Fuite de données : la grande hémorragie

La France continue de battre des records en termes de fuites de données. Entreprises, collectivités, organismes publics, « Ils ne mouraient pas tous, mais tous étaient frappés ». Au-delà des dramatiques conséquences cyber, le phénomène alimente parfois la criminalité classique. Plus inquiétant encore : la tendance ne fait que s’aggraver de mois en mois. État des lieux.

C’est un festival ! Les annonces de fuites de données se multiplient depuis début 2025, au point que l’on se demande si la France ne va pas finir par passer n° 1 mondial dans le domaine. Selon Cybernews, le pays est en effet déjà N° 1 européen et n° 2 mondial. « L’Hexagone concentre, à lui seul, 1,8 million de comptes compromis entre janvier et juin 2025 et le deuxième au monde derrière les États-Unis », déplore le média en ligne… Sans compter que, depuis l’été, la série noire n’a fait que s’amplifier.

Un classement qui progresse régulièrement, la France oscillant entre la 9^e et la 3^e place depuis 2020, selon les instituts et entreprises qui établissent ces baromètres. Surfshark, éditeur de solutions de cybersécurité, ne classait la France qu’à la 7^e place au 1^er trimestre 2025. Si le périmètre de ces différentes études peut varier, le chiffre n’en est pas moins préoccupant. « Le signal est d’autant plus fort que le volume mondial de comptes piratés s’effondre dans le même temps : 15,8 millions au 1^er semestre 2025, soit vingt fois moins qu’au 1^er semestre 2024, selon le Personal Data Leak Checker de Cybernews », soulignent nos confrères.

Certaines fuites massives font l’objet de controverse, comme celle qui aurait frappé l’ANTS, l’agence nationale des titres sécurisés, en clair, la base de données qui héberge notamment nos cartes nationales d’identité. Le 19 septembre dernier, Clément Domingo, dit SaxX, chercheur en cybersécurité, « confirme qu’une base de données concernant 12,7 millions de Français sur leur état civil a été piratée ». Celui qui se présente comme « un gentil hacker » affirmait avoir été en contact avec les cybercriminels et avoir « pu consulter hier en entier ladite base de données et la transmettre à qui de droit ».

La CNIL pointée du doigt

« La CNIL n’endosse pas assez son rôle ! », déplorait-il en outre. De fait, il appartient à la Commission nationale de l’informatique et des libertés de veiller à la bonne sécurisation des données, un domaine dans lequel elle « ne condamne presque jamais […] Le RGPD est devenu une blague pour les responsables de traitement. Au lieu d’envoyer le signal qu’il fallait protéger les données, on a envoyé celui qu’on pouvait s’en foutre », estimait Guillaume Champeau, fondateur du média Numerama. Plus gênant, il souligne par ailleurs que la CNIL avait classé sans suite une plainte pointant des vulnérabilités de l’ANTS, une affaire qui était remontée jusqu’au Conseil d’État.

Malgré cette avalanche de critiques, l’ANSSI a fermement démenti, par la voix de son directeur général. Selon Vincent Strubel, la base dont parle SaxX serait « une base de données en vente sur le dark Web depuis mars 2025 au moins […] sans lien identifié avec les bases de l’ANTS ». Le White Hat maintient néanmoins ses allégations.

D’autres piratages, en revanche, ne font aucun doute. Parmi ceux qui inquiètent le plus pour ses conséquences concrètes figure sans nul doute celui de la base de données de la Fédération française de Tir (FFTir). Les 250 000 tireurs sportifs – dont beaucoup détiennent légalement des armes à leur domicile – et 750 000 anciens licenciés, ont vu leurs données personnelles fuiter sur le Dark Web. Découvert le 20 octobre dernier, le piratage aurait eu lieu le week-end précédent et comprend le numéro de licence, l’état civil, l’adresse postale, le mail et le numéro de téléphone de l’adhérent. La Fédération a aussitôt prévenu la brigade de lutte contre la cybercriminalité (BL2C), qui est depuis chargée de l’enquête.

Arnaques, fuites et armes volées

Les conséquences ne se sont guère fait attendre : le parquet de Paris a déploré le 26 novembre que « ces données [avaient] été utilisées pour commettre des vols par effraction ou par usage de fausse qualité au cours desquels les armes ont été notamment dérobées ». À Nice, le 13 novembre dernier, deux faux policiers ont subtilisé armes et munitions à un amateur de tir sportif. Des tentatives similaires avaient échoué quelques jours auparavant à Paris et à Orléans. La FFTir a rappelé à ses adhérents que les forces de l’ordre devaient prévenir les particuliers par courrier avant de se présenter à leur domicile pour vérifier les conditions de stockage de leurs armes autorisées.

