Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Rechercher

  1. Orange Cyberdefense
  2. Ressources
  3. Blog
  4. Identifiants volés, bases exfiltrées, publications post-ransomware : anatomie des fuites de données qui frappent la France en 2026 [1/2]

Identifiants volés, bases exfiltrées, publications post-ransomware : anatomie des fuites de données qui frappent la France en 2026 [1/2]

Deux experts en cybersécurité analysent des données sur un ordinateur.

Partager

Fuite de données, vol de données ou « leaked credentials » : une fuite en avant en 2026 ?

Autrefois cantonnées à quelques cas isolés, les fuites de données s'intensifient. Depuis le début de l'année 2026, la France est particulièrement touchée par l'explosion de ce type d'incident, qui touche aussi bien les secteurs de la santé, de l'administration, du e-commerce et de l'éducation. Le Fichier national des comptes bancaires (Ficoba), la plateforme Choisir le service public, le groupe de fitness Basic Fit, le logiciel Cegedim Santé, la plateforme de gestion d'établissements scolaires EcoleDirecte, l'URSSAF et l'ANTS font partie des nombreux organismes publics et privés touchés en un temps très court. Pour beaucoup, la France serait l'une des premières victimes de cette épidémie. 

Un constat cohérent avec l'analyse des experts du CERT Orange Cyberdefense, qui alertent sur l'augmentation des attaques par double-extorsion, où les données sont à la fois chiffrées et exfiltrées. En 2025, sur les 7780 victimes identifiées, la France est en cinquième position avec près de 200 victimes et 2026 ne semble pas en reste puisque les analystes d'Orange Cyberdefense dénombrent déjà 101 victimes. 

Loin d'être anecdotiques, ces cyberattaques contribuent à une forte industrialisation de la revente de données - on parle également de « leaked credentials » - sur le dark web. Ces violations représentent des risques réels tant pour les entreprises que pour les particuliers :les données personnelles fuitées peuvent être utilisées à des fins diverses : usurpation, fraude financière, et parfois pour des ciblages personnels.

Face à cette recrudescence, plusieurs questions se posent : pourquoi ces fuites se multiplient-elles ? Comment ces données sont-elles utilisées ? Et surtout, comment entreprises et particuliers peuvent-ils s'en protéger ?

De quoi parle-t-on exactement au sujet des fuites de données ?

Avant d'en mesurer l'ampleur, il convient de distinguer les trois grandes familles de fuites qui circulent sur les marchés cybercriminels.

  1. Les fuites d'identifiants : ce sont souvent les moins médiatiques, alors qu’elles sont paradoxalement les plus utilisées au quotidien par les attaquants. Il s'agit de couples email / mot de passe, souvent collectés via des formulaires de phishing, des infostealers ou la compromission de services tiers. Ces données alimentent en continu les bases de « credential stuffing » utilisées pour prendre le contrôle messageries, d’espaces professionnels ou de comptes bancaires. Leur valeur tient à leur fraîcheur et à leur taux de réutilisation : beaucoup d'utilisateurs emploient les mêmes identifiants sur plusieurs services.
  2. Les fuites de bases de données, notamment lorsqu’elles comprennent des données personnelles, sont celles qui font généralement les gros titres. Elles surviennent lors de compromissions d'infrastructures - applications web mal sécurisées, bases exposées, accès tiers compromis, vulnérabilités non corrigées - et exposent en masse des données nominatives : noms, prénoms, adresses, dates de naissance, coordonnées bancaires. 
  3. Les fuites post-rançongiciel, enfin, constituent un phénomène relativement récent mais en forte croissance. Dans le cadre des attaques par « double extorsion », les groupes criminels chiffrent les données de leur victime et les exfiltrent avant de les menacer de publication sur des sites dédiés. Si la rançon n'est pas payée, les données - parfois plusieurs gigaoctets de documents internes, contrats, données RH ou médicales - sont rendues publiques. Ce type de fuite se distingue par sa richesse documentaire : il ne s'agit plus seulement de champs de bases de données, mais de fichiers de travail, parfois stratégiques.

Ces trois familles coexistent, se recoupent parfois, et alimentent un marché cybercriminel de plus en plus structuré.

Les fuites de données : un phénomène systémique qui n'épargne aucun secteur de l’économie

Du fait de la numérisation des usages des professionnels et des particuliers, nous n’avons jamais autant produit de données sur internet.

