Plans de centrales nucléaires françaises exposés : un hacker relance une fuite massive via un sous-traitant d’EDF

🔍 Le contexte : une fuite datant de septembre 2025

Le 21 avril 2026, alors que les autorités françaises annonçaient l’arrestation d’un hacker notoire, un autre acteur du milieu cybercriminel a choisi de riposter. Le pirate connu sous le pseudonyme Angel_batista a republié des extraits d’une volumineuse fuite de données datant de septembre 2025, provenant du sous-traitant Axyon Ingénierie, prestataire d’EDF (Électricité de France).

Ces documents, représentant initialement près de 94 Go, concernent six centrales nucléaires françaises. Le lot récemment mis en avant contient environ 7 Go non compressés, soit 2 491 fichiers, principalement des images techniques et des plans détaillés des installations. Ces éléments offriraient une vue précise sur les structures, les accès physiques et les éventuels points faibles des sites.

Cette republication intervient dans un contexte de tension accrue autour de la cybersécurité du secteur nucléaire français — pilier stratégique d’une production électrique nationale qui dépend à plus de 70 % de l’atome, une proportion unique en Europe.

👮 L’arrestation de HexDex et la réponse provocatrice d’Angel_batista

Quelques heures avant la publication d’Angel_batista, le parquet de Paris confirmait l’interpellation d’un individu soupçonné d’être derrière de multiples fuites de données sous le pseudonyme HexDex. Né en août 2004, ce jeune homme de 21 ans a été arrêté en Vendée le 20 avril 2026 par la Brigade de lutte contre la cybercriminalité (BL2C). Il a été mis en examen et placé en détention provisoire le 23 avril.

HexDex était lié à une vague de cyberattaques visant des fédérations sportives, des services publics et d’autres entités françaises depuis fin 2025. Son profil sur des forums spécialisés avait fait l’objet d’une saisie visible — une pratique des autorités pour signaler publiquement une neutralisation.

En réaction directe à l’arrestation de HexDex, Angel_batista a affirmé que sa propre bannière de saisie n’était qu’un « troll ». Il a alors diffusé une partie des données volées chez Axyon Ingénierie, bureau d’études basé à Collégien (Seine-et-Marne), spécialisé dans l’ingénierie pour le secteur énergétique.

📂 Des documents techniques d’une précision inquiétante

La fuite initiale, datée de septembre 2025, avait été mise en vente en janvier 2026 pour un volume total annoncé de 340 Go, incluant potentiellement d’autres données. Le lot actuellement republié représente une fraction de cet ensemble : environ 6 à 7 Go d’images et de plans non compressés.

🏭 Les six centrales concernées

• Cruas — Ardèche (07), vallée du Rhône · 4 réacteurs · ~3 600 MWe
• Gravelines — Nord (59), près de Dunkerque · 6 réacteurs · plus grande centrale nucléaire d’Europe occidentale
• Bugey — Ain (01), au bord du Rhône, à 30 km de Lyon · 4 réacteurs
• Saint-Laurent-des-Eaux — Loir-et-Cher (41), bords de Loire · 2 réacteurs
• Dampierre-en-Burly — Loiret (45), bords de Loire · 4 réacteurs
• Tricastin — Drôme (26), vallée du Rhône · 4 réacteurs

📐 Que contiennent ces fichiers ?

Selon les descriptions disponibles — issues des revendications du hacker et d’analyses de sites spécialisés —, les documents comprennent :

• Blueprints et schémas architecturaux détaillés des installations
• Photographies internes des bâtiments et équipements
• Plans permettant une reconnaissance fine des accès physiques
• Informations potentielles sur les systèmes de sécurité et les vulnérabilités structurelles

Ces éléments offriraient, selon les analyses disponibles, une vision exploitable pour quiconque chercherait à cartographier les lieux avec précision — qu’il s’agisse d’espionnage industriel, d’évaluation de vulnérabilités ou, dans le pire des cas, de préparation d’actions malveillantes.

🔗 La vulnérabilité de la chaîne de sous-traitance nucléaire

Cet incident met crûment en lumière les risques liés à la supply chain (chaîne d’approvisionnement) du secteur nucléaire. EDF n’a pas été directement compromise, mais l’un de ses prestataires l’a été. Axyon Ingénierie, spécialisée dans les études d’ingénierie pour l’énergie, détenait manifestement des données hautement sensibles sur des infrastructures classées critiques.

Ce schéma n’est pas nouveau à l’échelle internationale : la compromission de sous-traitants comme vecteur d’accès à des cibles stratégiques est une technique bien documentée — on pense notamment à l’attaque SolarWinds en 2020 aux États-Unis, qui avait compromis des dizaines d’agences fédérales américaines via un simple prestataire logiciel. En France, le secteur nucléaire, bien que très réglementé, n’est pas immunisé contre ce type d’attaque indirecte.

Les données circulaient déjà sur des forums depuis janvier 2026 sans avoir été totalement « écoulées ». La republication du 21 avril vise clairement un double objectif : démontrer que le hacker conserve le contrôle de ces informations et narguer ouvertement les autorités au lendemain d’une arrestation médiatisée.

Aucune communication officielle d’EDF ou de l’Autorité de sûreté nucléaire (ASN) n’a été recensée à ce stade concernant cette republication spécifique, bien que l’affaire HexDex ait fait l’objet de confirmations par le parquet de Paris.

🛡️ Conséquences potentielles pour la sécurité nationale

Les centrales nucléaires constituent un pilier fondamental de la souveraineté énergétique française. Avec plus de 56 réacteurs répartis sur 18 sites en activité, la France tire environ 70 à 75 % de son électricité du nucléaire — une dépendance bien supérieure à celle de ses voisins européens (moins de 15 % pour l’Allemagne, environ 25 % pour la Belgique). Toute exposition détaillée de plans, d’accès physiques ou de failles structurelles représente donc un risque systémique, que ce soit pour :

• Des actes de sabotage physique ciblés
• Des opérations d’espionnage industriel ou étatique
• Des menaces terroristes bénéficiant d’une cartographie précise des sites
• Des attaques cyber-physiques coordonnées visant les systèmes de contrôle

Les autorités françaises, via la BL2C et le parquet de Paris, ont réagi rapidement sur le dossier HexDex. La question demeure entière : une action similaire sera-t-elle engagée avec la même célérité pour contenir la diffusion des documents nucléaires et identifier les responsables de la compromission initiale chez Axyon ?

Ce cas illustre une fois de plus la persistance des menaces cybercriminelles contre les infrastructures critiques, même après des interpellations médiatisées. Dans le domaine cyber, neutraliser un acteur ne suffit pas à effacer les données déjà exfiltrées.

✅ Conclusion

La republication par Angel_batista de plusieurs gigaoctets de plans et images issus des centrales nucléaires françaises révèle une faille persistante dans la protection des données sensibles du secteur énergétique. Volées en septembre 2025 chez un sous-traitant d’EDF, ces informations détaillées circulent depuis des mois — et viennent d’être remises en avant publiquement dans un geste de défi aux autorités.

Alors que HexDex a été interpellé et mis en examen, d’autres acteurs démontrent que le risque demeure élevé et les données hors de contrôle. Cette affaire rappelle une vérité fondamentale : la sécurité d’une infrastructure critique ne vaut que ce que vaut le maillon le plus faible de son écosystème de prestataires.

📚 Sources

1. Cyberattaque.org — Fuite inquiétante d’images de centrales nucléaires françaises
2. Le Parisien — HexDex mis en examen et placé en détention provisoire
3. Ouest-France — Ce que l’on sait de HexDex, le hacker interpellé en Vendée