Cybersécurité

Un logiciel malveillant a infiltré près d'un mois la flotte mobile de l'État

Tapie dans la mémoire vive, une intrusion est restée invisible près d'un mois sur la plateforme qui pilote les smartphones de l'État. Coordonnées d'agents touchées ; données des citoyens épargnées.

Par Marc Weber · · 5 min de lecture

Rack de recharge sécurisé de smartphones et tablettes identiques de l'État luxembourgeois dans une salle de pilotage du parc mobile du CTIE, un écran affichant un verrouillage de gestion d'appareil.
Image d'illustration générée par intelligence artificielle : une armoire de recharge sécurisée d'appareils mobiles de l'État dans une salle d'exploitation du CTIE. Illustration générée par IA — Status

Pendant près d'un mois, un logiciel malveillant s'est niché au cœur du système qui équipe l'administration luxembourgeoise en smartphones et tablettes. Le temps qu'il y reste tapi, un acteur extérieur a pu consulter le registre de quelque 4 850 appareils fournis par l'État, ainsi que les noms, numéros de téléphone professionnels et adresses électroniques de service des agents qui les utilisent. Le gouvernement a confirmé l'incident.

L'intrusion a visé le Centre des technologies de l'information de l'État (CTIE), qui opère l'informatique du secteur public grand-ducal. Elle n'a pas atteint le contenu enregistré sur les terminaux eux-mêmes, et aucune donnée relative aux citoyens n'était en jeu, selon le ministère de la Digitalisation et les autorités nationales de cyberprotection.

Une présence furtive, repérée trop tard

Le maliciel appartenait à la catégorie dite « résidente en mémoire » : plutôt que de s'inscrire sur le disque, il installe une copie de lui-même dans la mémoire vive de l'appareil, ce qui le rend nettement plus difficile à détecter. Selon la ministre de la Digitalisation, Stéphanie Obertin, la plateforme qui enregistre et administre le parc mobile de l'État a été infectée fin janvier, dans les heures précédant le déploiement, par l'éditeur du logiciel, de sa dernière mise à jour. L'alerte n'a été donnée que le jeudi 26 février au soir : l'intrus a donc séjourné sur le réseau l'essentiel d'un mois.

Point décisif pour le public, la compromission s'est arrêtée à la couche de gestion. L'attaquant a atteint l'inventaire des appareils et l'annuaire de leurs détenteurs, mais pas ce qu'ils contiennent. La ministre a été explicite sur ce point.

« Les données stockées directement sur les téléphones ou tablettes, comme les messages, le calendrier ou les photos, n'ont pas été affectées par l'incident », a déclaré Stéphanie Obertin devant la Chambre des députés.

À la découverte du maliciel, le CTIE a isolé par précaution la plateforme touchée. La manœuvre a interrompu l'accès mobile aux services internes de l'État — messagerie et agendas, notamment — contraignant les fonctionnaires à se rabattre sur leur ordinateur de bureau. Les appareils du secteur éducatif, administrés séparément par le CGIE, n'ont pas été concernés.

Ce qui a fuité, ce qui ne l'a pas été

Le récit du gouvernement, exposé dans une note de situation du 6 mars puis dans la réponse parlementaire écrite de la ministre, circonscrit soigneusement le préjudice. Les informations consultées relèvent de l'administratif plutôt que de l'intime : un inventaire de matériel et les coordonnées professionnelles qui s'y rattachent. Concrètement, l'accès a porté sur :

  • la liste des quelque 4 850 smartphones et tablettes gérés par le CTIE, avec leurs caractéristiques techniques ;
  • les noms des agents auxquels ces appareils ont été attribués ;
  • leurs numéros de téléphone et adresses électroniques professionnels.

Ce qui n'a pas été touché, insistent les autorités, c'est tout ce qui appartient au grand public. « Aucune information relative aux citoyens n'est concernée », affirme le communiqué gouvernemental du 6 mars. Par mesure de précaution, chaque appareil affecté a été reconstruit, et l'autorité de protection des données, la CNPD, a reçu une notification préliminaire dès le 27 février.

La ministre a par ailleurs cherché à relativiser la gêne pour le fonctionnement de l'État, soulignant que l'interruption s'est limitée à l'accès mobile.

« Les services de l'État sont restés en permanence accessibles et pleinement opérationnels, à la fois via les ordinateurs (dont chaque agent est équipé par défaut) et via les téléphones grâce à une interface web », a indiqué Mme Obertin.

La chaîne de réaction de l'État

L'affaire est rapidement remontée au sommet de l'exécutif. De nouveaux éléments ayant émergé, la cellule nationale d'évaluation du risque cyber s'est réunie le 5 mars au soir ; le lendemain, le Premier ministre convoquait des experts et informait le Conseil de gouvernement. Le serveur compromis a été isolé et un serveur de remplacement déployé, tandis que l'analyse technique était menée conjointement par le CTIE et GovCERT.lu, l'équipe gouvernementale de réponse aux incidents informatiques. Selon les autorités, l'accès non autorisé a été circonscrit en quelques heures après sa détection et est resté limité au registre des appareils.

