Connexion
[Édito] Face à l’explosion des fuites de données, ne pas devenir l’agent des pirates !
Notoriété vs crédibilité
![[Édito] Face à l’explosion des fuites de données, ne pas devenir l’agent des pirates !](../themes/icons/grey.gif){kind=icon}
Les tuyaux d’Internet ne sont pas tous blindés, certains sont percés, des données personnelles sont volées par des pirates ou « fuitent » et sont ensuite échangées sur des forums. Entre les pirates qui affirment tout et n’importe quoi, tandis que d’autres relayent leur communication, pas facile de faire la part des choses. Cela arrange les sites et services qui laissent filer des données qui se retrouvent ainsi noyées dans le flot des messages.
Il y a deux ans, nous publiions un édito sur les fuites massives de données de l’époque, en concluant qu’Internet était « un annuaire des Français à ciel ouvert ». Le reste de l’année 2024, 2025 et les premières semaines de 2026 ne sont pas à l’apaisement, loin de là.
Revendications, fuites, cyberattaques, prestataires… vous avez les bases ?
Presque à se demander s’il reste encore des informations personnelles à siphonner. La réponse est oui : il ne faut pas baisser les bras. Un exemple du danger de croiser certaines informations : d’après le parquet de Paris, plusieurs cambriolages réalisés à l’adresse d’adhérents la Fédération française de tir (FFTir) découlent directement du vol de données dont elle a été victime.
Les fuites sont toujours aussi nombreuses, dans tous les domaines d’activités, des associations aux entreprises commerciales en passant par des institutions. Il ne se passe pas une semaine sans la revendication d’au moins un vol de données. Vous avez noté le glissement sémantique ? Nous avons utilisé le mot revendication, pas fuite ou cyberattaque. La distinction est très importante.
Revendication : des pirates affirment avoir des données, il faut les croire sur parole, ou réussir à valider l’authenticité de l’éventuel échantillon proposé. Fuite : des données ont été récupérées, mais cela peut venir d’un système défaillant, d’un email avec 10 000 adresses emails, etc. Cyberattaque : des pirates ont forcé les protections pour accéder aux données. Il y a aussi le cas des défauts de sécurisation : comment classer le fait de récupérer des mots de passe de précédentes fuites pour s’identifier sur d‘autres systèmes ? (Rappel : un mot de passe unique par service, c’est une règle importante).
Il faut également distinguer le cas des prestataires : quand un prestataire se fait trouer, le pirate peut récupérer des données pour l’ensemble de ses clients, impliquant alors des enseignes, associations et entités en cascade. C’est ce qui s’est passé en France pour des boutiques en ligne et des associations.
Quand des « influenceurs » deviennent les agents des « pirates »
Le grand jeu des pirates est de faire parler d’eux le plus possible et, s’ils arrivent en plus à faire passer des vessies pour des lanternes, c’est le jackpot. Les vessies sont souvent de vieilles données déjà disponibles sur Internet (via des précédentes fuites, du scraping…), tandis que les lanternes sont des informations « fraîches ».
Pour celui qui veut se lancer comme « commercial » des pirates en relayant leur com’, il y a une source inépuisable : BreachForums. Tout le monde peut y poster tout et n’importe quoi. Les messages y sont rapidement relayés par certains en quête de notoriété, sans vérification particulière. S’il tombe juste, c‘est parfait, l’« influenceur » en herbe passe en mode « je vous l’avais bien dit, je suis trop fort ». S’il tombe à côté : pas grave, il suffit de laisser couler et de passer à la prochaine « fuite ». Des messages, il y en a tous les jours sur BreachForums.
Faire du sensationnalisme, c’est facile puisque BreachForums prémâche même le travail avec un « index non officiel » des fuites de données en France. Ce « topic » revendique 279 746 410 (près de 280 millions) « d’enregistrements issus des 131 bases de données ». Entre hier et aujourd’hui, quelques centaines de milliers de données ont été ajoutées à partir de deux nouvelles bases.
Pour y entrer, il faut que la fuite concerne (ou affirme concerner) au moins 25 000 utilisateurs (sans doublon). L’auteur du message explique aussi que « l’authenticité de la fuite doit être vérifiée » avec, comme exemple, « un article de presse confirmant l’authenticité de votre fuite ». Le serpent ne serait-il pas en train de se mordre la queue ?
Sur Next, ce n’est pas notre manière de traiter l’information et encore moins celle sur les fuites de données. Il y a quelques semaines, nous expliquions comment nous avions vérifié l’email annonçant une fuite de données ColisPrivé. Cela prend du temps, mais c’est un temps nécessaire pour ne pas faire le jeu des pirates.
Le choc de l’info, le poids des mots
Attention, il n’est pas question de minimiser les fuites : elles sont clairement nombreuses, inquiétantes et toutes importantes ! Par contre, il faut faire attention à ne pas faire le jeu des pirates, à accorder du crédit à ce qui ne le mérite pas, à jouer sur la peur, etc.
Next pourrait, comme certains, relayer une bonne partie des publications de BreachForums avec du conditionnel (cela n’excuse pas tout, loin de là), mais nous avons décidé de faire autrement. Nous avons relayé les nombreuses fuites dans des briefs ou des actus selon les cas (et l’importance), mais cette manière de faire ne nous donne pas entièrement satisfaction, tout en prenant un temps non négligeable.
Si des « gentils pirates » et autres vendeurs de peur multiplient les messages anxiogènes, de l’autre côté les entreprises touchées peuvent avoir tendance à jouer la montre et à essayer de passer sous le tapis des fuites pour « épargner » leur image. C’est aussi pour cela qu’il faut en parler, la sécurité est l’affaire de tous.
