En 2025, plus de 29 millions de comptes piratés en France
Plus précisément et selon Surfshark, rapporté par France Info, ce sont 29,6 millions de données personnelles que les cybercriminels ont récupéré via différents sites du web français, sur les 9 preniers mois de 2025. Si le nombre paraît impressionnant, la France est bel et bien la cible d’une vague hors norme de cybercriminalité : elle est le deuxième pays le plus touché au monde au premier semestre 2025. Ces attaques ont commencé en 2024, continué en 2025 et se poursuivent déjà cette année. Parmi les groupes touchés, on note des grands noms commerciaux (Free, SFR, Bouygues, Dior, Décathlon, Leroy Merlin, Auchan, Michelin, Air France…) comme des institutions publiques (France Travail, URSSAF, université de la Sorbonne, ministères des Sports et de l’Intérieur…) ou des entités plus petites (diverses fédérations de sport, des hôpitaux…).
Pourquoi autant de problèmes ?
Il y a plusieurs raisons à ces fuites. D’abord, les attaquants : si quelques-uns peuvent en provoquer à des fins médiatiques (comme pour l’attaque du ministère de l’Intérieur en rétorsion à l’arrestation d’un groupe de hackeurs), le but est très souvent l’argent : les données personnelles peuvent se revendre au marché noir ; si chacune rapporte peu individuellement, les grands catalogues ainsi récupérés peuvent rapporter une petite fortune.
Ces données sont ensuite utilisées par leurs acheteurs pour simplement faire des statistiques, mais aussi pour des campagnes d’arnaques par mail (phishing) ou par téléphone, du piratage de comptes bancaires (la fuite de Free en octobre 2024 comportait les IBAN) voire de l’usurpation d’identité. Parmi les conséquences les plus concrètes, notons le vol d’armes à feu chez des particuliers suite à la fuite de données de la Fédération Française de Tir.
Ensuite, les attaqués. Il y a avant tout une raison structurelle, qui n’est d’ailleurs pas propre à la France : la majorité des attaques se fait à travers la supply chain (lien en anglais), c’est-à-dire les nombreux fournisseurs de services et de biens dont les sociétés et institutions victimes sont les clientes. Plus il y a d’acteurs pour vous fournir un service particulier, plus il y a de chances pour que vos données soient transmises à un ou plusieurs de ces acteurs et que l’un d’entre eux soit vulnérable.
Une autre raison tient à la négligence. La CNIL s’en plaint tous les ans : les entreprises ne prennent pas suffisamment soin des données personnelles de leurs clients, et quand elles créent un nouveau projet informatique, ont tendance à remettre la sécurité à plus tard, sans même respecter les réglementations comme le RGPD alors qu’elles sont en vigueur depuis plusieurs années. D’ailleurs, les amendes tombent : dernière en date, France Travail a été condamnée le 29 janvier 2026 à payer 5 millions d’euros pour une fuite en 2024.
Enfin, il faut prendre en compte l’importance croissante de l’informatique et d’Internet dans nos vies. Entre le commerce en ligne et la numérisation des démarches administratives, on arrive facilement à plusieurs dizaines voire centaines de comptes par personne (comme votre serviteur). Autant de services auquel on accède via la même adresse email, avec le même nom et le même prénom… un trio suffisant pour du phishing, et faire le lien avec toute votre vie numérique.
Comment limiter les dégâts ?
Pour vous, tout se passe avant la fuite. Il vaut mieux prévenir que guérir, d’autant plus quand guérir est impossible.
Même si un site sur lequel vous vous inscrivez est responsable des données que vous lui confiez, et que vous ne pouvez rien faire pour empêcher une fuite de données — et encore moins l’arrêter quand elle a eu lieu — vous pouvez prendre certaines précautions, à transformer en bonnes habitudes.
Soignez vos mots de passe
Le but est d’empêcher un attaquant, qui aurait eu accès à un de vos comptes sur Internet, de pouvoir accéder pareillement à vos autres comptes.
Il est indispensable, essentiel, primordial et fondamental d’avoir de bons mots de passe :
- Un mot de passe doit être unique. Chaque service que vous utilisez doit avoir son propre mot de passe, différent de tous les autres.
- Il doit être long, avant d’être complexe. C’est d’abord sa longueur qui le rend difficile à « casser » par un attaquant. Plus un service est important, plus son mot de passe doit donc être long : pensez à ceux où vos coordonnées bancaires ou votre adresse postale peuvent être enregistrées, ou aux services qui donnent accès à plusieurs autres services, comme France Identité.
