’avril signale surtout l’ouverture possible d’une période propice aux escroqueries ciblées.
Ce que l’OFII dit, et ce que cela implique
Pourquoi des pirates ont ciblé l’OFII ?
Pourquoi ce courrier est plus important que le reste
Les données volées ont-elles été revendues ?
Ce que l’OFII dit, et ce que cela implique
Le point central du courrier est simple. Un tiers non autorisé a accédé à un outil interne lié au Contrat d’intégration républicaine. L’OFII ne détaille ni la faille exploitée, ni la durée de l’accès, ni le nombre exact de personnes concernées, mais l‘arrestation de deux présumés pirates français il y a quelques semaines donne déjà quelques indications. Cette retenue est classique dans les notifications de compromission, mais elle laisse aux destinataires une information essentielle et une zone d’incertitude. Le fait certain est la compromission. L’inconnue porte sur la profondeur réelle de l’accès et sur l’usage futur des données.
Le courrier énumère les catégories d’informations exposées. L’identité, l’adresse mail, le numéro de téléphone et, pour certains dossiers, l’adresse postale. Ce ne sont pas des données bancaires, ni des mots de passe. Mais en cybersécurité, cette distinction ne suffit pas à réduire fortement la menace. Une identité associée à des coordonnées directes constitue déjà une base solide pour mener des opérations d’ingénierie sociale. Surtout dans ce type de cible. Plus un escroc connaît d’éléments sur sa cible, plus son approche paraît légitime. Un faux agent, un faux service administratif ou un faux intermédiaire peut alors construire un message crédible, avec le bon ton, le bon contexte et parfois le bon prétexte.
C’est précisément pour cela que le courrier insiste autant sur la vigilance. L’OFII écrit qu’il faut se méfier des sollicitations suspectes, qu’il s’agisse de mails, de SMS ou d’appels. Cette mise en garde n’a rien de formel. Elle désigne le scénario le plus probable après ce type d’incident. Une personne dont les coordonnées ont été compromises peut recevoir un message évoquant un dossier à compléter, une régularisation, une pièce manquante, une urgence administrative ou une somme à régler. La force de l’arnaque repose moins sur la technique que sur la crédibilité du contexte. Ici, cette crédibilité est renforcée par la nature même de l’organisme visé et par la sensibilité des situations administratives qu’il accompagne.
Le courrier trace ensuite deux lignes rouges très claires. L’OFII ne demandera jamais vos mots de passe. L’OFII ne formulera jamais de demande de paiement ni de demande de coordonnées bancaires ou d’informations similaires, y compris pour les redevances liées au regroupement familial. Cette précision est capitale. Elle ne sert pas seulement à rassurer. Elle fournit aux usagers un critère de tri immédiat. Toute sollicitation de ce type doit être considérée comme suspecte.
Pourquoi des pirates ont ciblé l’OFII ?
L’Office français de l’immigration et de l’intégration, l’OFII, est un établissement public français placé sous la tutelle du ministère de l’Intérieur.
Son rôle est d’accompagner plusieurs démarches liées à l’immigration et à l’accueil en France. Il intervient notamment pour l’accueil des étrangers autorisés à s’installer durablement, le Contrat d’intégration républicaine, certaines procédures de regroupement familial, l’aide au retour, ainsi que certaines missions liées à l’asile et à l’hébergement.
En clair, c’est un organisme administratif qui suit une partie des parcours de personnes étrangères en France, avec des dossiers contenant souvent des informations personnelles, sociales et administratives sensibles. C’est aussi pour cela qu’une compromission de ses données a une portée particulière.
Heureusement, à la différence de l’Office français de protection des réfugiés et apatrides, l’OFII n’a pas en charge les personnes demandant le statut de réfugié politique. Mais l’entité n’en reste pas moins sensible. Les pirates étaient-ils commandités par des « externes » ? L’OFII avait déjà été visé par une cyberattaque de type DDoS en janvier 2024, revendiquée par des hacktivistes pro-russes. « Direction la France. Le service d’administration des étrangers a été neutralisé« , avait alors relevé le service de veille et d’enquête de ZATAZ. Un message signé par des pirates pro-Kremlin, désormais supprimé, que je ne citerai malgré tout pas.
