En l’espace de douze mois, une succession inédite de cyberattaques a éparpillé des millions de données sensibles d’une large majorité de Françaises et de Français. Administrations, services publics et grandes entreprises ont vu leurs bases circuler hors de tout cadre officiel.
Cela est à rapprocher du projet européen de déréglementer la protection de nos données pour favoriser l'entraînement des systèmes d'IA (plan omnibus numérique). Ce texte vise à "alléger" les dispositions en vigueur, notamment celles du RGPD (Réglement général sur la protection des données, appliqué dans toute l'Europe depuis 2018).
Ci-dessous extraits d'un article de Médiapart et d'un de l'EDRi (European Digital Rights), et d'autres sources.
Au 31 décembre, une large majorité de la population a vu ses données personnelles circuler en dehors des systèmes censés les protéger. Côté administrations, des bases issues des ministères de l’intérieur et des sports, de France Travail, de plus d’un millier de mairies ou de plusieurs agences régionales de santé (ARS) ont été exposées. Côté privé, de gros opérateurs comme SFR ou Bouygues Telecom se sont fait piéger au même titre qu’Air France, Auchan ou Leroy Merlin, ainsi que des centaines de cabinets médicaux.
Une vingtaine de fédérations sportives, dont l’Union nationale du sport scolaire (UNSS), ainsi que des facultés comme Sorbonne Université, ont également vu leurs bases circuler. À la Fédération française de tir, une fuite a exposé en octobre des données sensibles liées aux licencié·es. Ces informations permettent d’identifier des détenteurs et détentrices d’armes et de cibler des adresses, exposant les domiciles visés à des cambriolages.
La Commission nationale de l’informatique et des libertés (Cnil) confirme une "tendance à la hausse du volume de violations de données notifiées" (plus 20%). Son bilan enregistrait une forte augmentation des sanctions (doublement) et des mises en demeure et rappels aux obligations légales.
Pour le hacker éthique Clément Domingo, connu sous le pseudonyme de "SaxX", 2025 marque une rupture. "En 2024, on pensait déjà avoir atteint un plafond. Cette année, il n’y a pas eu de pause. Pas une semaine sans une fuite majeure", résume-t-il. Ce qui le frappe autant que le rythme, c’est la nature des informations exposées : "On ne parle plus seulement d’e-mails ou de mots de passe, mais de données d’identité complètes, parfois enrichies par des informations médicales ou administratives."
Au fil des mois, il dit avoir constitué un dossier à partir de fichiers de ces données circulant entre cybercriminels. Sur la base des documents qu’il affirme avoir pu examiner, il avance qu’environ 600 millions de données personnelles liées à des Français·es seraient aujourd’hui agrégées dans ces bases. "C’est une estimation basse, fondée simplement sur ce que j’ai vu, précise-t-il. La circulation de ces fichiers laisse supposer des volumes encore plus importants." SaxX explique qu’"à partir d’un simple mail", il devient possible de retracer "presque toute la vie administrative d’une personne".
Des fuites commercialisées sur des forums clandestins
Une fois collectées, ces informations ne restent pas dispersées. Elles se retrouvent regroupées sur quelques plateformes du dark web, accessibles par des navigateurs spécifiques, dont BreachForums. À première vue, le site ne détonne pas : une interface simple, structurée comme un forum grand public ; des fils de discussion empilés, malgré des pages plutôt lentes à se charger. Rien, visuellement, ne distingue cette plateforme clandestine d’un espace communautaire ordinaire.
Les rubriques, en revanche, en disent long. "Databases", "marketplace", sections "tech" consacrées aux logiciels malveillants ou aux méthodes d’intrusion : tout s’articule autour du "breach", le terme anglais pour désigner une violation, ici celle de bases de données entières.
L’inscription ne constitue pas un obstacle. Une adresse mail, un pseudonyme et un mot de passe suffisent pour accéder au site. Les discussions visibles existent, mais restent secondaires. Ce qui fait vivre le site, ce sont les fichiers qui ont fuité.
Les "leaks" s’échangent par un système de crédits. Contre quelques euros en cryptomonnaies, les utilisateurs et utilisatrices peuvent acheter des lots donnant accès à de vastes ensembles de données. Les données y sont exposées comme n’importe quelle marchandise, avec un intitulé, un volume, un prix et des mises à jour au gré des nouvelles fuites.
