L'Office anti-cybercriminalité met en examen deux suspects, dont un mineur, pour vol de millions de données.
Deux hackers présumés, âgés de **22 ans** et **15 ans**, sont mis en examen après le démantèlement du groupe **Dumpsec** qui a ciblé l'Assemblée nationale, Leroy Merlin et des millions de données sensibles. Une affaire qui illustre la **jeunesse** et la **massification** du cybercrime.
L'analyse
📌 **FAITS**
- Le 9 juin 2026, l'Office anti-cybercriminalité (OFAC) procède à l'arrestation de sept membres présumés du groupe Dumpsec dans plusieurs villes (Lille, Marseille, Strasbourg, Bordeaux, Limoges, Poitiers).
- Deux d'entre eux – un homme de 22 ans et un mineur de 15 ans – sont mis en examen pour « atteintes à un système automatisé de données ».
- Le groupe est soupçonné d'avoir piraté plus de 1 500 organisations et dérobé des dizaines de millions de données depuis fin 2025.
- Parmi les cibles : l'Assemblée nationale, Leroy Merlin (centaines de milliers de clients), le Cnous (774 000 étudiants), le ministère de l'Éducation nationale (3,5 millions d'élèves, 7,2 millions de bulletins scolaires) et Cegedim Santé (15 millions de Français).
📍 **CONTEXTE**
- Les cyberattaques « de masse » par des mineurs ou jeunes majeurs autodidactes sont en forte hausse, facilitées par des forums et des outils de piratage accessibles.
- En 2021, l'affaire des hackers de « ShinyHunters » avait déjà illustré cette tendance, mais avec des cibles majoritairement américaines.
- Aujourd'hui, la France devient un terrain d'action privilégié pour ces groupes en quête de notoriété, comme le montre la revendication médiatique de Dumpsec.
👥 **ACTEURS**
- **Office anti-cybercriminalité (OFAC)** : a coordonné les arrestations après analyse des indices de compromission.
- **Les deux suspects mis en examen** : un majeur de 22 ans et un mineur de 15 ans, décrits comme « autodidactes et totalement décomplexés » par les enquêteurs.
- **Le groupe Dumpsec** : composé de sept jeunes hackers, il revendiquait ses attaques dans les médias tout en opérant sous couvert d'anonymat.
📊 **ENJEUX**
- **Pour les citoyens** : des données personnelles massives (bulletins scolaires, données de santé, identifiants clients) sont compromises, augmentant les risques d'usurpation d'identité et de hameçonnage.
- **Pour les entreprises** : les vulnérabilités non corrigées et les accès compromis sont exploités en série ; la confiance des clients est ébranlée.
- **Pour les institutions** : le piratage de l'Assemblée nationale et du ministère de l'Éducation nationale révèle une fragilité des systèmes publics.
- **Pour la justice** : le statut de mineur du second suspect pose la question de la proportionnalité des peines et de la responsabilisation pénale.
🔮 **PERSPECTIVES**
- **Scénario tendanciel** : multiplication des groupes de hackers très jeunes, attirés par la notoriété rapide, avec des conséquences judiciaires limitées (peines courtes pour mineurs).
- **Scénario de rupture** : durcissement des lois et investissements massifs dans la cybersécurité des institutions, accompagnés de campagnes de prévention dans les collèges et lycées.
- **Ce qu'il faut surveiller** : les prochaines révélations sur les données volées, l'évolution du dossier judiciaire (comparution, jugement) et d'éventuelles arrestations complémentaires.
Contexte
Similaire à l'affaire des hackers de 'ShinyHunters' en 2021, mais avec des suspects plus jeunes et des cibles françaises.
Pourquoi c'est important
Ce démantèlement montre que des adolescents peuvent aujourd'hui orchestrer des fuites de données massives, mettant en danger les informations personnelles de millions de Français (bulletins scolaires, données médicales, comptes clients). Pour le citoyen, c'est un signal d'alarme sur la nécessité de renforcer la cybersécurité des services publics et privés qu'il utilise quotidiennement.
Acteurs clés
- Office anti-cybercriminalité (OFAC) — Enquêteur et exécutant des arrestations
A analysé les indices de compromission et coordonné les perquisitions dans sept villes - Suspect majeur (22 ans) — Membre présumé du groupe Dumpsec
Mis en examen pour atteintes à un système automatisé de données - Suspect mineur (15 ans) — Membre présumé du groupe Dumpsec
Mis en examen pour les mêmes faits en tant que mineur
Chiffres clés
- 22 ans et 15 ans — Âge des mis en examen (TV5MONDE, Yahoo Actualités, 01net)
- Plus de 1 500 — Nombre de sociétés/entités visées (01net, Yahoo, TV5MONDE)
- 3,5 millions d'élèves, 7,2 millions de bulletins scolaires — Nombre de données dérobées (Éducation nationale) (01net)
- 15 millions — Nombre de patients touchés (Cegedim Santé) (01net)
- 9 juin 2026 — Date des arrestations (01net)
Et ensuite ?
**Scénario tendanciel** : multiplication des groupes de hackers très jeunes, attirés par la notoriété rapide, avec des conséquences judiciaires limitées (peines courtes pour mineurs).
**Scénario de rupture** : durcissement des lois et investissements massifs dans la cybersécurité des institutions, accompagnés de campagnes de prévention dans les collèges et lycées.
**Ce qu'il faut surveiller** : les prochaines révélations sur les données volées, l'évolution du dossier judiciaire (comparution, jugement) et d'éventuelles arrestations complémentaires.
Questions fréquentes
Qui sont les hackers de Dumpsec ?
Il s'agit de jeunes Français, dont un majeur de 22 ans et un mineur de 15 ans, membres d'un groupe ayant piraté plus de 1 500 organisations. Ils sont décrits comme autodidactes et cherchant la notoriété.
Quelles données ont été volées lors des cyberattaques ?
Des dizaines de millions de données ont été dérobées, dont 3,5 millions de dossiers d'élèves, 7,2 millions de bulletins scolaires, 774 000 comptes étudiants du Cnous, des milliers de clients de Leroy Merlin et 15 millions de patients de Cegedim Santé.
Quelles sont les sanctions encourues par les suspects ?
Ils sont poursuivis pour atteintes à un système automatisé de données. Les peines peuvent aller jusqu'à 7 ans d'emprisonnement pour les majeurs, et des mesures éducatives adaptées pour les mineurs.