Dumpsec : comment des mineurs ont mené 35 cyberattaques avec l'IA

L'arrestation de sept suspects

Dumpsec, un groupe de cybercriminels qui avait inquiété jusqu'aux parlementaires, vient de connaître un tournant brutal. L'office anti-cybercriminalité (Ofac) a annoncé l'interpellation de sept suspects, arrêtés en différents points de France. Ces arrestations interviennent quelques mois seulement après les premiers piratages du groupe, datés de novembre 2025.

Cette trajectoire éclair en dit long sur l'évolution rapide de la cybercriminalité. Les suspects — des mineurs ou des jeunes majeurs — ne possédaient pas de compétences informatiques spécifiques. Pourtant, ils ont réussi à causer des dégâts massifs en recourant à des outils d'IA et au « cybercrime as a service ».

Des outils accessibles, des dégâts réels

Le « cybercrime as a service » désigne des services criminels vendus au plus offrant. Selon Julie Benoît, commissaire et cheffe du pôle des enquêtes cyber de l'Ofac, cette accessibilité explique comment des individus sans expertise technique ont pu mener des attaques sophistiquées.

Le groupe a ciblé au total 35 organisations et affecté plus de 1 500 victimes par rebond. Parmi les cibles revendiquées : Adecco (travail temporaire), Mondial Relay (colis), Leroy Merlin (grande distribution) et des plateformes de prise de rendez-vous comme SynBird et RDV360.

La quête de notoriété

Les attaques de Dumpsec visaient deux objectifs : vendre des fuites de données et se faire connaître. Le groupe, dirigé par un certain « Christopher Lead », a multiplié les annonces fracassantes sur des forums dédiés. Un membre du groupe avait même accordé une interview à France 2, se vantant de gagner jusqu'à 5 000 euros par semaine en menant des recherches d'informations pour des tiers.

Cet interlocuteur se présentait comme une sorte de hacker éthique, soucieux de « dévoiler toutes les failles ». Il affirmait : « On attaque là où on peut faire mal. Les petites entreprises, franchement, c'est pas notre dada. » Une posture qui contrastait fortement avec la réalité des attaques.

Des chiffres à relativiser

Le groupe avait revendiqué des intrusions massives, notamment dans le secteur de la santé. Pour le piratage du spécialiste du logiciel médical Cegedim, Dumpsec prétendait avoir accédé aux données de 19 millions de patients. L'entreprise victime a confirmé la compromission de 1 500 espaces de médecins.

Dumpsec affirmait aussi avoir mis la main sur une base de données de 35 millions de Français issue du piratage de 130 hôpitaux. Ce chiffre semble exagéré selon les experts du secteur interrogés par ZDnet.fr. Les dégâts réels restent manifestes, mais la portée exacte des intrusions demeure floue.

Une enquête qui se poursuit

Malgré ces imprécisions, les dégâts commis par le groupe ont justifié une priorité policière. Après un « travail de longue haleine » et des « recoupements », selon Julie Benoît, les enquêteurs ont identifié et arrêté sept suspects. Les investigations se poursuivent, notamment en examinant les flux d'argent liés aux activités du groupe.