Cybersécurité de l'État
Un logiciel malveillant est resté un mois dans un système informatique de l'État
Une intrusion sur le système de gestion des appareils du CTIE a exposé noms, numéros et courriels professionnels d'agents publics. Aucune donnée de citoyen n'a été touchée, assure le gouvernement.
Par Camille Reuter · · 5 min de lecture

Il aura suffi de quelques heures, fin janvier 2026, pour qu'un code malveillant se glisse dans l'un des rouages qui font tourner l'État luxembourgeois — juste avant que le prestataire ne mette le système à jour. Pendant près d'un mois, il y est resté, discret, invisible. Ce n'est qu'au soir du jeudi 26 février que l'administration informatique du pays a fini par le repérer, coupant aussitôt l'accès aux services internes de l'État depuis les smartphones et tablettes des agents, et ouvrant une enquête qui, en quelques jours, allait remonter jusqu'au Conseil de gouvernement.
L'intrusion a visé le Centre des technologies de l'information de l'État (CTIE), l'organe qui conçoit, exploite et sécurise l'informatique gouvernementale. Le maliciel a été découvert sur la plateforme que le CTIE utilise pour gérer les appareils mobiles de l'État. Selon les informations de Paperjam, il avait infecté le système autour de la fin janvier et était passé inaperçu pendant environ un mois — une chronologie que reprend le titre d'un compte rendu ultérieur de DataBreaches.net, « actif pendant près d'un mois ».
L'épisode ne relève pas du registre spectaculaire des sites publics mis hors ligne. Pas de déferlement de trafic parasite, pas de demande de rançon : une intrusion silencieuse, tournée vers la donnée. Elle pose une question dérangeante sur l'épine dorsale numérique dont dépendent résidents et fonctionnaires : combien de temps une présence hostile peut-elle subsister au sein des systèmes de l'État avant d'être démasquée ?
Ce qui a fuité, et ce qui a tenu
L'analyse technique menée par le CTIE et l'équipe gouvernementale GOVCERT.LU a établi qu'un attaquant avait atteint une liste précise, employée pour administrer les ordinateurs portables fournis par l'État. Dans un communiqué commun, le ministère de la Digitalisation et le Haut-Commissariat à la protection nationale ont indiqué :
un acteur externe a pu accéder à une liste d'informations nécessaires à la gestion des appareils portables administrés par le CTIE
Cette liste, ont précisé les autorités, contenait des éléments de gestion d'appareils, et non le contenu des fichiers de qui que ce soit. Les données exposées portaient sur :
- les noms des détenteurs des appareils ;
- leurs numéros de téléphone et adresses de courriel professionnelles ;
- les caractéristiques techniques des appareils eux-mêmes.
Deux bornes ont permis de mesurer la gravité de la brèche. D'abord, la portée est restée circonscrite : « Les services du CTIE ont contenu l'accès non autorisé en quelques heures et l'ont limité à la liste des appareils portables gérés par le CTIE », a souligné le ministère de la Digitalisation. Ensuite — et c'est le point sur lequel le gouvernement a le plus insisté — les dossiers des citoyens sont restés hors de portée : « Aucune information relative aux citoyens n'a été affectée. » Les appareils mobiles du secteur éducatif, gérés séparément par le CGIE, n'ont pas davantage été touchés.
Les démarches des usagers n'ont pas été coupées
Si la brèche a été contenue, la gêne, elle, a été bien réelle pour les agents de l'État. À partir du soir du 26 février, les services internes n'étaient plus joignables via les téléphones et tablettes gérés par le CTIE — messagerie et agendas compris — et les fonctionnaires se sont rabattus sur leurs ordinateurs de travail, restés pleinement opérationnels. Pour le grand public, le message concret est simple : les services accessibles par ordinateur ont continué de fonctionner. L'incident a frappé la gestion interne des appareils, pas les portails citoyens utilisés pour déclarer ses impôts ou accomplir ses formalités.
Une crise qui remonte jusqu'au Conseil de gouvernement
Le CTIE a aussitôt cherché à cloisonner le problème : il a isolé le serveur compromis avant d'en installer un entièrement neuf. L'affaire a ensuite gravi les échelons du dispositif de gestion de crise. La cellule d'évaluation du risque cyber (CERC) s'est réunie le soir du jeudi 5 mars, et le Premier ministre Luc Frieden a convoqué des experts pour informer le Conseil de gouvernement le lendemain, vendredi 6 mars. Les personnes dont les coordonnées figuraient sur la liste ont été averties et invitées à la vigilance.