Chaque jour, nous commandons, réservons, payons et communiquons avec les services du quotidien par l’intermédiaire de notre smartphone partageant adresses e-mail et postales, civilité ou encore date de naissance. Dès lors que ces usages numériques se sont profondément ancrés dans notre quotidien, les violations de données se sont multipliées et touchent désormais tous les secteurs, sans distinction de taille ou de zone géographique. 

Une accélération alarmante pour les fuites de données

Si les années précédentes ont connu une augmentation constante des cyberattaques, l'intensité observée en ce début 2026 marque une véritable accélération. 

En 2026, la France fait face à une intensification très nette des fuites de données, qui touchent à la fois des acteurs publics, des entreprises et des secteurs essentiels. Cette pression traduit une réalité simple : nos organisations sont devenues des cibles privilégiées, parce qu’elles concentrent toujours plus de données et d’usages numériques, explique Pierre-Yves Amiot, Directeur du CERT Orange Cyberdefense. 

Les chiffres parlent d'eux-mêmes : sur le mois de janvier, plus de 90 millions de comptes ont été compromis par des fuites de données en France(1), soit un volume comparable en un mois seulement à celui de l'ensemble de l'année 2025, ce qui traduit une rupture de rythme, et non une simple tendance.

Entre le 1er janvier et le 24 avril 2026, pas moins de 549 fuites de données impactant la France ont été identifiées par l'équipe Cybercrime d'Orange Cyberdefense, touchant indistinctement sociétés privées et organismes publics. 

  • Parmi les victimes du secteur privé : O'tacos (29 millions de clients), Instagram (17,5 millions de comptes), EasyCash (14 millions) ou encore Relais Colis (près de 10 millions) ; 
  • Le monde sportif est également touché avec au moins 34 fédérations victimes de fuites (Tennis, Volley, Golf, Escrime, Randonnée pédestre, etc.) ; 
  • Les services de l'État sont également concernés : URSSAF (12 millions de personnes), Armée de Terre (4,5 Go de données), Agence régionale de santé (15 108 employés), l’Agence Nationale des Titres Sécurisés (12 à 13 millions de données)  ou encore l'Office Français de la biodiversité. 

Cette dérive n'est pas une exception française mais une tendance mondiale, avec un phénomène de plus en plus prégnant, à savoir les « méga-violations » (ou « mega-breach ») qui ont touché certains pays et qui affectent alors des millions de personnes.

Parmi elles, la fuite de National Public Data a exposé 2,9 milliards d’enregistrements contenant noms, adresses et numéros de sécurité sociale. Ticketmaster, leader mondial de la vente et de la distribution de billets pour les concerts, le sport et le théâtre, a vu les données de centaines de millions de clients compromises. Change Healthcare, filiale d’UnitedHealth Group, a été paralysée par un ransomware (ou rançongicel) affectant environ 190 millions de dossiers. Enfin, AT&T a subi deux incidents majeurs touchant des dizaines de millions de clients.

Face à cette multitude de fuites de données, un dénominateur commun apparaît : pour maximiser l’effort, les groupes cybercriminels ciblent prioritairement des infrastructures hébergeant des volumes massifs de données. 

La fuite de données est devenue un produit criminel à part entière, banalisé et presque une comodité. Identifiants, bases exfiltrées ou documents publiés après une attaque sont désormais recyclés, revendus et exploités à grande échelle dans une économie de masse, développe Pierre-Yves Amiot. 

Il est aujourd'hui statistiquement rare de n'avoir jamais figuré dans une fuite de données - et il suffit de saisir son adresse e-mail sur le site haveibeenpwned(2) pour s'en convaincre. Une multiplication des données compromises qui permet aussi aux attaquants de reconstruire votre carte d’identité numérique, piochant au gré des data leaks les données permettant de compléter votre profil et le mettre à disposition des plus offrants.

Les fuites de données ne sont plus un sujet cantonné aux systèmes d’information : elles deviennent un risque systémique qui relie directement organisations et particuliers. Quand une base de données est publiée, ce sont d’abord les personnes qui sont mentionnées qui se retrouvent exposées à de multiples risques, numériques et parfois même physiques, précise Pierre-Yves Amiot. 

Quelles sont les causes des fuites de données ?

Les fuites de données ne sont presque jamais le résultat d’un facteur isolé. Elles résultent le plus souvent d’un enchaînement de défaillances, de comportements humains, où attaques intentionnelles et faiblesses techniques se combinent. L’analyse des incidents récents permet néanmoins d’identifier trois grandes familles de causes récurrentes.

