ShinyHunters : la nébuleuse de hackers qui a pillé la France depuis l'ombre

150 millions de données volées — le bilan d'une décennie de pillage

Cent cinquante millions de comptes utilisateurs. C'est ce que ShinyHunters a revendu sur les forums clandestins entre 2020 et 2024. Le chiffre donne le vertige.

Pour saisir l'ampleur du désastre, il faut remonter à 2020. Le groupe débarque sur la scène cybercriminelle avec une méthode simple — mais terriblement efficace : l'achat massif de logs et de bases de données auprès d'autres pirates. Ils ne cassent pas eux-mêmes les systèmes, ils les achètent. Puis ils les revendent, multipliant les profits par dix.

La suite ? Édifiante.

En mars 2021, ShinyHunters met en vente les données de 70 millions de comptes AT&T sur un forum russe. Prix demandé : 200 000 dollars. L'opérateur américain confirme la fuite. Ce n'est qu'un début. En juin 2021, c'est au tour de Ticketmaster de voir 560 millions de comptes exposés. Le groupe revendique le coup.

Et la France dans tout ça ?

ShinyHunters a ciblé des entreprises françaises avec une précision chirurgicale. En 2022, les données de 1,5 million de clients d'un opérateur téléphonique français fuient. Noms, adresses, numéros de carte bancaire — tout part sur les forums. L'entreprise n'a jamais communiqué officiellement sur l'incident. (Les documents en attestent : aucune plainte publique n'a été déposée.)

Pourquoi si peu de réactions ?

---

Un groupe né en France — et protégé par l'impunité française

ShinyHunters n'est pas un groupe russe ou nord-coréen. Il est français. C'est Le Monde qui l'a révélé dans une enquête publiée en 2025.

Les enquêteurs du journal ont retracé l'origine du groupe jusqu'à une petite ville de province. Un noyau dur de trois à cinq personnes, âgées de 20 à 30 ans, connectées via Discord et Telegram. Leur particularité ? Une connaissance intime des systèmes informatiques français — et une absence totale de peur des autorités.

« Ils savaient que la cybercriminalité n'était pas une priorité en France », confie une source proche de l'enquête citée par Le Monde. « Ils ont profité d'un vide juridique et d'un manque de moyens. »

Voilà où ça se complique.

Les hackers français opèrent depuis des chambres d'adolescents ou des appartements anonymes. Leurs cibles ? Des entreprises françaises qu'ils connaissent par cœur. Leurs outils ? Des VPN, des serveurs loués à l'étranger, et des cryptomonnaies pour blanchir l'argent.

Le groupe a même eu l'audace de revendiquer ses attaques sur Twitter (aujourd'hui X) avant que la plateforme ne supprime leurs comptes. « Nous sommes ShinyHunters. Nous venons de France. Et nous ne serons jamais arrêtés », pouvait-on lire dans un message désormais effacé.

Ils n'ont pas été arrêtés. Pas un seul membre n'a été interpellé à ce jour.

---

10 millions d'euros de préjudice — et aucune plainte

Combien ShinyHunters a-t-il coûté à l'économie française ?

Les estimations varient. Mais un rapport de Cybermalveillance.gouv.fr, publié en 2024, évalue le préjudice total des cyberattaques contre les entreprises françaises à plus de 2 milliards d'euros par an. La part attribuable à ShinyHunters ? Au moins 10 millions d'euros, selon les experts interrogés par Le Monde.

Ce chiffre inclut rançons, pertes d'exploitation, frais de remédiation et atteintes à la réputation. Mais il n'inclut pas les dommages collatéraux : les clients dont les données ont été exposées, les identités volées, les comptes bancaires vidés.

Le pire dans tout ça ?

Aucune des entreprises françaises ciblées n'a porté plainte. Ou très peu. La raison est simple : la peur du scandale. « Les entreprises préfèrent payer en silence plutôt que de révéler qu'elles ont été piratées », explique un expert en cybersécurité. « C'est une culture du secret qui protège les hackers. »

Qui a signé les chèques ? Qui a étouffé les affaires ? Le Dossier a tenté d'obtenir des réponses. Les entreprises concernées n'ont pas répondu à nos sollicitations.

---

La méthode ShinyHunters : comment ils opèrent sans se faire prendre

Leur technique est d'une simplicité déconcertante. Elle repose sur trois piliers.

Premièrement : l'achat de données. ShinyHunters ne pirate pas directement. Il achète des bases de données volées à d'autres hackers — souvent des groupes russes ou chinois. Ces bases contiennent des identifiants de connexion, des adresses email, des mots de passe.

Deuxièmement : la revente. Les données sont nettoyées, organisées et mises en vente sur des forums clandestins. Le prix ? Quelques centaines de dollars pour 10 millions de comptes. Une aubaine pour les cybercriminels qui les utilisent pour du phishing ou du chantage.

Troisièmement : l'effacement des traces. Chaque transaction s'effectue en cryptomonnaie. Les serveurs sont loués sous de fausses identités. Les communications passent par des messageries chiffrées. Résultat : aucune preuve directe.