Aucune attribution publique n'a été avancée, et l'enquête se poursuit. Fait notable, il ne s'agissait pas d'une campagne d'hameçonnage du type de celles qui usurpent régulièrement l'identité des banques luxembourgeoises ou des caisses de sécurité sociale : la porte d'entrée a été le logiciel tiers de gestion des appareils lui-même, infecté aux alentours d'une mise à jour de l'éditeur, et non un employé abusé.

Un continent sous pression continue

L'épisode met à l'épreuve la réputation numérique du Luxembourg et s'inscrit dans une tendance européenne plus large. Dans son rapport Threat Landscape 2025, l'agence européenne de cybersécurité ENISA relève que l'administration publique est devenue le secteur le plus visé de l'Union, à l'origine de 38 % des 4 875 incidents recensés entre juillet 2024 et juin 2025. Pour les seules opérations commanditées par des États, le gouvernement figure également en tête des cibles : les acteurs liés à la Russie sont derrière 39 % de ces intrusions, ceux liés à l'Inde 31,7 % et ceux liés à la Chine 24,4 %.

Le Grand-Duché en a déjà fait l'expérience. Au printemps 2024, une vague de deux semaines d'attaques par déni de service distribué — revendiquées par des groupes prorusses — a frappé les ministères des Finances et de la Justice, l'institut statistique STATEC et la Caisse nationale de santé (CNS). En janvier 2025, une nouvelle salve a brièvement mis hors service le portail citoyen MyGuichet et le service d'authentification LuxTrust.

Sur cette toile de fond, la brèche du CTIE tient moins du choc isolé que du repère d'une nouvelle normalité pour les administrations européennes : des attaques persistantes, souvent furtives, dirigées droit vers les systèmes qui tiennent l'État debout. Pour l'heure, le message luxembourgeois est que le périmètre a tenu là où il importait le plus — les données de ses 670 000 résidents — alors même que les assaillants avaient déjà franchi le seuil.

Questions fréquentes

Les données personnelles des citoyens ont-elles été compromises ?
Non. Selon le gouvernement, « aucune information relative aux citoyens n'est concernée ». L'accès s'est limité au registre des appareils et aux coordonnées professionnelles des agents de l'État ; le contenu stocké sur les téléphones (messages, calendrier, photos) n'a pas été affecté.
Combien d'appareils étaient concernés et lesquels ?
Environ 4 850 smartphones et tablettes gérés par le CTIE, avec leurs caractéristiques techniques. Les appareils du secteur éducatif, administrés séparément par le CGIE, n'ont pas été touchés. Par précaution, chaque appareil affecté a été reconstruit.
S'agissait-il d'une campagne d'hameçonnage ?
Non. La porte d'entrée a été le logiciel tiers de gestion des appareils mobiles, infecté fin janvier dans les heures précédant une mise à jour de l'éditeur, et non un employé piégé par un courriel frauduleux.
Les services de l'État ont-ils été interrompus ?
Seul l'accès mobile aux services internes a été coupé après l'isolement de la plateforme. Les agents ont basculé sur leurs ordinateurs de bureau, et une interface web restait accessible depuis les téléphones. Les services sont demeurés opérationnels.
Sources(10)
  1. 1État des lieux suite à l'incident affectant les appareils portables de l'ÉtatLe gouvernement luxembourgeois (gouvernement.lu) · gouvernement.lu
  2. 24.850 appareils mobiles de l'État touchés par un logiciel malveillantPaperjam · paperjam.lu
  3. 3Les données informatiques de l'État compromises lors d'une cyberattaquePaperjam · paperjam.lu
  4. 4On en sait plus sur le logiciel malveillant qui a perturbé les services de l'ÉtatLe Quotidien · lequotidien.lu
  5. 5Cyberattaque sur 4 850 appareils publics du CTIE: des données exposées, mais pas de messagesLes Frontaliers · lesfrontaliers.lu
  6. 6Luxembourg: Un logiciel malveillant perturbe les appareils mobiles de l'ÉtatL'essentiel · lessentiel.lu
  7. 7Luxembourg government mobiles cut off after malware alertDelano · delano.lu
  8. 8ENISA Threat Landscape 2025European Union Agency for Cybersecurity (ENISA) · enisa.europa.eu
  9. 9ENISA 2025 Threat Landscape report highlights EU faces escalating hacktivist attacks and state-aligned cyber threatsIndustrial Cyber · industrialcyber.co
  10. 10Stéphanie ObertinWikipedia · en.wikipedia.org

naviguerouvrirescfermer