Et derrière l'appel de 21h30, de l'admin qui semble complètement lunaire...
Gros si tu as un doute sur la légitimité des actions (activité inhabituelle), commence par suspendre le compte en attendant de clarifier cela.
Si tu n'as pas cette compétence c'est normal qu'on te prenne pour un escroc.
Le risque d'une coupure du compte (incommoder son utilisateur) est sans aucune commune mesure avec le risque encouru à laisser faire une attaque. (Le fait de voir l'anomalie en temps réel relève déjà généralement du quasi miracle).
À l'inverse une attaque exploitant des failles logicielles pour l'aspiration des données sera à des fins malveillantes.
Ou en interne un employé peut profiter de la mauvaise gestion des droits sur le serveur, pour prendre et revendre les données.
Wait and see.
www.cnrs.fr/fr/exfiltrat...
4/4
PS: S'il s'avère que l'attaque a été faite depuis l'extérieur sur les serveurs RH, il faut généralement merder sur un paquet de choses côté sécurité pour en arriver à une telle fuite. Notamment comprendre pourquoi un tel serveur peut communiquer avec internet.
Ou encore une récupération des données pour tester des requêtes en local, en dehors du serveur de prod.
Si c'est ça, cela va certes à l'encontre de toutes les bonnes pratiques vis à vis du cloisonnement des données, mais ces données ne seront pas exploitées à des fins malveillantes. 3/4
En tant qu'ex admin système et applicatif, une activité suspecte d'un utilisateur doit aboutir à la suspension automatique et immédiate du compte.
On aura bien le temps d'analyser ensuite avec l'utilisateur si l'activité était légitime, plutôt que de risquer de prolonger une attaque et ses impacts.
Les banques ont cette capacité là et ne s'en privent pas, bloquant les cartes bleues au 1er payment inhabituel. Pourtant me faire bloquer ma carte quand je paie mon hôtel, ou la pompe à essence à l'étranger est bien plus emmerdant que quelques heures de retard sur une carte grise.
Une belle fuite qui pue.
A noter : La communication du Cnrs étant on ne peut plus lacunaire, on ne sait pas quand ni comment ces données ont fuité, ni si la finalité malveillante de cette fuite est établie (1/4)
À ce jour (16/02/2026 13h20 UTC+1) Il y a encore une toute petite chance que ce flux soit "semi-légitime", c'est à dire que ces données ont transité pour des usages internes, par exemple un employé ou presta un peu bourrin qui fait une sauvegarde locale sur son poste avant mise en prod,... 2/4
C'est assez incroyable d'incompétance de l'État.
Entre l'accès pas vraiment sécurisé (toujours pas de MFA), et le process qui interdit d'annuler une demande de carte grise.
Il suffirait juste d'inclure la réception du paiement avant la validation.
france3-regions.franceinfo.fr/bretagne/ill...