12月11日至16日期间,内政部确认其成为网络攻击的目标。最初表现为对消息传递服务器的攻击,但事实证明,由于对业务应用程序的访问经过验证,入侵变得更加复杂。如果司法和技术调查仍在进行中,官方沟通留下了一些灰色地带,对事件的详细反馈,我们现阶段所知道的以及仍然不确定的。
在发出警报之前,假设有准备好的入侵
网络犯罪指控中出现的要素表明,入侵不仅限于一次性访问,黑客还长期存在于信息系统中,具有流通能力并了解该部的某些技术环境。
如果当局没有证实这些观点,他们仍然会提出在官方检测之前进行妥协的假设,并进行事先认可阶段。现阶段,这些都是间接线索,未经验证,但与针对公共机构的针对性攻击中观察到的操作方法一致。
12 月 11 日:检测到消息服务上的可疑活动
12 月 11 日星期四,内政部发现了针对其电子邮件服务器的内部所谓的“可疑活动”。该消息已向 BFMTV 的同事确认,但没有立即进行公开沟通。
在这个阶段,这种姿势可以被认为是经典的,对应于分析和资格阶段,在此阶段,团队试图确定它是技术事件、企图入侵还是经过验证的妥协。检测到的信号的确切性质及其严重性都没有被公开。
12 月 12 日:确认针对消息传递的网络攻击
12 月 12 日星期五,内政部长洛朗·努涅斯 (Laurent Nuñez) 在 RTL 节目中正式确认了网络攻击的存在。然后他指出,这是针对该部的消息传递服务,并表示已经实施了通常的保护程序。
该部长还提到了对“一定数量的文件”的访问,同时确认他在现阶段没有发现严重妥协的迹象。
此通信标志着首次公开的框架,经过刻意限制,将事件置于精确的技术范围内,并限制了攻击的感知规模。
12月14日/2015年周末:更多破坏性信号
该案在周末出现了另一个层面,特别是从合法域名“interieur.gouv.fr”发送了一封电子邮件,宣布重新开放 BreachForums。然后考虑两个假设:要么是特别可信的欺骗,要么是帐户或部门消息服务的实际泄露。
尽管这一点对于评估入侵深度至关重要,但官方尚未对此做出澄清。与此同时,网络犯罪论坛上出现了一项声明。肇事者声称是这次袭击的幕后黑手,并提到了向法国当局发出的最后通牒。他们还提到了黑客组织 ShinyHunters,该组织的历史成员于 2025 年 6 月被捕,并公开与该行动划清界限。
在此,当局既没有正式确认也没有否认这一说法或最后通牒的存在。
12 月 16 日:认可业务应用程序访问权限
12 月 16 日星期二标志着一个转折点。据 BFMTV 报道,特别是记者 Raphaël Grously 报道的信息,Beauvau 团队确认攻击者可以访问“商业应用程序”,即该部服务使用的内部工具。
这种语义变化意义重大:我们不再仅仅谈论通信工具,而是谈论可能连接到数据库或关键系统的内部操作软件。然而,没有提供有关相关应用程序的确切性质、其敏感程度或攻击者可用的权限的详细信息。
内政部遭到黑客攻击:Beauvau 团队通过 BFMTV 确认黑客可以访问“商业应用程序”。
换句话说,内部工具和软件可能可以访问数据库。
——拉斐尔·格拉布利, 2025 年 12 月 15 日
12月17日:逮捕
巴黎检察官办公室于 12 月 17 日宣布,在针对内政部的网络攻击之后展开调查,逮捕了一名嫌疑人。根据检察官 Laure Beccuau 签署的新闻稿,该攻击被描述为由一个有组织的团伙对国家个人数据自动处理系统实施的攻击,这一罪行可判处 10 年监禁。该人出生于 2003 年,已于 2025 年因类似行为被定罪,在利摩日被捕,并被巴黎检察官办公室反网络犯罪部门和反网络犯罪办公室警方拘留,这一措施可能持续长达 48 小时,之后预计会收到新的通知。保留的刑事资格排除了孤立的欺诈性访问的假设,并确立了对处理个人数据的国家系统的入侵,与协调行动相关的加重情节,涉及敏感数据的有效咨询,其范围仍有待明确。这些内容得到了内政部长洛朗·努涅斯的部分证实,他于 12 月 17 日在 franceinfo 上确认了一次“恶意入侵”,被描述为“严重行为”,是专业信息泄露的一部分,可以访问敏感的内部文件,特别是犯罪记录和通缉人员档案的处理,但他承认,入侵的确切程度尚未确定。该部还联系了 CNIL,并根据法律义务启动了内部行政调查。
当局现阶段所说的话(12 月 18 日上午 6 点更新)
官方立场已经变得更加明确,但并没有消除所有的不确定性。当局坚称,巴黎检察官办公室的授权仍在进行调查,并记得已立即收紧了信息系统的访问条件,同时部署了额外的安全措施。检方保留的犯罪分类是针对有组织团伙对国家个人数据自动处理系统进行的攻击,但这标志着最初言论的显着变化,并确定入侵不仅限于机会主义访问,还涉及在事先协调下处理敏感数据的国家系统。
然而,仍然存在一些灰色地带。有关“业务应用程序”的确切范围仍未明确:它们是与该部的主权任务直接相关的外围行政工具或系统吗?网络犯罪嫌疑人发布的屏幕截图显示,有关访问国家警察 CHEOPS 门户的说法尚未得到当局证实,现阶段仍无法核实。关于数据,该部现在承认对敏感内部文件的访问,包括犯罪记录和通缉人员文件的处理,但表示“妥协的程度”尚不清楚。然而,没有传达有关可能的泄露的信息:查阅或传输的数据量、检测到的传出流量或泄漏迹象。考虑到行动和司法的需要,这种沉默是可以理解的,但仍然对袭击的真实范围存有疑问。
内政部的主要数据库有哪些?
内政部负责运营和监督安全部队、地区和某些国家机构使用的多个国家数据库。
TAJ(犯罪记录处理) 汇集法律诉讼中的信息,特别是与被告、受害人或证人以及所观察到的犯罪行为有关的数据。执法部门每天在调查、行政控制或法律诉讼中都会咨询该报告。
FPR(通缉犯档案) 集中有关受搜查或监视措施的人员的信息:失踪人员、法院通缉人员、受到行政或司法禁令的人员。在身份检查或过境时会实时查阅该信息。
SIV(车辆登记系统) 列出在法国注册的所有车辆及其所有者。它由执法部门、县以及汽车专业人士或保险公司等授权机构使用。
FNAEG(自动化国家基因指纹文件) 包含作为法律调查的一部分收集的基因图谱。对它的访问受到严格监管,并保留给专业服务。
FAED(自动指纹文件) 集中用于司法和行政身份识别的指纹。它被执法部门广泛使用,访问受到严格控制和追踪。
除了这些标志性基地之外,该部还依赖于各县、警察、宪兵和中央部门使用的众多中间业务系统,作为特工和国家基地之间的应用层。