Pourquoi ce courrier est plus important que le reste
L’intérêt journalistique de cette affaire ne tient pas seulement à l’existence d’un piratage, ni même à l’ouverture d’une procédure judiciaire. Il tient d’abord au contenu et à la fonction du message envoyé aux personnes concernées. Ce courrier ne raconte pas l’attaque en détail. Il prépare les usagers à la phase suivante, celle où la donnée compromise devient un outil de manipulation. Dans beaucoup d’incidents cyber, le préjudice principal n’est pas l’accès initial, mais l’exploitation secondaire de ce qui a été vu, copié ou extrait comme ZATAZ a pu vous le montrer ICI, ou encore Là et dans cet article.
Dans le cas présent, l’exposition d’éléments d’identité et de contact suffit à créer un risque élevé de phishing ciblé, d’usurpation et de pression psychologique. Une simple adresse mail ou un numéro de téléphone, replacé dans un cadre administratif sensible, peut devenir un levier puissant. L’enjeu, pour les auteurs de fraudes, n’est pas forcément de voler immédiatement de l’argent. Il peut s’agir d’obtenir des informations complémentaires, un document, un RIB, un justificatif ou un identifiant. Une fois ce premier pas franchi, l’attaque change d’échelle.
Les éléments de contexte judiciaire existent, mais ils restent secondaires par rapport à ce message d’alerte. Deux suspects de 20 et 17 ans ont été mis en examen à Paris, jeudi 19 mars 2026, dans une enquête liée à l’attaque du 1er janvier 2026. Selon les éléments fournis, ils sont soupçonnés d’avoir exploité une faille du système avant de diffuser des extraits de documents dérobés. Leurs téléphones et leur matériel ont été saisis. Cette séquence éclaire la dimension pénale du dossier. Elle ne change pas le point le plus concret pour les usagers : les données ont quitté leur cadre normal de protection et peuvent désormais être utilisées pour des approches malveillantes.
C’est ce basculement qui donne toute sa portée au courrier. L’OFII ne dit pas seulement qu’un incident a eu lieu. Il avertit, en creux, que toute communication future prétendant agir en son nom doit être examinée avec une prudence accrue. L’adresse de l’expéditeur devient un indice, le ton d’urgence un signal faible, la demande d’argent ou d’informations personnelles un marqueur d’arnaque. Dans cette affaire, la valeur des données exposées ne vient pas d’un secret spectaculaire. Elle vient de leur capacité à rendre un mensonge plus convaincant.
Les données volées ont-elles été revendues ?
Selon les informations du Service de veille ZATAZ, la cyber attaque ayant visé l’OFII le 1er janvier 2026 a connu sa premiére vente moins de 24 heures aprés l’intrusion. Sur le forum Leakbase, fermé depuis par les autorités et dont l’administrateur russe semble avoir été arrêté par les autorités locales il y a quelques jours, une base de données de 2,1 millions de lignes (1 Go) avait été mise en vente par un pirate du nom de ZegZeg. Ce même pirate va tenter une seconde vente, en affichant cette fois 2.3 millions de lignes et 2.1 millions de données effectives le 12 février 2026. Toujours selon les analyses du Service de veille et enquêtes de ZATAZ, ce même pirate Ce même pirate avait exfiltré les données des réservistes de l’éducation nationale de la région de Rennes, ainsi que du personnelle de l’académie d’Orléans à l’été 2025.
merci à ZATAZ
Après le piratage de l’OFII, le risque immédiat n’est pas théorique. Le message adressé aux usagers en cet début du mois d’avril signale surtout l’ouverture possible d’une période propice aux escroqueries ciblées.Le message adressé par l’Office français de l’immigration et de l’intégration en ce début du mois d’avril consulté par ZATAZ vise d’abord à prévenir un risque immédiat pour les personnes concernées. L’organisme y indique qu’un accès non autorisé a touché, le 1er janvier 2026, son outil de gestion du Contrat d’intégration républicaine. Certaines données personnelles ont été compromises, notamment des éléments d’identité et des coordonnées.
