Synthèse de l'incident
Le 16 janvier 2026, la Direction interministérielle du numérique (DINUM) a confirmé une intrusion majeure sur HubEE (Hub d'Échange de l'État), la plateforme centrale qui assure le transit des documents administratifs entre les services de l'État et les usagers via Service-public.gouv.fr. Entre le 4 et le 9 janvier 2026, un attaquant a exfiltré 160 000 documents issus de 70 000 dossiers de citoyens français, sans perturber le fonctionnement du service.
HubEE est la « poste électronique de l'État » : elle achemine les pièces justificatives entre mairies, conseils départementaux, ministères et opérateurs sociaux. Compromettre ce hub, c'est accéder à l'ensemble des flux documentaires de l'administration française.
L'incident s'inscrit dans une série noire pour la cybersécurité publique française en 2025-2026 : après France Travail (43 millions de dossiers compromis), l'OFII (2,1 millions de dossiers d'immigration) et l'Urssaf, c'est désormais le cœur même de l'infrastructure d'échange de l'État qui est touché.
Qu'est-ce que HubEE ?
HubEE est une plateforme opérée par la DINUM qui sert d'intermédiaire pour le transfert de documents entre les usagers et les administrations. Lorsqu'un citoyen effectue une démarche en ligne sur Service-public.gouv.fr — changement d'adresse, demande d'aide sociale, inscription à un service public —, les pièces justificatives transitent par HubEE avant d'être routées vers l'administration compétente.
La plateforme constitue un point unique de convergence documentaire (Single Point of Failure) : une compromission donne potentiellement accès aux flux de l'ensemble des administrations connectées.
Administrations touchées
L'exfiltration a concerné les flux documentaires de quatre entités majeures :
- DILA (Direction de l'information légale et administrative) : opérateur de Service-public.gouv.fr et de Légifrance, la DILA gère les démarches administratives en ligne de millions de Français.
- CNAF (Caisse nationale des allocations familiales) : gestionnaire des aides sociales (APL, RSA, allocations familiales), dont les dossiers contiennent des données financières et familiales sensibles.
- DGCS (Direction générale de la cohésion sociale) : en charge des politiques d'inclusion, de famille et de protection de l'enfance.
- DGS (Direction générale de la santé) : tutelle des politiques de santé publique.
Nature des données compromises
Les 160 000 documents exfiltrés proviennent de démarches administratives effectuées par des citoyens. Leur nature est particulièrement sensible :
- Pièces d'identité : copies de CNI, passeports, titres de séjour — utilisables pour l'usurpation d'identité.
- Justificatifs de revenus : avis d'imposition, bulletins de salaire, attestations employeur — exploitables pour la fraude au crédit ou aux aides sociales.
- Documents sociaux : demandes d'allocations, attestations de droits, situations familiales — levier pour le social engineering ciblé.
- Données d'identification : noms, prénoms, adresses, numéros de dossier — base pour des campagnes de phishing personnalisées.
Contrairement à une fuite de mots de passe que l'on peut réinitialiser, une pièce d'identité compromise reste exploitable pendant toute sa durée de validité — jusqu'à 15 ans pour une CNI française.
Chronologie de l'attaque
- 4 janvier 2026 : début de l'intrusion. L'attaquant accède à HubEE en exploitant des mécanismes légitimes du système, sans déclencher d'alerte.
- 4-9 janvier : exfiltration progressive de 160 000 documents sur 5 jours, sans perturbation du service — signe d'une opération discrète et maîtrisée.
- 9 janvier : la DINUM détecte l'intrusion et coupe immédiatement l'accès de l'attaquant.
- 9-12 janvier : mesures conservatoires, réinitialisation générale des mots de passe, mise en place du MFA obligatoire pour les comptes administrateurs.
- 12 janvier : remise en service complète de la plateforme. Dépôt de plainte auprès de la police judiciaire.
- 16 janvier : confirmation publique de l'incident par la DINUM. Notifications à la CNIL, à l'ANSSI et au Premier ministre.
Analyse technique : une intrusion furtive
Plusieurs éléments de l'attaque méritent attention :
Exploitation de mécanismes légitimes
L'attaquant n'a pas utilisé de vulnérabilité zero-day spectaculaire. Selon les informations disponibles, il a exploité des mécanismes de confiance hérités au sein de l'architecture HubEE — probablement des identifiants de prestataire ou des accès API insuffisamment cloisonnés. Cette approche, dite Living off the Land, utilise les outils et les droits existants pour se fondre dans le trafic normal.
Absence de perturbation du service
L'exfiltration s'est déroulée pendant 5 jours sans impact visible sur les performances de la plateforme. Cela suggère un débit d'extraction calibré pour rester sous les seuils de détection, ou l'absence de supervision volumétrique sur les flux sortants.