Pour illustrer l’impact concret : "Personne n’accepterait de se promener dans la rue avec une pancarte indiquant son nom, son adresse et son numéro de téléphone", souligne SaxX. Selon lui, c’est pourtant exactement l’effet produit par ces bases, qui exposent des informations intimes sans que les personnes concernées aient le moindre contrôle.
Les tentatives de fraude ont ainsi gagné en précision. Les SMS de phishing intègrent désormais le nom et le prénom de la victime, parfois son adresse. De faux avis d’amende liés à une plaque d’immatriculation ou de prétendus remboursements de l’assurance-maladie servent de prétexte pour soutirer des coordonnées bancaires. Un moment d’inattention suffit pour laisser filer numéro de carte, date d’expiration et cryptogramme.
Derrière ces fuites, les méthodes d’intrusion sont souvent moins sophistiquées qu’on ne l’imagine. Le facteur humain joue un rôle central et, dans certains cas, "le piratage de deux ou trois comptes suffit à remonter jusqu’aux systèmes centraux", souligne le hacker.
Cette mécanique, Gabriela Belaïd l’a vue fonctionner de l’intérieur. Pendant plus de quinze ans, elle a travaillé dans les services informatiques de l’État, des hôpitaux de Paris au ministère de la santé, puis pour des organismes liés aux agences régionales de santé et à la Haute Autorité de santé, manipulant des données sensibles avant et après l’entrée en vigueur du règlement général sur la protection des données (RGPD), le cadre européen en vigueur.
Elle se souvient de systèmes anciens, parfois à bout de souffle. "J’ai vu des solutions obsolètes que l’on ne pouvait même plus mettre à jour", raconte-t-elle. Faute de budget ou à cause des délais imposés par les marchés publics, ces infrastructures continuaient pourtant de fonctionner.
Mais la sous-traitance, y compris auprès de gros industriels (par exemple Microsoft pour le Health Data Hub en matière de données de santé) ne donne pas non plus toutes les garanties nécessaires. La multiplication des points d'entrée dans les bases comme les failles des processus de transfert de ces données , la tentation de ces sous-traitants de monnayer les données stockées comme des dispositifs légaux pour le faire (le cloud act américain par exemple) sont autant de motifs de fuites. Le cas de Doctolib (hébergé par Amazon) est tout aussi éclairant.
Par ailleurs, l'interconnexion de fichiers publics (auparavant interdites, du temps de la loi Informatique et Libertés de 1978), le droit de leur consultation ouvert à de plus en plus d'agent.es (désormais plus obligatoirement assermenté.es) ont été mis en oeuvre pour favoriser le pistage des individus (comme par exemple dans la Loi contre les fraudes sociales et fiscales, actuellement en discussion). Les deux contribuent aux fuites en multipliant les points de connexion possibles et les intervenant.es moins qualifié.es et/ou moins responsabilisé.es.
Dans les faits, les cyberattaques ne passent pas par des prouesses techniques spectaculaires. Gabriela Belaïd insiste sur ce point : "Il faut arrêter d’imaginer que les hackers sont toujours ultra-sophistiqués. Souvent, les portes sont déjà entrouvertes : comptes mal protégés, mots de passe trop simples ou réutilisés, absence de double authentification."
Le facteur humain demeure, pour elle comme pour le hacker éthique, le maillon le plus vulnérable des systèmes. De plus, la sécurité informatique dans le service public repose largement sur des contrats à durée déterminée, avec un turn-over important. Gabriela Belaïd en est elle-même un exemple, après avoir enchaîné les CDD pendant plus de quinze ans. "Les procédures se fragilisent à mesure que les équipes se renouvellent", explique-t-elle. "La cybersécurité n’est jamais une priorité dans le quotidien des salariés", constate-t-elle.