Qu'une simple liste de gestion d'appareils — et non un trésor de données citoyennes — ait justifié un point en Conseil de gouvernement en dit long sur le sérieux désormais accordé à ce type d'intrusion. Les métadonnées exposées, des adresses professionnelles aux spécifications des terminaux, sont précisément la matière première d'un hameçonnage ultérieur ou d'un ciblage d'agents publics.
Un étau qui se resserre à l'échelle européenne
La brèche du CTIE ne survient pas en vase clos. Le Luxembourg a encaissé une série d'incidents ces dernières années : une brève attaque par déni de service distribué (DDoS) a frappé des sites gouvernementaux en janvier 2025 ; une vague de DDoS de deux semaines au printemps 2024, revendiquée par des pirates pro-russes, a perturbé ministères et administrations ; et en juillet 2025, une faille « zero-day » dans des équipements réseau Huawei a fait tomber le réseau de télécommunications de POST Luxembourg, selon The Record.
À l'échelle du continent, les administrations publiques subissent une pression continue. Le collectif hacktiviste pro-russe NoName057(16) a revendiqué près de 1 530 opérations entre la fin octobre 2025 et la mi-mars 2026 — environ 300 par mois, les sites gouvernementaux représentant près du tiers de ses cibles —, selon une enquête de The Moscow Times et du média Vot Tak. Europol et Eurojust ont conduit des opérations internationales pour démanteler ce réseau (opération Eastwood, juillet 2025). L'intrusion du CTIE est d'une tout autre nature que ces campagnes de DDoS tapageuses — aucun groupe ne l'a revendiquée, et son but était l'accès, non la perturbation —, mais elle s'inscrit dans le même climat d'attaques intensifiées contre les États européens.
Pour le Luxembourg, l'épisode tient moins de la panne spectaculaire que du test de résistance : le maliciel a été détecté, les dégâts circonscrits et les données des citoyens épargnées — mais seulement après qu'un intrus eut passé près d'un mois au cœur de la machine gouvernementale.
Questions fréquentes
- Les données des citoyens ont-elles été compromises ?
- Non. Le ministère de la Digitalisation a déclaré qu'« aucune information relative aux citoyens n'a été affectée ». L'exposition portait sur des métadonnées de gestion des appareils détenus par des agents publics : noms, numéros de téléphone, courriels professionnels et caractéristiques techniques des terminaux.
- Les services en ligne de l'État ont-ils été interrompus ?
- Les services accessibles par ordinateur sont restés pleinement opérationnels. Seul l'accès aux services internes via les smartphones et tablettes gérés par le CTIE a été restreint à partir du soir du 26 février 2026. Les portails citoyens (impôts, démarches) n'ont pas été touchés.
- S'agissait-il d'une attaque par rançongiciel ou par déni de service ?
- Non. Il ne s'agissait ni d'un rançongiciel ni d'une attaque par déni de service (DDoS). C'était une intrusion via un maliciel visant la donnée : un acteur externe a accédé à une liste servant à gérer les ordinateurs portables administrés par le CTIE. Aucun groupe ne l'a revendiquée.
- Comment l'État a-t-il réagi à l'incident ?
- Le CTIE a contenu l'accès non autorisé en quelques heures, isolé le serveur affecté puis installé un serveur entièrement neuf, avec l'appui de GOVCERT.LU. La cellule d'évaluation du risque cyber s'est réunie le 5 mars et le Premier ministre Luc Frieden a fait informer le Conseil de gouvernement le 6 mars. Les personnes concernées ont été averties.
Sources(10)
- 1Access to State IT System Restricted After Malware DetectedChronicle.lu · chronicle.lu
- 2Investigation Confirms Malware Accessed Personal Information on Government SystemChronicle.lu · chronicle.lu
- 3State IT device data compromised in Luxembourg cyberattackPaperjam · en.paperjam.lu
- 4Luxembourg government mobiles cut off after malware alertPaperjam · en.paperjam.lu
- 5Luxembourg government mobiles cut off after malware alertDelano · delano.lu
- 6Malware on Luxembourg public sector devices was active for almost a monthDataBreaches.Net · databreaches.net
- 7Luxembourg Investigates Cyber Incident Affecting State DevicesLuxembourg Expats · luxembourgexpats.lu
- 8Pro-Russian Hacker Group Gamifies Cyberattacks on Europe With Crypto Rewards – InvestigationThe Moscow Times · themoscowtimes.com
- 9Global operation targets NoName057(16) pro-Russian cybercrime networkEuropol · europol.europa.eu
- 10Huawei zero-day attack behind last year's crash of Luxembourg's entire telecoms networkThe Record (Recorded Future News) · therecord.media