A l'origine des fuites de données : négligences et erreurs humaines

L’erreur humaine reste aujourd’hui le facteur le plus constant dans les fuites de données. Elle prend des formes multiples, souvent banales, mais aux conséquences majeures. Les mauvaises configurations figurent parmi les cas les plus fréquents : serveurs cloud, stockages ou bases de données laissés accessibles sans authentification, parfois à la suite d’un déploiement rapide ou d’un oubli lors d’une phase de test. Ces expositions ne nécessitent aucune attaque sophistiquée : les données sont simplement accessibles.

Les erreurs de manipulation jouent également un rôle important : envoi de fichiers sensibles à un mauvais destinataire, partage de documents via des outils non sécurisés ou droits d’accès excessifs accordés par défaut. À cela s’ajoutent la perte ou le vol de matériels non chiffrés (ordinateurs portables, clés USB, téléphones), qui restent une source régulière de fuites. 

Egalement, l’absence de contrôles d’accès suffisamment restrictifs accroît considérablement le risque d’accès non autorisé aux systèmes d’information.

Fait marquant : en 2024, l’organisme public France Travail a subi une cyberattaque ayant exposé les données personnelles de potentiellement 43 millions de personnes(3). La CNIL a infligé une amende de 5 millions d’euros, soulignant notamment l’absence d’authentification multi-facteur et des contrôles d’accès insuffisamment stricts, facilitant l’exploitation des comptes compromis.

Cyberattaques et actions malveillantes : l'exploitation directe des failles humaines et organisationnelles

Les attaques intentionnelles constituent aussi un facteur majeur des fuites de données. L’e-mail demeure l’un des vecteurs d’attaque privilégiés : en trompant un utilisateur, l’attaquant récupère des identifiants du compte et accède aux systèmes sans déclencher d’alertes. Une fois l’accès initial établi, l’attaquant peut élaborer une stratégie lui permettant de reconnaître, identifier et se déplacer latéralement vers les sources de données.

Les attaques par force brute continuent également de produire des résultats lorsque les protections sont insuffisantes. À cela s’ajoute un risque souvent sous-estimé : celui du risque interne, qu’il s’agisse d’employés ou de prestataires disposant d’un accès légitime aux données.

Fait marquant : le cas de Coinbase(4) illustre cette réalité. En mai 2025, l’entreprise a été victime d’un vol de données impliquant des employés, donnant accès aux adresses et e-mails de clients. Les clés cryptographiques n’ont pas été compromises, mais les données personnelles ont suffi à alimenter des tentatives d’extorsion, montrant que la valeur de la donnée ne se limite pas aux actifs techniques.

Vulnérabilités techniques : des failles connues, exploitées à grande échelle

Les logiciels non mis à jour constituent des vecteurs d'attaque directs : les cybercriminels exploitent activement les vulnérabilités connues, parfois dans les heures qui suivent leur publication. Des systèmes obsolètes ou non corrigés exposent des vulnérabilités connues, parfois exploitables pendant des semaines ou des mois par les cybercriminels. Ces failles touchent souvent des outils centraux du système d’information, utilisés pour la collaboration ou le partage de documents.

Les risques liés aux accès des fournisseurs et partenaires amplifient encore ce phénomène. L’accès accordé à des tiers élargit mécaniquement la surface d’attaque : une faiblesse chez un prestataire peut conduire à une fuite de données sans compromission directe du système principal.

Retrouvez prochainement la suite de notre dossier pour en savoir plus sur le cheminement du vol de données et les actions de prévention à mettre en place. 

Sources et notes

(1) « Cyberattaques en France : les dernières fuites de données et entreprises touchée », 01net.com, 14.03.2026 : https://www.01net.com/actualites/cyberattaques-france-dernieres-fuites-donnees-entreprises-touchees.html ; 
(2) Site officiel haveibeenpwned : https://haveibeenpwned.com/ ;  
(3) « Cyberattaque : la CNIL frappe France Travail de 5 millions d'euros d'amende pour des années de négligences », Bogdan Bodnar, latribune.fr, 29.01.2026 : https://www.latribune.fr/article/tech/43198390370084/cyberattaque-la-cnil-frappe-france-travail-de-5-millions-deuros-damende-pour-negligences-et-fuites-massives ; 
(4) Communiqué de presse de la fuite de données de Coinbase, 15 mai 2025 : https://www.coinbase.com/fr-fr/blog/protecting-our-customers-standing-up-to-extortionists  

Victime d’un incident ?

Vous faites face à une cyberattaque ?

Nos experts sont joignables 24h/24, 7j/7.

Contactez l'assistance