Une fuite d’une ampleur cataclysmique
Imaginez un instant : le code source du système de gestion de combat (CMS) des frégates FREMM et des sous-marins nucléaires lanceurs d’engins (SNLE), comme Le Vigilant, livré sur un plateau d’argent à quiconque navigue dans les bas-fonds du dark web. Ajoutez à cela des sous-systèmes de simulation de THALES, des logiciels d’armes nucléaires, des configurations réseau, et même des vidéos datant de 2003 montrant des interfaces de surveillance sous-marine. Un échantillon de 13 Go, publié gratuitement par le pirate, ne serait qu’un avant-goût d’un butin totalisant, selon ses dires, 1 To de données sensibles. Pas de rançon, pas de chantage, juste une mise à nue brutale, accompagnée d’un avertissement narquois : « Rien n’est vraiment déconnecté d’Internet. »
Naval Group, dans une tentative désespérée de sauver la face, qualifie l’incident de « tentative de déstabilisation » dans un communiqué laconique du 26 juillet 2025. Aucune intrusion détectée, clame l’entreprise. Les opérations continuent comme si de rien n’était. Vraiment ? Quand des analystes indépendants, comme ceux de Cybernews, confirment l’authenticité partielle des données divulguées, on peut légitimement se demander si Naval Group vit dans le déni ou dans une réalité parallèle. Les documents compromettants impliquent non seulement l’entreprise, mais aussi ses partenaires – THALES, Dassault Aviation, Safran – dans un écheveau de compromissions où les couches d’intégration des systèmes navals semblent avoir été décortiquées comme un vulgaire oignon.
Confirmed: This is a verified catastrophic data breach targeting Naval Group, the French military-industrial giant specializing in submarines and advanced naval platforms. The leaked package, posted openly on a dark forum by a user named SaxX / Neferpitou, contains:
Full CMS… pic.twitter.com/0fN8am3UOs
— Thomas Keith (@iwasnevrhere_) July 28, 2025
Une arrogance technologique à la dérive
Comment en est-on arrivé là ? Naval Group, détenue à 62,5 % par l’État français, se présente comme un parangon de l’excellence technologique, fournisseur des joyaux de la dissuasion française et exportateur de sous-marins aux quatre coins du globe. Pourtant, cette fuite révèle une vérité cruelle : l’arrogance d’une industrie qui pensait ses systèmes inviolables s’est fracassée contre la réalité d’une cybersécurité défaillante. Les systèmes dits « air-gapped », censés être isolés d’Internet, n’ont pas résisté à ce qui semble être une attaque sophistiquée – ou, pire, une négligence grossière. Des sous-traitants mal sécurisés ? Des serveurs exposés ? Une chaîne d’approvisionnement vulnérable ? Les spéculations vont bon train, mais une chose est sûre : Naval Group a sous-estimé la menace.
Et que dire de la gestion de crise ? Alors que le pirate donnait 72 heures à l’entreprise pour répondre – sans préciser d’exigences claires –, Naval Group a opté pour le silence, laissant le délai expirer et les données se répandre comme une marée noire. Cette passivité est presque insultante pour les contribuables français, dont les impôts financent cette industrie stratégique, et pour les alliés comme l’Australie, le Brésil ou l’Inde, qui risquent de voir leurs propres systèmes compromis par ricochet. On se souvient de la fuite de 2016, lorsque des documents sur les sous-marins australiens avaient fuité via un partenaire étranger. À l’époque, Naval Group avait minimisé l’incident. Rebelote en 2025, mais avec des enjeux infiniment plus graves.
Une menace pour la dissuasion et la souveraineté
Les implications de cette fuite sont vertigineuses. Les SNLE, piliers de la dissuasion nucléaire française, reposent sur des systèmes de combat dont le secret est la première ligne de défense. Si un adversaire – étatique ou non – met la main sur ces codes sources, il pourrait non seulement décrypter le fonctionnement des sous-marins, mais aussi concevoir des contre-mesures, voire reproduire des systèmes similaires. Les documents de simulation, également compromis, pourraient permettre de recréer des environnements opérationnels français, offrant un avantage stratégique à des puissances hostiles.
Et que dire des partenaires de Naval Group ? THALES, chargé des systèmes électroniques, Dassault, impliqué via le Rafale-M, et Safran, acteur clé des technologies de propulsion, se retrouvent éclaboussés par cette débâcle. La fuite d’un schéma de classification CSCI WIND et de communications internes suggère une compromission systémique, où les failles d’un acteur fragilisent l’ensemble de l’écosystème. Pendant ce temps, le pirate se vante de conserver des données pour « rétro-ingénierie », un euphémisme pour dire qu’il pourrait vendre ou partager ces informations avec des acteurs peu recommandables. Un véritable jackpot pour les services de renseignement étrangers.
Une leçon d’humilité ignorée
Ce fiasco aurait-il pu être évité ? Sans doute, si Naval Group et ses partenaires avaient investi autant d’énergie dans la sécurisation de leurs données que dans la construction de leurs mastodontes d’acier. La remarque du pirate, « rien n’est vraiment déconnecté d’Internet », est un camouflet adressé à une industrie qui semble avoir cru que ses systèmes étaient à l’abri par la seule force de leur complexité. Les critiques, relayées sur les réseaux sociaux, pointent du doigt une focalisation excessive des autorités françaises sur des priorités secondaires – comme la gestion de l’image publique ou la surveillance des voix dissidentes – au détriment de la cybersécurité. La France traque les journalistes critiques pendant que ses secrets militaires s’évaporent…
Naval Group, dans son rapport annuel 2025, vantait pourtant ses efforts en matière de cybersécurité, qualifiée de « priorité stratégique ». Belle rhétorique, mais les faits parlent d’eux-mêmes : une entreprise stratégique, financée par l’État, a laissé ses joyaux technologiques à la merci d’un pirate opportuniste. Et pendant que l’ANSSI et le ministère des Armées enquêtent, le mal est fait. Les données, une fois publiées, ne peuvent être rappelées. Elles circulent, se copient, se propagent, prêtes à être exploitées par quiconque a les moyens et la volonté de le faire.
Une industrie à la croisée des chemins
Ce scandale est un coup dur pour Naval Group, mais aussi pour la crédibilité de la France comme acteur majeur de l’industrie de défense. Les clients internationaux, qui ont misé des milliards sur les sous-marins et frégates français, risquent de reconsidérer leurs engagements. L’Australie, déjà échaudée par l’annulation du contrat des sous-marins en 2021, doit se mordre les doigts. Quant aux Français, ils ont le droit de demander des comptes : comment une entreprise censée protéger la souveraineté nationale a-t-elle pu laisser ses secrets les plus précieux s’échapper aussi facilement ?
Naval Group doit maintenant faire face à une tempête parfaite : une crise de confiance, une enquête interne sous pression, et une remise en question de ses pratiques. Mais au-delà des murs de l’entreprise, c’est tout un système qui doit se réinventer. La cybersécurité ne peut plus être un vœu pieux, relégué derrière les impératifs de production ou les jeux politiques. Car, comme l’a si bien dit le pirate, « rien n’est vraiment déconnecté ». Et dans ce monde hyperconnecté, l’aveuglement de Naval Group pourrait coûter bien plus qu’un simple embarras.
