Egidio
Dossier · 2026

Fuites de données : l'épidémie mondiale

Ce n'est pas un problème franco-français ni un fait divers isolé — c'est une matière première qui alimente directement les arnaques par téléphone, partout dans le monde.

Le lien direct avec les appels et SMS frauduleux

Une fuite de données ne reste presque jamais confinée à l'entreprise piratée. Une fois en circulation, les informations qu'elle contient — nom, téléphone, parfois banque ou employeur — deviennent la matière première d'un arnaqueur qui personnalise son approche au lieu d'appeler au hasard. Le coût moyen mondial d'une fuite de données atteignait 4,44 millions de dollars en 2025 pour l'entreprise touchée — mais le vrai coût, diffus et difficile à chiffrer, se poursuit ensuite chez chacune des personnes dont les données ont fuité.

Source : IBM, Cost of a Data Breach Report 2025 — voir le dossier « Pourquoi maintenant ».

France : une année record

17 802
Notifications de violations de données reçues par la CNIL en 2025, contre 5 630 en 2024.
CNIL, bilan 2025. Consulté le 14/07/2026.
11 600+
Notifications générées à elles seules par les attaques visant deux éditeurs de logiciels (Weda et Harvest) — l'illustration d'un risque de chaîne d'approvisionnement, pas seulement d'entreprises isolées.
CNIL, bilan 2025. Consulté le 14/07/2026.

Trois cas individuels illustrent l'ampleur de cette année :

Mars 2024
France Travail — intrusion touchant potentiellement 43 millions d'utilisateurs (noms, numéros de sécurité sociale, identifiants, emails, adresses, téléphones). Amende CNIL de 5 millions d'euros prononcée en janvier 2026 pour défaut de sécurisation malgré des failles identifiées dès 2024.
Octobre 2024
Free / Free Mobile — cyberattaque exposant des données liées à 24 millions de contrats abonnés, IBAN compromis pour certains clients. Amendes CNIL cumulées de 42 millions d'euros (27 M€ Free Mobile + 15 M€ Free), prononcées le 13 janvier 2026.
Avril 2026
France Titres (ex-ANTS) — cyberattaque revendiquée avec exfiltration de données de 19 millions de Français (noms, date de naissance, email, identifiants).

Des compilations spécialisées (non officielles) estiment à plus de 300 le nombre de services piratés et à environ 250 millions le nombre d'enregistrements exposés en France depuis janvier 2026 — un ordre de grandeur, pas une statistique certifiée par une autorité publique.

Le vocabulaire à connaître

Have I Been Pwned

Service gratuit créé par le chercheur en sécurité Troy Hunt : entrez votre email pour savoir s'il apparaît dans une fuite de données connue.

Credential stuffing

Un attaquant essaie en masse, sur d'autres sites, des identifiants volés lors d'une fuite précédente — en pariant que vous réutilisez le même mot de passe ailleurs.

Password spraying

L'inverse du brute-force classique : un attaquant essaie un mot de passe très commun sur un grand nombre de comptes différents, pour rester sous le radar des systèmes de détection.

Fatigue MFA

Un attaquant qui possède déjà votre mot de passe déclenche une rafale de demandes de validation par notification, en espérant que vous finissiez par accepter par lassitude ou erreur.

Le SIM swap, autre technique directement liée à l'exploitation de données fuitées, est détaillé dans le glossaire.

🔒 Vos données peuvent avoir fuité sans qu'aucune de vos actions n'y soit pour rien — mais la protection reste possible en aval : Egidio reconnaît les schémas d'appels et de SMS construits à partir de données volées, même personnalisés. Voir comment fonctionne Medusa.

Questions fréquentes

Comment savoir si mes données ont fuité ?

Have I Been Pwned (haveibeenpwned.com) est un service gratuit, créé par le chercheur en sécurité Troy Hunt, qui permet de vérifier si votre adresse email apparaît dans des fuites de données connues.

La France est-elle particulièrement touchée ?

Les chiffres 2025 sont sans précédent : la CNIL a reçu 17 802 notifications de violations de données, contre 5 630 en 2024 — plus de trois fois plus en un an.

Pourquoi une fuite de données mène-t-elle à des appels frauduleux ?

Parce qu'une fuite contient souvent nom, téléphone et parfois des informations sur votre banque ou votre employeur — de quoi construire un appel ou un SMS crédible et personnalisé, bien plus efficace qu'un message générique envoyé au hasard.

Pour aller plus loin