Le 23 juillet 2025, un individu opérant sous l’identifiant « LulzSecMX » a revendiqué le vol massif de données confidentielles appartenant à Naval Group, acteur stratégique de la construction navale militaire française. Selon ses propres déclarations, le pirate aurait exfiltré plus d’un teraoctet de fichiers sensibles contenant des schémas, des correspondances internes et des éléments techniques liés à plusieurs programmes d’armement naval.
En réponse, Naval Group a rapidement publié un communiqué de démenti, affirmant qu’aucune preuve tangible ne permettait de confirmer une compromission d’informations critiques ou classifiées. Cette position s’appuie sur une distinction nette entre cyberattaque, infiltration technique et opération d’influence, dans un contexte où la guerre numérique brouille les lignes.
Un mode opératoire revendiqué : accès interne ou intrusion ciblée ?
Selon les informations publiées par le pirate sur des canaux de diffusion chiffrés, les fichiers auraient été collectés entre mai et juillet 2025. Les données diffusées en échantillon contiennent, selon Saax :
- des schémas de composants liés aux torpilles MU90 ;
- des calendriers de maintenance pour plusieurs classes de sous-marins ;
- des documents évoquant des réponses à appels d’offres internationaux (Inde, Brésil) ;
- des courriels internes entre ingénieurs et directions projets.
Ces éléments suggèrent un niveau d’accès intermédiaire, compatible avec celui d’un prestataire disposant de privilèges étendus, mais pas nécessairement d’un accès aux fichiers classifiés défense.
Dans un message diffusé le 25 juillet 2025, le pirate déclare : « Je veux montrer que même les bastions les plus protégés restent vulnérables », cite Numerama. Aucun malware ni rançongiciel n’a été revendiqué. Aucune trace de chiffrement des systèmes ni demande explicite de rançon n’ont été constatées. Il s’agirait donc d’une opération exfiltration + chantage de type “dump progressif”, avec menace de diffusion publique.
Démenti officiel et stratégie de réponse de Naval Group
Naval Group a choisi une ligne de défense fondée sur la réfutation de la compromission stratégique. Dans son communiqué officiel, la société indique : « Aucun élément ne permet de confirmer l’existence d’une fuite de données classifiées ou stratégiques », détaille Clubic. Le groupe distingue explicitement l’attaque comme une opération d’influence, évoquant une attaque informationnelle.
Ce qualificatif est capital dans la doctrine cyber de l’État français. Il renvoie à des actions visant à déstabiliser un acteur par des fuites instrumentalisées, souvent sans véritable compromission critique. L’objectif est ici d’entamer la crédibilité de l’entreprise auprès de ses donneurs d’ordre (gouvernements étrangers, OTAN, Agence européenne de défense). Selon une source industrielle citée anonymement par Actu.fr, « une cellule de gestion de crise cyber a été activée dès le 23 juillet, en lien avec l’ANSSI ». Une analyse forensique interne serait en cours sur les postes potentiellement exposés, notamment ceux des filiales et partenaires sous-traitants.
Menace sur les programmes industriels en cours
Le contenu des fichiers publiés – bien que partiel – inclut des éléments liés à des programmes en cours, notamment :
- les sous-marins Scorpène, en construction pour plusieurs marines d’exportation ;
- des éléments techniques relatifs à l’assemblage du Suffren (programme Barracuda) ;
- des documents en anglais sur la participation de Naval Group à des appels d’offres navals américains et australiens.
La publication même d’extraits pourrait suffire à fragiliser la position commerciale de l’entreprise. Si certains documents sont authentiques – ce que les métadonnées tendent à confirmer –, la preuve d’une compromission partielle est difficilement contestable.
Plusieurs analystes en cybersécurité évoquent une hybridation des méthodes :
- pas de pénétration brutale du SI central ;
- plutôt un accès tiers, permis par des identifiants compromis ou l’ingénierie sociale ;
- utilisation d’une communication asymétrique, publique, avec menace différée, dans une logique de guerre d’usure.
Ce type de menace s’apparente à ce que certains chercheurs appellent une cyber-opération de phase 1, où la diffusion est aussi importante que la collecte.
Guerre de l’information : une offensive ciblée sur la réputation
La vraie rupture de cette attaque réside dans son effet stratégique indirect. Dans l’univers naval, où la confidentialité est absolue, la menace de divulgation suffit à porter atteinte à la chaîne de confiance industrielle. Ce point est d’autant plus sensible que Naval Group évolue sur des théâtres géopolitiques à haute intensité (Asie-Pacifique, Moyen-Orient, Afrique de l’Ouest).
L’effet recherché pourrait être triple :
- Porter atteinte à la solidité perçue du groupe vis-à-vis de ses partenaires étatiques.
- Déstabiliser les relations contractuelles en cours ou à venir.
- Renforcer l’idée que même les fleurons européens de la défense ne sont pas cyberrésilients.
Ce type d’action entre dans le champ des doctrines d’ingérence informationnelle, théorisées notamment par les écoles de guerre hybrides russes et iraniennes, et mises en œuvre via des acteurs non étatiques ou pseudo-activistes.
Naval Group : Quelles vulnérabilités potentielles ?
Naval Group dispose de son propre centre de cybersécurité, en lien direct avec le Commandement de la cyberdéfense (COMCYBER). Le système d’information classifié (SIC) du groupe est isolé des réseaux ouverts. Mais certains documents non classifiés, liés aux marchés ou aux fonctions support, peuvent transiter par des réseaux moins protégés, notamment via des filiales, des co-traitants ou des bureaux de représentation.
Cette affaire marque une évolution dans les modes d’attaque visant le secteur naval. Il ne s’agit plus seulement de vols de données à valeur commerciale, mais d’opérations destinées à affaiblir la souveraineté industrielle et saper la crédibilité d’un groupe clé dans la dissuasion française. Elle rappelle aussi l’affaire DCNS/Australie en 2016, mais avec une logique inversée : ici, pas de fuite massive d’un seul coup, mais un chantage séquencé, associé à un storytelling diffusé sur des forums de cybermilitants.
La sécurité est terrible ! En termes techniques le vrai problème se situe *toujours* entre le clavier et la chaise. L’arbitrage entre le niveau de sécurité espéré et la contrainte d’accès ou d’usage est très difficile, l’unique choix possible est la déconnexion complète entre les centres de données et de traitements -quels qu’ils soient- et l’utilisateur. En aucun cas, même apres toutes les authentifications d’usage, il ne doit être possible d’accéder en temps réel ou même légèrement différé a plus d’une fonctionnalité ou d’un groupe de données pertinentes, d’autant plus que cet accès est délocalisé (hors des locaux contrôlés).
Parallèlement, cela coute, certes, il *doit* y avoir, en plus des différentes sondes, un contrôle humain de l’activité calibré après une étude d’usage en frequences, de volumes et de coherences..
je dis ça, mais il faut aussi des pros un peu paranoïaques.