HubEE piratée : 160 000 documents administratifs sensibles dérobés

Par rac le 17.01.2026 17.01.2026

Lignes de code HTML sur un écran d'ordinateur

La direction interministérielle du numérique (DINUM) a confirmé ce vendredi 16 janvier une intrusion majeure sur HubEE, sa plateforme d'échange de documents administratifs. Les pirates ont dérobé 160 000 documents, dont certains contiennent des données personnelles sensibles de citoyens français.

C'est un coup dur pour l'administration numérique française. Détectée le 9 janvier, cette cyberattaque a permis aux hackers d'aspirer environ 70 000 dossiers représentant au total 160 000 documents. Selon la DINUM, ces fichiers contiennent des "données d'identification et le cas échéant des pièces justificatives produites à l'appui" des demandes administratives des usagers.

La plateforme HubEE constitue un rouage essentiel de la dématérialisation des services publics. Elle sert de "tuyau numérique" entre les différents services de l'État et fait circuler les documents nécessaires aux procédures en ligne proposées notamment sur Service-public.gouv.fr. Chaque démarche administrative en ligne transite potentiellement par cette infrastructure.

Quatre administrations majeures touchées

La fuite de données concerne principalement quatre directions ministérielles : la Direction de l'information légale et administrative (DILA), la Direction générale de la cohésion sociale (DGCS), la Direction générale de la santé (DGS) et la Caisse nationale des allocations familiales (CNAF). Ces organismes travaillent désormais de concert avec la DINUM pour identifier et informer les usagers impactés.

Dès la découverte de la brèche, les équipes techniques ont réagi rapidement. L'attaquant a été bloqué et les mécanismes de sécurité renforcés. Il aura fallu trois jours de travail intensif pour sécuriser complètement la plateforme, remise en service le 12 janvier. Une réinitialisation générale des mots de passe a été imposée à tous les utilisateurs de HubEE, tandis que l'authentification à double facteur devient obligatoire pour les comptes administrateurs.

Cette attaque s'inscrit dans un contexte alarmant pour la cybersécurité française. Elle survient quelques semaines seulement après le piratage du ministère de l'Intérieur qui menaçait 16 millions de Français. Les administrations publiques apparaissent comme des cibles privilégiées pour les cybercriminels en ce début d'année 2026.

Des risques concrets d'usurpation d'identité

Pour les experts en cybersécurité, les données dérobées représentent une mine d'or pour les cybercriminels. Les noms, adresses, numéros de documents et pièces justificatives permettent de monter des campagnes de phishing ultra-ciblées. Plus grave encore, ces informations ouvrent la porte à des usurpations d'identité massives : ouvertures frauduleuses de comptes bancaires ou de prêts à la consommation au nom des victimes.

À ce jour, les données exfiltrées n'ont pas été publiées sur le dark web ou ailleurs. La DINUM assure maintenir une surveillance active pour détecter toute tentative de diffusion ou d'exploitation. Conformément aux obligations légales, la Commission nationale de l'informatique et des libertés (CNIL) ainsi que l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ont été notifiées. Une plainte a également été déposée le 12 janvier auprès de la police judiciaire.

Cette nouvelle cyberattaque illustre la vulnérabilité persistante des infrastructures numériques françaises. Les usagers potentiellement concernés peuvent contacter les services juridiques de la DILA à l'adresse rgpd@dila.gouv.fr pour obtenir des informations sur leurs données personnelles.