Le groupe de cybercriminels LAPSUS$ affirme avoir mené une attaque contre des infrastructures de l’État français. Aucune confirmation officielle n’existe à ce stade, mais les revendications s’accumulent depuis fin 2025.
« La prochaine attaque contre la France a déjà eu lieu. » C’est le message publié par le groupe LAPSUS$ sur ses canaux de communication. Le collectif de cybercriminels affirme avoir ciblé des infrastructures de l’État français et promet de publier les données volées « gratuitement ».
LAPSUS$ revendique le piratage d’infrastructures d’État françaises
Pour l’instant, aucune institution française n’a confirmé l’existence d’un incident. Aucune preuve n’a été rendue publique non plus. Mais LAPSUS$ n’en est pas à son coup d’essai et le contexte en France est suffisamment tendu pour prendre ces déclarations au sérieux.
🔴 Le groupe de hackers LAPSUS$ déclare :
— Seb (@seblatombe) February 20, 2026
« La prochaine attaque contre la France a déjà eu lieu,
elle cible directement des infrastructures de l’État et sera publiée gratuitement pour tous. » pic.twitter.com/wCmKBzM14l
Il faut dire que la France traverse une période noire en matière de cybersécurité. Selon le rapport Check Point publié en février 2026, le pays occupe le deuxième rang des pays européens les plus visés par les cyberattaques, juste derrière le Royaume-Uni.
La Poste et La Banque Postale ont été paralysées par une attaque DDoS d’une violence sans précédent entre le 22 décembre 2025 et le 5 janvier 2026. On parle de pics à 366 Gbit/s et 2,5 milliards de requêtes par seconde. En février, le fichier national des comptes bancaires Ficoba a été piraté, avec 1,2 million de comptes bancaires compromis. Bref, le climat est favorable pour les cybercriminels et LAPSUS$ semble vouloir en profiter.
Le groupe ne se contente pas de menaces. Ces dernières semaines, des canaux de LAPSUS$ ont revendiqué de nombreuses cibles françaises. Parmi les victimes, on retrouve le piratage de l’Université de Lille avec environ 40 Go de données présentées comme « récentes ». Mais aussi Lacoste, Salesfloor.net avec 4 To de données et environ 13 millions d’enregistrements. Ce qui inquiète le plus, c’est que le groupe dit détenir des données du ministère de l’Intérieur, de la Police nationale et à la Gendarmerie. Des informations personnelles comme des éléments d’état civil et des métadonnées.
Ces revendications ne sont pas confirmées. Il faut le dire clairement. LAPSUS$ mélange parfois de vraies attaques, des exagérations et des données recyclées de fuites plus anciennes. Le groupe crée un effet d’annonce pour faire pression sur les institutions visées et renforcer sa notoriété auprès d’autres groupes malveillants. Une stratégie d’intimidation qui fonctionne très bien dans un contexte médiatique où les cyberattaques font la une.
Les pirates de LAPSUS$ ont un solide CV qui ne trompe pas
Sauf que voilà, certaines attaques récentes de LAPSUS$ sont confirmées. À la fin du mois décembre 2025, le groupe a revendiqué le piratage d’ENI, un leader italien de l’énergie. Le piratage portait sur la branche française du groupe, avec 89 463 lignes de données clients publiées en ligne. ENI a confirmé la fuite dans un message adressé à ses clients.
Les fichiers contenaient des comptes rattachés au ministère de l’Intérieur, à la Gendarmerie nationale, à la Direction générale des Finances publiques, à la Croix-Rouge française, à Carrefour et à Engie. Autant dire que la fuite a fait mal.
Plus récemment, le 16 février 2026, LAPSUS$ a revendiqué le piratage d’Adidas après avoir publié des données sur le forum BreachForums. Le groupe affirme avoir accédé à l’extranet de la marque allemande et volé environ 815 000 lignes de données. Adidas a confirmé qu’une enquête était en cours sur un incident chez l’un de ses partenaires.
🔴 Adidas enquête sur une fuite de données liée à un partenaire externe ⤵️
— Seb (@seblatombe) February 19, 2026
Je vous parlais il y a quelques jours des 815 000 enregistrements liés à l’extranet d’Adidas qui auraient été dérobés via un prestataire tiers, comprenant des noms, adresses e-mail, dates de naissance et… https://t.co/cOY4xpgutu
Selon l’analyse de Cybernews, les données proviendraient de Double D, une société française qui distribue des équipements de sports de combat sous licence Adidas. Le groupe détiendrait 420 Go de données Adidas du marché français et a prévenu que « quelque chose de plus gros arrive ».
LAPSUS$ est un groupe apparu entre 2021 et 2022 qui s’est fait connaître par piratages médiatisées de NVIDIA, Vodafone, Microsoft, Okta et Samsung. Ses méthodes reposent sur l’ingénierie sociale, le vol d’identifiants et le recrutement de complices en interne contre paiement.
Les arrestations de la police de Londres ont révélé que certains membres étaient des adolescents entre 17 et 21 ans. Depuis août 2025, le groupe opère sous la bannière Scattered Lapsus$ Hunters, une alliance avec Scattered Spider et ShinyHunters. Ce dup a mené une attaque contre Jaguar Land Rover, estimée à 1,9 milliard de livres sterling par le Cyber Monitoring Centre.
Selon Cyfirma, le collectif cible désormais les entreprises avec un chiffre d’affaires supérieur à 500 millions de dollars dans les télécommunications, les fournisseurs de services cloud et les grandes entreprises. Les pays ciblés sont les États-Unis, l’Australie, le Royaume-Uni, le Canada et la France.
En clair, même si les revendications de LAPSUS$ qui visent des données de l’État français ne sont pas confirmées, les signaux ne trompent pas. Le groupe a prouvé qu’il était capable de frapper des cibles majeures et la France est dans son viseur.
Quelles conséquences et comment se protéger ?
Si ces revendications se confirment, les conséquences pourraient être lourdes. Des données du ministère de l’Intérieur ou de la Gendarmerie dans la nature, ce sont des campagnes de hameçonnage ultra-ciblées, des usurpations d’identité et du chantage. Les fichiers publiés par LAPSUS$ lors de la fuite ENI contenaient des informations sociales, des références clients, des adresses mails professionnelles, des numéros de téléphone, etc. Le tout au format XLSX, téléchargeable librement. C’est le genre de données qui circule ensuite sur les forums du dark web.
Que cette fuite soit vraie ou pas, voici les recommandations pour se protéger contre les cybermenaces :
- Redoubler de vigilance face aux campagnes de hameçonnage qui se réclament d’une « attaque en cours ».
- Ne jamais cliquer sur un message qui joue sur la peur ou l’urgence.
- Vérifier toute information auprès de sources officielles.
- Suivre les recommandations du site cybermalveillance.gouv.fr.
Rappelons aussi que le numéro 33 700 permet de signaler un SMS ou un appel frauduleux. La plateforme internet-signalement.gouv.fr sert à déclarer tout contenu illicite en ligne.
- LAPSUS$ affirme avoir attaqué des infrastructures de l’État français et promet de publier des données volées, mais aucune preuve technique ni confirmation officielle n’existe à ce stade.
- Le groupe revendique depuis fin 2025 plusieurs compromissions liées à des cibles françaises, dont des données attribuées au ministère de l’Intérieur, à la Police nationale et à la Gendarmerie, sans confirmation.
- La menace est prise au sérieux car LAPSUS$ a déjà revendiqué des attaques ensuite confirmées ou partiellement confirmées, notamment autour d’ENI et d’Adidas.
Réagissez à cet article !