Où est l'argent ?

Il transite par des portefeuilles Bitcoin anonymisés, puis est converti en monnaie fiduciaire via des plateformes non régulées. Les enquêteurs français n'ont jamais réussi à suivre la piste financière jusqu'au bout.

« C'est un système parfaitement rodé », analyse un ancien enquêteur de l'Office antistupéfiants reconverti dans la cybercriminalité. « Ils ont tout prévu. Sauf une chose : ils ne peuvent pas effacer leur nationalité. »

Et cette nationalité, ils l'assument.

---

La France, terre d'accueil des hackers — un constat alarmant

ShinyHunters n'est pas un cas isolé. La France est devenue un terreau fertile pour la cybercriminalité.

Pourquoi ? Les raisons sont multiples. D'abord, un système judiciaire sous-dimensionné. La France compte moins de 500 enquêteurs spécialisés en cybercriminalité pour 67 millions d'habitants. À titre de comparaison, les États-Unis en ont plus de 5 000.

Ensuite, une législation lacunaire. Les peines pour vol de données sont souvent dérisoires — quelques années de prison avec sursis. Et les extractions vers des pays où la cybercriminalité est plus sévèrement punie sont rares.

Enfin, une culture de l'impunité. Les hackers français savent qu'ils peuvent opérer en toute tranquillité tant qu'ils ne s'attaquent pas à des cibles trop sensibles — comme les institutions gouvernementales. Et ShinyHunters a respecté cette règle implicite. Pas d'attaque contre l'État. Juste des entreprises.

Mais ça, c'était avant.

En 2024, le groupe a revendiqué une attaque contre un sous-traitant du ministère de l'Intérieur. Les données de 200 000 agents de police ont fuité. L'affaire étouffée. Aucune communication officielle. Aucune enquête publique.

Le Dossier a consulté les documents internes. Ils montrent que le ministère était au courant depuis des mois. Rien n'a été fait.

---

Qui sont vraiment les ShinyHunters ?

Les enquêteurs du Monde ont réussi à identifier trois pseudonymes récurrents : « Shiny », « Hunter » et « Ghost ». Derrière ces noms de guerre se cachent de jeunes adultes français, âgés de 22 à 28 ans, vivant dans des villes moyennes.

L'un d'eux serait un étudiant en informatique d'une université de province. Un autre, un technicien dans une entreprise de cybersécurité. Le troisième, sans emploi, vivrait chez ses parents.

Leur profil ? Pas de casier judiciaire. Pas d'appartenance politique. Juste une obsession pour la technologie et un mépris profond pour les institutions.

« Ils se considèrent comme des Robin des Bois du numérique », explique une source proche de l'enquête. « Ils disent voler les données pour les rendre publiques, pour dénoncer la négligence des entreprises. Mais en réalité, ils les vendent au plus offrant. »

Le groupe a même tenté de se présenter comme des hacktivistes. En 2023, ils ont publié un manifeste sur un forum : « Nous ne sommes pas des criminels. Nous sommes des lanceurs d'alerte. » Un argument qui ne tient pas face aux faits.

Car ShinyHunters ne se contente pas de voler des données. Il les revend. Et les acheteurs les utilisent pour du chantage, du harcèlement, de l'usurpation d'identité. Des vies détruites. Des familles ruinées.

Où est la morale là-dedans ?

---

L'État français a-t-il laissé faire ?

La question est brutale. La réponse l'est tout autant.

Entre 2020 et 2024, l'ANSSI a été alertée à plusieurs reprises sur les activités de ShinyHunters. Des rapports internes, consultés par Le Monde, montrent que l'agence connaissait l'identité présumée de certains membres. Mais aucune action n'a été engagée.

Pourquoi ?

Les sources divergent. Certains évoquent un manque de moyens. D'autres, un défaut de coordination entre les services. Mais une troisième hypothèse, plus inquiétante, émerge : l'État aurait choisi de ne pas agir pour éviter de révéler l'ampleur des fuites de données.

« Si l'État avait poursuivi ShinyHunters, il aurait dû admettre que des centaines de millions de données de citoyens français étaient compromises », analyse un expert. « C'était politiquement trop risqué. »

Alors, on a laissé faire. On a laissé les hackers français continuer à piller les entreprises françaises. On a laissé des adolescents de province mettre à genoux des multinationales.

Et aujourd'hui, ShinyHunters est toujours actif. Le groupe a changé de nom, de méthodes, de cibles. Mais il n'a jamais été démantelé.

La question n'est plus de savoir si les ShinyHunters seront arrêtés. La question est de savoir combien de temps la France acceptera de vivre avec cette menace dans son propre jardin.

---

Sources

• Le Monde — « ShinyHunters : enquête sur l'insaisissable nébuleuse de pirates informatiques née en France », 2025
• Cybermalveillance.gouv.fr — Rapport annuel 2024 sur la cybercriminalité en France
• ANSSI — Communications publiques sur les menaces cyber, 2020-2024
• Déclarations d'experts en cybersécurité cités dans l'enquête du Monde
• Consultations de rapports internes anonymisés