Une base de données non sécurisée, hébergée sur un serveur en France, a laissé fuiter plus de 45 millions d’enregistrements liés à des citoyens et résidents français. Ce n’est pas la fuite d’une seule entreprise, mais un gigantesque agrégat de données provenant de plusieurs sources différentes, compilées par des acteurs malveillants pour maximiser la valeur de revente de ces informations.
Concrètement, il ne s’agit pas “juste” d’adresses e‑mail : on parle d’identité, de santé, de finance et même d’informations automobiles, réunies dans un seul entrepôt de données ouvert à tous pendant une durée encore inconnue.
Quelles données sont concernées ?
Les chercheurs en cybersécurité ont identifié au moins cinq grands blocs de données distincts dans cette base exposée.
- Des données de type registre de population / électoral : plus de 23 millions de fiches avec nom complet, adresse postale et date de naissance.
- Des fichiers de professionnels de santé rappelant les registres officiels (RPPS/ADELI), avec identité, spécialité et coordonnées.
- Des millions de enregistrements CRM (gestion de la relation client) liant des personnes à des entreprises ou services.
- Environ 6 millions de profils financiers, incluant parfois IBAN et BIC de banques françaises.
- Des données liées aux véhicules et assurances auto, associant immatriculation, contrat et identité du conducteur.
Pris séparément, chacun de ces jeux de données est déjà sensible. Ensemble, ils permettent de construire des fiches d’identité extrêmement détaillées sur des millions de personnes.
Pourquoi cette fuite est particulièrement grave ?
Cette exposition ne ressemble pas à la fuite classique d’une entreprise qui aurait mal configuré son serveur : tout indique un collecteur de données malveillant ou un courtier en données opérant hors des clous. L’objectif : croiser plusieurs fuites, les centraliser et les enrichir pour revendre des profils “clé en main” à d’autres cybercriminels.
Les risques principaux sont très concrets :
- Usurpation d’identité et fraude bancaire : avec nom, adresse, date de naissance et IBAN, il devient beaucoup plus facile d’ouvrir des comptes frauduleux, de demander des crédits ou de contourner des procédures de vérification.
- Hameçonnage ultra ciblé (phishing) : des e‑mails ou appels qui semblent authentiques parce qu’ils réutilisent de vraies informations (banque, assurance, immatriculation, statut professionnel, etc.).
- Création d’identités synthétiques : mélange de vraies et fausses données pour fabriquer des “personnes” entièrement fictives, utilisées ensuite pour escroqueries et blanchiment.
Le fait que ce “trésor” de données soit concentré sur un seul pays ajoute une couche de gravité : la très grande majorité des victimes potentielles se trouvent en France, ce qui facilite l’industrialisation des attaques.
Un symptôme d’une année noire pour la cybersécurité en France
Cette fuite s’inscrit dans une série d’incidents qui font de 2025–2026 une période noire pour la sécurité des données en France.
- Des attaques ont visé des administrations sensibles, dont le ministère de l’Intérieur, avec des revendications d’accès à des systèmes de casiers judiciaires et de fichiers de personnes recherchées.
- Des universités et grandes écoles françaises ont également été frappées en fin d’année 2025, paralysant parfois une partie de leurs services numériques.
- L’autorité de protection des données (CNIL) a prononcé des amendes record, notamment contre des opérateurs télécoms, pour des failles de sécurité jugées basiques (authentification insuffisante, détection tardive des comportements anormaux, etc.).
Des associations de défense des droits numériques dénoncent un “laisser‑aller systémique” : selon elles, presque aucun jour ne passe sans la découverte d’une nouvelle fuite de données personnelles en France
Et maintenant ?
Cette fuite de 45 millions de dossiers français est un rappel brutal : la donnée personnelle est devenue une matière première pour le crime organisé, au même titre que l’argent ou les armes. Tant que les entreprises, les administrations et les intermédiaires de la donnée ne se mettront pas à la hauteur du risque, ces incidents vont continuer à se multiplier.
En attendant, l’enjeu pour chacun est double : réduire la quantité de données partagées, et augmenter la résilience de ses comptes en ligne. Cela ne supprime pas le risque, mais cela peut faire une énorme différence le jour où, tôt ou tard, ton nom apparaîtra dans l’une de ces gigantesques bases de données exposées…
Source : techndigest cybernews