Point unique de défaillance
HubEE centralise les flux documentaires de dizaines d'administrations. Cette architecture en étoile, optimisée pour la simplicité opérationnelle, crée un point unique de défaillance (SPOF) critique : une seule compromission expose l'ensemble des administrations connectées. C'est le revers de la centralisation numérique de l'État.
Risques pour les citoyens concernés
Usurpation d'identité
Les copies de pièces d'identité exfiltrées permettent d'ouvrir des comptes bancaires, de souscrire des crédits ou de réaliser des démarches administratives au nom des victimes. Ce risque persiste pendant des années, bien au-delà de l'incident initial.
Fraude aux prestations sociales
Les justificatifs de revenus et les données de la CAF constituent une mine d'or pour la fraude aux aides sociales : ouverture de droits fictifs, modification d'adresses de versement, usurpation de dossiers existants.
Phishing ultra-ciblé
Un attaquant connaissant le nom, l'adresse, le numéro de dossier CAF et la situation familiale d'un citoyen peut construire des emails de phishing d'un réalisme redoutable, imitant parfaitement les communications officielles de la CAF ou de Service-public.gouv.fr.
Revente sur le dark web
À ce jour, les données n'ont pas été publiées par les attaquants. Cela n'exclut pas une revente discrète à des réseaux spécialisés dans la fraude documentaire, l'usurpation d'identité ou le renseignement économique.
Recommandations de sécurité
Pour les administrations et opérateurs de plateformes centralisées
- Segmenter les flux par niveau de sensibilité : les documents d'identité ne doivent pas transiter par les mêmes canaux que les formulaires de changement d'adresse. Un cloisonnement par classification des données limite le rayon d'une compromission.
- Chiffrer les documents en transit et au repos : même en cas d'accès non autorisé à la plateforme, le chiffrement rend les documents inexploitables sans la clé de déchiffrement.
- Superviser les volumes de téléchargement : un système de détection des exfiltrations (DLP) aurait pu alerter sur l'extraction anormale de 160 000 fichiers en 5 jours.
- Imposer le MFA à tous les niveaux : pas seulement pour les administrateurs, mais pour tous les comptes ayant accès aux flux documentaires, y compris les prestataires.
- Auditer les accès tiers : les prestataires et sous-traitants connectés à une plateforme critique doivent faire l'objet d'un contrôle régulier de leurs accès, de leurs pratiques de sécurité et de la légitimité de leurs droits.
Pour les citoyens potentiellement concernés
- Surveiller vos comptes bancaires et vos relevés de prestations sociales pour détecter toute activité suspecte.
- Déposer une pré-plainte en ligne sur le site du ministère de l'Intérieur si vous pensez être concerné.
- Activer les alertes fraude auprès de la Banque de France (fichier FICP) et de votre banque.
- Redoubler de vigilance face aux emails prétendant provenir de la CAF, de Service-public.gouv.fr ou d'autres administrations. Vérifiez systématiquement l'URL avant de cliquer.
Enseignements clés
L'affaire HubEE illustre un paradoxe fondamental de la transformation numérique de l'État : la centralisation simplifie l'expérience usager mais concentre le risque. Une seule plateforme compromise expose les flux de dizaines d'administrations et les données de dizaines de milliers de citoyens.
L'absence de chiffrement des documents au repos, l'insuffisance de la supervision des flux sortants et le délai de 5 jours avant détection révèlent des lacunes qui ne sont pas propres à HubEE, mais systémiques dans de nombreuses infrastructures publiques françaises.
Quand une plateforme d'échange centralise les pièces d'identité de millions de citoyens sans chiffrement de bout en bout, ce n'est pas une question de « si » mais de « quand » elle sera compromise.
La réponse de la DINUM — réinitialisation des mots de passe et MFA obligatoire pour les administrateurs — est un premier pas nécessaire, mais insuffisant. C'est l'architecture même des plateformes d'échange de l'État qui doit être repensée autour des principes de Zero Trust, de chiffrement systématique et de supervision en temps réel des flux de données.
Sources
- Clubic — L'État confirme la cyberattaque : 160 000 documents sensibles récupérés par les pirates
- L'Usine Digitale — Cyberattaque HubEE : la plateforme d'échange de l'État victime d'un vol de 160 000 fichiers
- Freemindtronic — Cyberattaque HubEE : rupture silencieuse de la confiance numérique
- DINUM — Communiqué officiel incident HubEE
Sécurisez vos plateformes d'échange
Votre organisation exploite des plateformes centralisées pour le transit de données sensibles ? Les experts C-DIM vous accompagnent dans l'audit de votre architecture, la mise en place de dispositifs de détection d'exfiltration et l'application des principes Zero Trust.
Contactez C-DIMOu écrivez-nous directement à contact@c-dim.fr