- Il doit être idiot. Aucune ruse, aucun baratin intelligent ne doit permettre de le deviner, et donc il doit n’avoir aucun rapport avec quoi que ce soit, et surtout pas vous-même.
Changer de mot de passe régulièrement n’est pas indispensable et n’est plus conseillé.
Un bon moyen de créer un mot de passe (ou mieux, une phrase de passe, plus longue et plus facile à mémoriser) est de tirer plusieurs mots d’un jeu de Scrabble. Vous pouvez aussi utiliser des sites comme passphrase.fr, ou même le tirer aux dés avec la méthode Diceware.
Enfin, il vous reste à vous en souvenir. Si certaines phrases de passe restent facilement en mémoire, il vaut mieux les confier à un carnet dédié, ou à un gestionnaire de mot de passe installé sur votre ordinateur (comme KeepassXC) ou en ligne (comme Bitwarden).
Utilisez la double authentification
De nombreux services permettent d’entrer un code de validation après le mot de passe, chaque fois que vous vous connectez ; ce code change à chaque minute et il ne peut donc pas être enregistré dans un site. Il peut vous être envoyé par SMS, par email ou être généré par une application sur votre smartphone comme Google Authenticator, Microsoft Authenticator ou Aegis Authenticator.
Cette option est rarement activée par défaut, acceptez-la quand vous vous inscrivez, ou ajoutez-la à votre compte sur le site si vous êtes déjà inscrit !
Vous pouvez commencer par les services sur lesquels on concentre le plus de données personnelles, notamment nos mails, nos contacts, nos agendas, nos photos…
- Vous avez une adresse mail en
@gmail.comou@gmail.fr, ou vous avez un téléphone Android (actuellement, toutes les marques sauf Apple) : Google - Vous avez une adresse mail en
@hotmail.fr,@outlook.fr, ou@live.com, vous utilisez Microsoft/Office 365 ou OneDrive, ou vous avez un ordinateur sous Windows 11 : Microsoft - Vous avez un iPhone, un iPad, un Macbook ou un iMac : Apple
Et si jamais vous perdez votre smartphone ? La double authentification est souvent accompagnée de codes de secours. Imprimez-les et conservez-les !
Réduisez le partage de vos informations
C’est encore le meilleur moyen de ne pas voir vos données volées depuis un site : ne les y mettez pas. Comme ce n’est pas toujours possible, voici quelques précautions :
- N’enregistrez que le strict nécessaire. Dans un formulaire sur Internet, seuls certains champs sont vraiment indispensables (généralement marqués d’une étoile
*), laissez vides les autres. - N’enregistrez pas de carte bancaire. N’entrez ces coordonnées que lors d’un achat, et effacez-les du site si elles y sont conservées.
- N’envoyez vos documents d’identité qu’à des interlocuteurs sûrs. L’usurpation d’identité est un des objectifs des cybercriminels, et une source d’ennuis sans fin.
- Désinscrivez-vous des sites que vous n’utilisez plus. Si le site ne le permet pas, vous avez le droit de demander la suppression de vos données personnelles par un email ou par courrier postal, dont la CNIL propose un modèle, et le service doit le faire sous un mois.
Comment savoir si mes données ont été piratées ?
Tout d’abord, un service qui découvre qu’il a été attaqué et que vos données ont été volées a l’obligation de vous prévenir.
Vous pouvez aussi surveiller les mouvements d’argent sur votre compte bancaire, et vérifier à chaque fois les messages vous informant d’une connexion à un site web, que vous recevez par mail ou par SMS.
Mais certaines fuites peuvent être anciennes et si vous êtes curieux, il existe des sites qui surveillent les lots de données mis en ligne ou en vente par les cybercriminels, et sur lesquels il est possible de vérifier si des comptes associés à votre adresse email ont fuité :
- Have I Been Pwned (en anglais)
- F‑Secure Identity Theft Checker
Mes données ont fuité, que faire ?
La première chose, c’est de changer le mot de passe pour ce service et d’activer la double authentification si ce n’est pas déjà fait.
N’hésitez pas à supprimer votre compte si vous n’utilisez plus ce service.
Si vos coordonnées bancaires ont été compromises, redoublez d’attention pour votre compte. Au moindre mouvement suspect, contactez votre banque pour faire opposition.
Si vos données personnelles sont utilisées de manière frauduleuse, vous pouvez porter plainte à la police, la gendarmerie ou au procureur de la République. Si elles apparaissent sur des réseaux sociaux (Facebook, X, Instagram…) ou des moteurs de recherche (Google, Bing, Qwant, DuckDuckGo, Yahoo…), vous pouvez demander à ce qu’elles soient supprimées.