Ce que l’OFII dit, et ce que cela implique
Le point central du courrier est simple. Un tiers non autorisé a accédé à un outil interne lié au Contrat d’intégration républicaine. L’OFII ne détaille ni la faille exploitée, ni la durée de l’accès, ni le nombre exact de personnes concernées, mais l‘arrestation de deux présumés pirates français il y a quelques semaines donne déjà quelques indications. Cette retenue est classique dans les notifications de compromission, mais elle laisse aux destinataires une information essentielle et une zone d’incertitude. Le fait certain est la compromission. L’inconnue porte sur la profondeur réelle de l’accès et sur l’usage futur des données.
Le courrier énumère les catégories d’informations exposées. L’identité, l’adresse mail, le numéro de téléphone et, pour certains dossiers, l’adresse postale. Ce ne sont pas des données bancaires, ni des mots de passe. Mais en cybersécurité, cette distinction ne suffit pas à réduire fortement la menace. Une identité associée à des coordonnées directes constitue déjà une base solide pour mener des opérations d’ingénierie sociale. Surtout dans ce type de cible. Plus un escroc connaît d’éléments sur sa cible, plus son approche paraît légitime. Un faux agent, un faux service administratif ou un faux intermédiaire peut alors construire un message crédible, avec le bon ton, le bon contexte et parfois le bon prétexte
C’est précisément pour cela que le courrier insiste autant sur la vigilance. L’OFII écrit qu’il faut se méfier des sollicitations suspectes, qu’il s’agisse de mails, de SMS ou d’appels. Cette mise en garde n’a rien de formel. Elle désigne le scénario le plus probable après ce type d’incident. Une personne dont les coordonnées ont été compromises peut recevoir un message évoquant un dossier à compléter, une régularisation, une pièce manquante, une urgence administrative ou une somme à régler. La force de l’arnaque repose moins sur la technique que sur la crédibilité du contexte. Ici, cette crédibilité est renforcée par la nature même de l’organisme visé et par la sensibilité des situations administratives qu’il accompagne.
Pourquoi des pirates ont ciblé l’OFII ?L’Office français de l’immigration et de l’intégration, l’OFII, est un établissement public français placé sous la tutelle du ministère de l’Intérieur.
Son rôle est d’accompagner plusieurs démarches liées à l’immigration et à l’accueil en France. Il intervient notamment pour l’accueil des étrangers autorisés à s’installer durablement, le Contrat d’intégration républicaine, certaines procédures de regroupement familial, l’aide au retour, ainsi que certaines missions liées à l’asile et à l’hébergement.
En clair, c’est un organisme administratif qui suit une partie des parcours de personnes étrangères en France, avec des dossiers contenant souvent des informations personnelles, sociales et administratives sensibles. C’est aussi pour cela qu’une compromission de ses données a une portée particulière.
Heureusement, à la différence de l’Office français de protection des réfugiés et apatrides, l’OFII n’a pas en charge les personnes demandant le statut de réfugié politique. Mais l’entité n’en reste pas moins sensible. Les pirates étaient-ils commandités par des « externes » ? L’OFII avait déjà été visé par une cyberattaque de type DDoS en janvier 2024, revendiquée par des hacktivistes pro-russes. « Direction la France. Le service d’administration des étrangers a été neutralisé« , avait alors relevé le service de veille et d’enquête de ZATAZ. Un message signé par des pirates pro-Kremlin, désormais supprimé, que je ne citerai malgré tout pas.
Pourquoi ce courrier est plus important que le resteL’intérêt journalistique de cette affaire ne tient pas seulement à l’existence d’un piratage, ni même à l’ouverture d’une procédure judiciaire. Il tient d’abord au contenu et à la fonction du message envoyé aux personnes concernées. Ce courrier ne raconte pas l’attaque en détail. Il prépare les usagers à la phase suivante, celle où la donnée compromise devient un outil de manipulation.
Dans le cas présent, l’exposition d’éléments d’identité et de contact suffit à créer un risque élevé de phishing ciblé, d’usurpation et de pression psychologique. Une simple adresse mail ou un numéro de téléphone, replacé dans un cadre administratif sensible, peut devenir un levier puissant. L’enjeu, pour les auteurs de fraudes, n’est pas forcément de voler immédiatement de l’argent. Il peut s’agir d’obtenir des informations complémentaires, un document, un RIB, un justificatif ou un identifiant. Une fois ce premier pas franchi, l’attaque change d’échelle.