Vincent Strubel, patron de l’ANSSI, remettait à sa manière l’église au centre du village : « les vrais méchants, ce sont les attaquants, pas les victimes ». Il reconnait volontiers que « 100 % des victimes auraient pu faire quelque chose pour éviter la cyberattaque », mais ajoute qu’elles restent « des victimes ». Comme les utilisateurs dont les données ont été dérobées, ce sont eux-aussi des victimes.
Ces derniers temps, on voit aussi arriver les vendeurs de VPN sur ce secteur (spoiler : ce n’est pas une bonne nouvelle). Surfshark par exemple affirme que « l’hémorragie continue avec 40,3 millions de comptes compromis en 2025 ». Bien évidemment, un VPN ne changerait rien, mais l’entreprise en profite pour vendre sa soupe « d’outils complets pour une navigation sécurisée et anonyme ». Nous n’allons pas refaire l’histoire des VPN et de leur (in)utilité pour le grand public, nous avons déjà longuement exposé notre point de vue dans un édito, qui reste encore valable quasiment deux ans plus tard.
Quelques heures plus tard, c’était au tour de Kaspersky de cibler les associations sportives, dont plusieurs ont été victimes de fuites : « Sport et fuites de données : les risques cachés liés aux trackers d’activité connecté ». Évidemment l’entreprise en profite pour glisser sa solution maison : « installer un logiciel de sécurité de confiance capable de détecter et de bloquer toute activité malveillante », avec un lien vers ses produits. La peur fait vendre.
No Doubt : Don’t speak ? Non, c’est le contraire !
Les signalements sont obligatoires en cas de violation de données à caractère personnel, mais à la CNIL seulement (article 33 du RGPD). L’article 34 stipule néanmoins que « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ».
C’est souvent par ce biais que les fuites sont confirmées : les utilisateurs sont informés, ils font suivre le message et nous vérifions alors son authenticité. Pour rappel, il est très facile d’envoyer un email en se faisant passer pour quelqu’un d’autre en changeant l’expéditeur.
Depuis un certain temps, nous réfléchissons d’ailleurs à la manière d’aborder le sujet… comme en témoigne le cas de ManoMano. Vous avez été très nombreux à nous signaler l’email envoyé par la boutique en ligne, merci mille fois déjà à vous ! Nous n’en avons pas encore parlé, pourtant cela l’aurait mérité.
D’autant que, quelques jours après le début des envois d’e-mails, une publication est arrivée sur BreachForums avec la revendication de 37,8 millions de « lignes d’utilisateurs » pour plusieurs déclinaisons géographiques de ManoMano. Que dire de plus ? Rien. Le chiffre n’est pas confirmé, la ventilation entre les pays non plus. Y a-t-il des doublons ? D’anciennes données ajoutées en douce pour gonfler la note ? Seul ManoMano pourrait confirmer, mais les entreprises ne le font que trop rarement, ce qui est aussi un problème. Pourtant cela n’empêche pas certains de reprendre ces gros chiffres quasiment comme argent comptant.
Ces derniers jours, vous nous avez aussi signalé des messages provenant de Batteriedeportable, de la Fédération de la montagne et d’escalade, de la CNAM, d’Easysystème (application utilisée par les auto-écoles), de Chronopost (encore…), etc. Nous n’avons pas tout vérifié, notamment car nous cherchons encore le meilleur moyen d’en parler.
Parler des fuites de données est générateur de trafic, que ce soit pour les sites d’actualités ou sur les réseaux sociaux ; pour cela que vous pouvez voir des reprises basées sur des promesses de pirates dont le « métier » est de voler et/ou mentir. Puisque les seuls revenus de Next sont les abonnements, nous n’avons pas besoin de faire la course à l’audience. Le nombre de pages vues n’entre pas en compte dans notre équation.
Entendons-nous bien, ce n’est pas une raison pour ne pas parler des fuites ; et redisons-le encore une fois : elles sont une réalité et représentent des dangers potentiels pour les utilisateurs, aggravés lorsqu’il s’agit de l’adresse physique, d’informations sur nos habitudes, de données bancaires…
Les pirates n’hésitent pas à recouper les données, à monter de toutes pièces des sites dédiés au phishing et à envoyer des courriers dans les boîtes aux lettres des logements de leurs cibles, comme en témoigne le cas Ledger.
Quoi qu’il en soit, la hausse des attaques, fuites et signalements est confirmée aussi bien par l’ANSSI que la CNIL sur leur périmètre respectif.
Fuuuuuuuuuuuuuuud !
Mais une chose est sûre : nous ne voulons pas tomber dans le « FUD » pour Fear, Uncertainty and Doubt (ou littéralement peur, incertitude et doute), mais nous devons vous tenir informés, ne serait-ce que pour savoir si nous avons eu ou non confirmation d’une fuite.
Il existe déjà des sites comme Bonjourlafuite lancé par Aeris et Fuite Infos de Christophe Boutry, mais dans les deux cas il s’agit de référencer un maximum de fuites, qu’elles soient « confirmée », « revendiquée (crédible) » ou « revendiquée (peu fiable) » pour reprendre la présentation de Bonjourlafuite. Ce n’est pas l’approche que nous voulons car elle met, à notre sens, trop en avant la parole des pirates.
Une approche serait d’avoir une actualité référence sur le sujet, à la manière de ce que nous avons expérimenté sur les deepfakes de Grok : un suivi chronologique de l’actualité sous la forme d’un grand récap. Nous l’avons déjà fait pour les risques associés aux fuites, que ce soit avec des données personnelles ou bancaires.
Cela n’empêchera évidemment pas de traiter de manière plus approfondie certaines failles qui le méritent par leur ampleur, leur sophistication, le type de données dérobées, etc. Nous l’avons déjà fait et nous le referons, c’est une certitude.
Qu’en pensez-vous ?