Le 21 novembre à Limoges, deux individus cagoulés ont dérobé deux pistolets et 500 cartouches au domicile d’un tireur sportif, ancien garde du corps. Le 25 novembre à Décines-Charpieu, dans la banlieue lyonnaise, un tireur a constaté la disparition de son coffre non scellé au mur, qui contenait cinq armes de poing et des munitions.

Pourtant, les enquêtes doivent encore déterminer si ces cambriolages sont en lien direct avec la fuite de données. Si les voleurs peuvent avoir accès aux coordonnées des tireurs sportifs, ils avancent en effet à l’aveugle, n’ayant aucun moyen de savoir si des armes se trouvent effectivement à leur domicile. Ces informations sont détenues dans le « râtelier numérique », une autre base de données qui n’a pas (encore ?) été affectée. Les tireurs et chasseurs doivent en effet inscrire les armes qu’ils détiennent dans ce Système d’information sur les armes (SIA), géré par le ministère de l’Intérieur.

France Travail, l’habitué des fuites

Aussi gênant sans doute, des policiers, militaires, gendarmes ou douaniers figurent parmi les victimes de cette fuite de données. Si leur profession à risque ne figure pas dans les fichiers dérobés, l’ingénierie sociale et le recoupement de données publiques rendent leur identification possible, augmentant le danger pour eux et pour leurs proches.

Toutes les fuites de données n’ont pas de conséquences aussi graves dans la vie réelle, à l’exemple de celle qui a frappé la Fédération française de Tennis de table en septembre dernier. Si l’exposition des données personnelles des 254 000 licenciés peut leur porter préjudice en les exposant à des tentatives de phishing ou d’usurpation d’identité, les conséquences en termes de banditisme classique sont limitées, la raquette de ping-pong suscitant moins d’appétits sur le marché noir que les armes.

Selon SaxX, ce seraient d’ailleurs toutes les fédérations françaises de sport et associations sportives qui ont été piratées. C’est en tout cas confirmé pour celles de handball (5/12), de football (27/11 et 21/02), de danse (25/11), de tir à l’arc (20/01), d’escalade (24/01), etc.

D’autres acteurs sont abonnés aux fuites à répétition, à l’instar de France Travail. L’agence a dû admettre pas moins de sept fuites de données rien que sur 2025 : le 22 juillet, le 12 août, le 25 septembre, les 29 et 6 octobre, le 17 novembre et le 1^er décembre. Cette dernière a touché « 1,6 million de jeunes suivis par le réseau des Missions locales », selon l’agence. Un piratage qui a fait fuiter un jeu de données particulièrement complet comprenant, outre les « classiques » nom, prénom, date de naissance, adresses mail et postale, numéro de téléphone, le numéro de Sécurité sociale et l’identifiant France Travail des victimes. Petit score pour France Travail qui, en mars 2024, avait été victime d’une fuite touchant potentiellement les mêmes données pour 43 millions de personnes.

10 violations de données par Français

On ne compte évidemment plus les mairies touchées : Saint-Aubin d’Aubigné, Quimper, Chatou, Brest, Alfortville en novembre, sans parler de la fuite de Synbird, un service de prise de rendez-vous en ligne pour l’État civil, qui a impacté 1 300 communes. Les entreprises ne sont pas non plus à la fête : Cuisinella, Schmidt, Leroy Merlin, rien qu’entre le 1^er et le 5 décembre. On se souvient aussi que Bouygues Telecom et Orange figurent parmi les victimes. Médecin Direct, service de téléconsultation, en a aussi été victime le 3 décembre, avec la perte de données médicales très sensibles. En novembre, le service Pajemploi de l’Urssaf, servant à déclarer et rémunérer les assistants maternels et gardes d’enfants à domicile, a vu partir dans la nature les données de « jusqu’à 1,2 million de salariés de particuliers employeurs », a avoué l’organisme.

Les causes de l’épidémie n’ont hélas ! rien d’original. En premier lieu, la méconnaissance des enjeux et le sous-investissement chronique dans la cybersécurité de la part des entreprises et collectivités. Un seul exemple concernant ces dernières : le site gouvernemental cybermalveillance.gouv.fr relevait en novembre 2024 : « Quant au budget consacré à la cybersécurité, 77 % des élus et agents indiquent dépenser moins de 2 000 € ». Le facteur humain (méconnaissance des enjeux et bonnes pratiques, négligence, réutilisation des mots de passe, etc.) figure toujours en bonne position des raisons de cette hécatombe.

L’effet boule de neige joue à plein dans un pays où un « Français moyen a été victime d’une violation de données environ 10 fois », selon Maud Lepetit, responsable France de Surfshark et où « 3 % des internautes français auraient été touchés au premier semestre [2025], quand les États-Unis comptent environ 8 internautes affectés pour 1 000 », d’après Cybernews. Les données récupérées par les cybercriminels servent à monter des arnaques qui servent à leur tour à récupérer plus de données.

À ce rythme, en effet, la France va finir N° 1 mondial de la fuite de données. « Champion, mon frère. »