Après le piratage de l’OFII, le risque immédiat n’est pas théorique. Le message adressé aux usagers en cet début du mois d’avril signale surtout l’ouverture possible d’une période propice aux escroqueries ciblées.
Le message adressé par l’Office français de l’immigration et de l’intégration en ce début du mois d’avril consulté par ZATAZ vise d’abord à prévenir un risque immédiat pour les personnes concernées. L’organisme y indique qu’un accès non autorisé a touché, le 1er janvier 2026, son outil de gestion du Contrat d’intégration républicaine. Certaines données personnelles ont été compromises, notamment des éléments d’identité et des coordonnées.
Contents
Après le piratage de l’OFII, le risque immédiat n’est pas théorique. Le message adressé aux usagers en cet début du mois d’avril signale surtout l’ouverture possible d’une période propice aux escroqueries ciblées.
Ce que l’OFII dit, et ce que cela implique
Pourquoi des pirates ont ciblé l’OFII ?
Pourquoi ce courrier est plus important que le reste
Les données volées ont-elles été revendues ?
Ce que l’OFII dit, et ce que cela implique
Le point central du courrier est simple. Un tiers non autorisé a accédé à un outil interne lié au Contrat d’intégration républicaine. L’OFII ne détaille ni la faille exploitée, ni la durée de l’accès, ni le nombre exact de personnes concernées, mais l‘arrestation de deux présumés pirates français il y a quelques semaines donne déjà quelques indications. Cette retenue est classique dans les notifications de compromission, mais elle laisse aux destinataires une information essentielle et une zone d’incertitude. Le fait certain est la compromission. L’inconnue porte sur la profondeur réelle de l’accès et sur l’usage futur des données.
Le courrier énumère les catégories d’informations exposées. L’identité, l’adresse mail, le numéro de téléphone et, pour certains dossiers, l’adresse postale. Ce ne sont pas des données bancaires, ni des mots de passe. Mais en cybersécurité, cette distinction ne suffit pas à réduire fortement la menace. Une identité associée à des coordonnées directes constitue déjà une base solide pour mener des opérations d’ingénierie sociale. Surtout dans ce type de cible. Plus un escroc connaît d’éléments sur sa cible, plus son approche paraît légitime. Un faux agent, un faux service administratif ou un faux intermédiaire peut alors construire un message crédible, avec le bon ton, le bon contexte et parfois le bon prétexte.
C’est précisément pour cela que le courrier insiste autant sur la vigilance. L’OFII écrit qu’il faut se méfier des sollicitations suspectes, qu’il s’agisse de mails, de SMS ou d’appels. Cette mise en garde n’a rien de formel. Elle désigne le scénario le plus probable après ce type d’incident. Une personne dont les coordonnées ont été compromises peut recevoir un message évoquant un dossier à compléter, une régularisation, une pièce manquante, une urgence administrative ou une somme à régler. La force de l’arnaque repose moins sur la technique que sur la crédibilité du contexte. Ici, cette crédibilité est renforcée par la nature même de l’organisme visé et par la sensibilité des situations administratives qu’il accompagne.
Le courrier trace ensuite deux lignes rouges très claires. L’OFII ne demandera jamais vos mots de passe. L’OFII ne formulera jamais de demande de paiement ni de demande de coordonnées bancaires ou d’informations similaires, y compris pour les redevances liées au regroupement familial. Cette précision est capitale. Elle ne sert pas seulement à rassurer. Elle fournit aux usagers un critère de tri immédiat. Toute sollicitation de ce type doit être considérée comme suspecte.
Pourquoi des pirates ont ciblé l’OFII ?
L’Office français de l’immigration et de l’intégration, l’OFII, est un établissement public français placé sous la tutelle du ministère de l’Intérieur.
Son rôle est d’accompagner plusieurs démarches liées à l’immigration et à l’accueil en France. Il intervient notamment pour l’accueil des étrangers autorisés à s’installer durablement, le Contrat d’intégration républicaine, certaines procédures de regroupement familial, l’aide au retour, ainsi que certaines missions liées à l’asile et à l’hébergement.