L’intelligence artificielle comme nouvel outil de cyberattaque
Sur l’intelligence artificielle, qu’elle défend par ailleurs dans le cadre du plan national "Osez l’IA", Gabriela Belaïd se montre prudente. Cette technologie ne crée pas de nouvelles cyberattaques, "elle va surtout les rendre plus rapides, plus massives et plus crédibles". Des tâches qui prenaient du temps sont désormais automatisées, ce qui permet de lancer plusieurs attaques en même temps et de réduire fortement les coûts. Selon elle, l’IA rend aussi la cyberattaque plus accessible. "Elle va permettre à de plus petites organisations de programmer des attaques", là où cela demandait auparavant des compétences techniques élevées.
Le ministère chargé du numérique rappelle la présentation prochaine d’une nouvelle stratégie nationale de cybersécurité, adossée au projet de loi "résilience", déjà adoptée depuis mars au Sénat et qui serait examinée prochainement par l’Assemblée nationale. Davantage d’organisations devront renforcer la protection de leurs systèmes, signaler plus rapidement les incidents et se soumettre à des contrôles, sous peine de sanctions.
Le ministère s’en remet aussi aux individus : "La protection de la nation repose sur la vigilance et la mobilisation de chacun d’entre nous, et une responsabilité partagée : celle de bâtir ensemble notre résilience cybercollective." Mais, à ce jour, aucun bilan chiffré global n'est produit concernant les fuites survenues en 2025, ni d’éléments précis sur les failles mises au jour.
Il y a nécessité, en France (car le RGPD européen ne peut suffire), d'une nouvelle législation protectrice de nos données personnelles :
- qui interdise l'interconnexion de bases de données en vertu du principe de minimisation (artcle 5 du RGPD) et de la protection des données sensibles (article 9, notamment celles liées à la santé article 4-15).
- qui réintègre cette gestion des données dans les services des administrations concernées, avec l'emploi de logiciels libres (par exemple comme le propose InterHop avec son LibreDataHub).
- qui limite strictement la consultation et l'usage de ces données à des agent.es permanent.es, assermenté.es et donc responsabilisé.es.
- qui interdise l'emploi de ces données personnelles pour servir de base de réponses aux systèmes d'IA.
La dérégulation européenne en marche
Comme dans le domaine écologique, la nouvelle commission européenne, entrée en fonction le 1e décembre 2024, a entrepris de détricoter le droit européen de protection des données. Glissement à droite de cet exécutif, pouvoir personnel de la présidente comme moindre résistance aux exigences américaines expliquent ces revirements face à une législation plus protectrice qui se construisait depuis quelques années (autour du RGPD, de la directive ePrivacy, du DSA [Digital Service Act], du règlement IA...).
Cette dérégulation est aussi à rapprocher de la volonté européenne de favoriser le développement d'une IA européenne ... au détriment du droit de protection de ses habitant.es ! Au moment où les piratages se multiplient, la commission choisit d'affaiblir les protections et les outils de contrôles.
Fin novembre, la commission a présenté deux propositions de loi omnibus sur le numérique (Loi omnibus globale sur le numérique et Loi omnibus sur le numérique relative à l'IA), s'inscrivant dans un vaste programme de déréglementation des politiques numériques de l'UE et des protections des droits humains.
La loi Omnibus affaiblit la directive ePrivacy en transférant la disposition clé relative à l'accès aux données des appareils vers le RGPD. Le consentement restera nécessaire pour la plupart des suivis, mais plusieurs exceptions générales permettront toujours aux entreprises de lire les données sur les appareils sans autorisation. Le signal de confidentialité est le seul point positif. Il offre aux individus un moyen clair de refuser l'accès, mais il ne s'applique qu'après deux ans et ne concerne pas de nombreux sites d'information.
Cette même proposition remanie également des éléments essentiels du RGPD. Elle restreint la définition des données personnelles par le biais d'un nouveau considérant qui permet aux entreprises de s'auto-évaluer, autorise l'utilisation sans contrôle des données les plus intimes des individus pour l'entraînement des systèmes d'IA et remodèle la prise de décision automatisée, ce qui peut avoir des conséquences discriminatoires et permettre une utilisation plus large et moins encadrée.
Prises ensemble, ces modifications donnent aux autorités étatiques et aux grandes entreprises davantage de latitude pour collecter et traiter les données personnelles, avec un contrôle limité et une transparence réduite. Les citoyens perdront des garanties essentielles, et les communautés minoritaires seront encore plus exposées au profilage, aux décisions automatisées et à la surveillance intrusive.