La France est championne du monde en matière de fuites d’informations. Selon Surfshark, en 2025, seuls les États-Unis dépassaient l’Hexagone en quantité totale de comptes compromis. Mais pour le nombre de comptes compromis par habitant, la France est de loin en tête. Et cette gestion catastrophique de la cybersécurité a des conséquences : vos données personnelles sont dans la nature.
Un accès non autorisé au fichier national des comptes bancaires (Ficoba) a exposé les données de 1,2 million de titulaires fin janvier. Si aucune opération n’a pu être réalisée, les informations dérobées ouvrent la voie à plusieurs formes de fraudes. Voici ce que vous risquez, et comment vous protéger…. Lire la suite
C’est une quasi-certitude. Les fuites sont tellement nombreuses et variées que très peu de personnes ne seraient pas concernées. Pire, ces informations ne sont pas entre les mains d’un petit nombre de hackers qui se les échangent sous le manteau. Elles circulent déjà librement sur le dark web et peuvent désormais être consultées par tous. Ce sont nos collègues de franceinfo qui ont donné l’alerte à propos d’un site pour le moins surprenant. Un moteur de recherche, qui permet de trouver des informations sur quasiment n’importe qui. Pour des raisons évidentes, nous ne nommerons pas ce site.
La page d’accueil du moteur de recherche. © Capture Futura
Une quantité de données édifiante
Pendant la période d’essai, la base de données est consultable gratuitement. Saisissez le nom d’une personne, et le site vous affiche son adresse postale, son numéro de téléphone et son adresse e-mail. Mais ce n’est pas tout, puisque vous pourriez aussi y trouver son numéro de sécurité sociale, son IBAN, et l’immatriculation de sa voiture. Dans certains cas, les données incluent également des informations sur les rendez-vous médicaux ou le nombre d’enfants. Certaines discussions en ligne mentionnent même avoir trouvé des indications sur l’ALD. Les données médicales proviennent très certainement de la fuite de du logiciel MonLogicielMedical.com en février dernier. Au total, ce moteur de recherche contiendrait 1,2 milliard de données.
Il s’agit très clairement d’une compilation de plusieurs fuites, une recherche pouvant afficher plusieurs fiches pour une seule personne. Certaines sont même identifiables, par exemple avec une ligne pour l’ID Freebox pour la fuite de Free, ou « Email contrat » avec une adresse en @bbox.fr pour la fuite de Bouygues. La Commission nationale de l’informatique et des libertés (CNIL) confirme ce constat, affirmant que « en l’état actuel du droit, ces services n’apparaissent pas conformes à la législation » car « ils fonctionnent en compilant les données issues de violations de données ».
Exemple d’une fiche de résultats. Ici la source semble être la fuite de données subie par Free. © Capture Futura
Ce site n’est pas un cas unique
Mais ce n’est pas le seul moteur de recherche de ce genre. Un autre, aussi en accès gratuit moyennant la création d’un compte, fournit des informations encore plus détaillées. Le genre, la profession, l’employeur, le type de forfait mobile et la date d’activation, le dernier contrôle technique… Surtout, il indique la source des informations de chaque fiche, et leur date. Cela confirme que les données proviennent par exemple de Free, de Bouygues, de Cegedim, de LinkedIn, de Pôle Emploi, de LDLC, de Bourse des Vols, ou encore d’Autosur. Beaucoup de fiches indiquent provenir de bases de données plutôt que d’une source précise, sans doute des compilations de précédentes fuites. Certaines informations semblent être des confirmations de commandes ou de voyages.
Près d’un milliard d’enregistrements sensibles exposés, des millions de Français potentiellement concernés, et une accélération globale des cyberattaques. La fuite impliquant IDMerit s’inscrit dans une dynamique inquiétante. Entre tensions géopolitiques, industrialisation des offensives numériques et généralisation de l’intelligence artificielle, la France se retrouve plus que jamais en première ligne…. Lire la suite
Le premier site indique qu’il est possible de demander la suppression de ses informations via Discord. Cela supprime les données du site en question, mais pas des bases de données qui circulent sur le dark web. Les tarifs sont de 10 euros la semaine ou 35 euros le mois. Pour le second site, s’il y a bien un Discord, il n’y a aucune indication qu’il soit possible de faire retirer ses données. Ici, les tarifs affichés sont de 10 euros par mois pour un volume de 1 000 requêtes par jour.
Exemple de fiche trouvée sur le second site. Ici, des données provenant de Bouygues. © Capture Futura
Des auteurs qui ne s’inquiètent pas des conséquences
Sur les deux sites, dans la section FAQ, les auteurs indiquent que toutes les sources sont publiques, et donc que ce serait légal. L’un des créateurs du premier site a 18 ans et utilise le pseudonyme Zalko. « On ne fait rien d’illégal et s’il faut qu’il y ait des poursuites juridiques, je serai prêt à tenir mon point de vue devant la justice. Par ailleurs, quand quelqu’un veut supprimer ses données, on accepte, on a créé tout un onglet pour ça », a-t-il affirmé auprès de franceinfo.
Les fuites de données bancaires se multiplient et exposent des millions d’Iban. Face à un risque grandissant de transactions frauduleuses, une simple option permet d’être averti en temps réel de toutes les opérations de débit sur votre compte…. Lire la suite
Malheureusement, il n’y a pas de solution à l’heure actuelle pour que ces données redeviennent privées. Il faut considérer qu’elles sont désormais sur le Web de manière permanente, et il faudra redoubler de vigilance pour éviter les arnaques et surveiller son compte en banque.
Source:
www.futura-sciences.com