En clair, c’est un organisme administratif qui suit une partie des parcours de personnes étrangères en France, avec des dossiers contenant souvent des informations personnelles, sociales et administratives sensibles. C’est aussi pour cela qu’une compromission de ses données a une portée particulière.
Heureusement, à la différence de l’Office français de protection des réfugiés et apatrides, l’OFII n’a pas en charge les personnes demandant le statut de réfugié politique. Mais l’entité n’en reste pas moins sensible. Les pirates étaient-ils commandités par des « externes » ? L’OFII avait déjà été visé par une cyberattaque de type DDoS en janvier 2024, revendiquée par des hacktivistes pro-russes. « Direction la France. Le service d’administration des étrangers a été neutralisé« , avait alors relevé le service de veille et d’enquête de ZATAZ. Un message signé par des pirates pro-Kremlin, désormais supprimé, que je ne citerai malgré tout pas.
Pourquoi ce courrier est plus important que le reste
L’intérêt journalistique de cette affaire ne tient pas seulement à l’existence d’un piratage, ni même à l’ouverture d’une procédure judiciaire. Il tient d’abord au contenu et à la fonction du message envoyé aux personnes concernées. Ce courrier ne raconte pas l’attaque en détail. Il prépare les usagers à la phase suivante, celle où la donnée compromise devient un outil de manipulation. Dans beaucoup d’incidents cyber, le préjudice principal n’est pas l’accès initial, mais l’exploitation secondaire de ce qui a été vu, copié ou extrait comme ZATAZ a pu vous le montrer ICI, ou encore Là et dans cet article.
Dans le cas présent, l’exposition d’éléments d’identité et de contact suffit à créer un risque élevé de phishing ciblé, d’usurpation et de pression psychologique. Une simple adresse mail ou un numéro de téléphone, replacé dans un cadre administratif sensible, peut devenir un levier puissant. L’enjeu, pour les auteurs de fraudes, n’est pas forcément de voler immédiatement de l’argent. Il peut s’agir d’obtenir des informations complémentaires, un document, un RIB, un justificatif ou un identifiant. Une fois ce premier pas franchi, l’attaque change d’échelle.
Les éléments de contexte judiciaire existent, mais ils restent secondaires par rapport à ce message d’alerte. Deux suspects de 20 et 17 ans ont été mis en examen à Paris, jeudi 19 mars 2026, dans une enquête liée à l’attaque du 1er janvier 2026. Selon les éléments fournis, ils sont soupçonnés d’avoir exploité une faille du système avant de diffuser des extraits de documents dérobés. Leurs téléphones et leur matériel ont été saisis. Cette séquence éclaire la dimension pénale du dossier. Elle ne change pas le point le plus concret pour les usagers : les données ont quitté leur cadre normal de protection et peuvent désormais être utilisées pour des approches malveillantes.
C’est ce basculement qui donne toute sa portée au courrier. L’OFII ne dit pas seulement qu’un incident a eu lieu. Il avertit, en creux, que toute communication future prétendant agir en son nom doit être examinée avec une prudence accrue. L’adresse de l’expéditeur devient un indice, le ton d’urgence un signal faible, la demande d’argent ou d’informations personnelles un marqueur d’arnaque. Dans cette affaire, la valeur des données exposées ne vient pas d’un secret spectaculaire. Elle vient de leur capacité à rendre un mensonge plus convaincant.
Les données volées ont-elles été revendues ?
Selon les informations du Service de veille ZATAZ, la cyber attaque ayant visé l’OFII le 1er janvier 2026 a connu sa premiére vente moins de 24 heures aprés l’intrusion. Sur le forum Leakbase, fermé depuis par les autorités et dont l’administrateur russe semble avoir été arrêté par les autorités locales il y a quelques jours, une base de données de 2,1 millions de lignes (1 Go) avait été mise en vente par un pirate du nom de ZegZeg. Ce même pirate va tenter une seconde vente, en affichant cette fois 2.3 millions de lignes et 2.1 millions de données effectives le 12 février 2026. Toujours selon les analyses du Service de veille et enquêtes de ZATAZ, ce même pirate Ce même pirate avait exfiltré les données des réservistes de l’éducation nationale de la région de Rennes, ainsi que du personnelle de l’académie d’Orléans à l’été 2025.
merci à ZATAZ