---
title: Dix ans de cyberattaques : enquête sur une guerre invisible
source: https://synapx.fr/blog/panorama-cyberattaques-10-ans/
date: 2026-06-26
category: Cybersécurité
site: SynapxLab
---

# Dix ans de cyberattaques : enquête sur une guerre invisible

En une décennie, le piratage informatique est passé du fait divers à la **géopolitique**. Vol de données par milliards, rançongiciels qui paralysent des hôpitaux, espions logiciels qui infectent un téléphone **sans le moindre clic**, États qui s'attaquent entre eux dans l'ombre : voici le tour d'un sujet devenu central, à la manière d'une enquête — **chiffres datés et sourcés** à l'appui.

> En une phrase : la donnée est devenue la matière première d'une économie souterraine **et** une arme entre les mains des États. Les dix dernières années racontent cette bascule.

## Au sommaire

1. **Les grandes fuites de données** — l'ampleur, en chiffres.
2. **L'évolution en dix ans** — du vol de masse à la cyberguerre.
3. **Qui attaque qui** — la géopolitique des États.
4. **Les attaques par téléphone** — vishing, SIM swap et espions « zéro clic ».
5. **L'OSINT** — quand les données publiques deviennent une arme.
6. **Notre analyse et la conclusion.**

---

## Les grandes fuites de données, en chiffres

Le volume donne le vertige. Voici les fuites les plus marquantes, classées par ampleur, avec leur **date** et le **nombre d'enregistrements** concernés :

| Fuite | Enregistrements | Date | Nature |
|---|---|---|---|
| **« Credential Crisis »** | ~16 milliards | 2025 | Compilation d'identifiants volés par *infostealers* |
| **« MOAB »** (*Mother of All Breaches*) | ~26 milliards | janv. 2024 | Compilation de fuites antérieures (LinkedIn, Tencent, X…) |
| **National Public Data** (USA) | ~2,9 milliards | 2024 | Numéros de sécurité sociale, données personnelles |
| **Yahoo** | 3 milliards de comptes | 2013 *(révélé 2016-17)* | Le plus gros piratage d'une seule organisation |
| **Aadhaar** (Inde) | ~1,1 milliard | 2018 | Base d'identité nationale (données personnelles) |
| **Tencent** | ~1,4 milliard | *(dans MOAB)* | Données utilisateurs |
| **Facebook** | 533 millions | 2019 *(publié 2021)* | Téléphones, noms, localisations |
| **Marriott** | ~383 millions *(estim. initiale 500 M)* | 2018 | Clients hôteliers (attribuée à la Chine) |
| **Equifax** | 147 millions | 2017 | Données financières de citoyens américains |

> ⚠️ Nuance d'enquêteur : les records de 2024-2025 (**MOAB**, **Credential Crisis**) ne sont **pas** des piratages uniques mais des **compilations** — des agrégats de fuites passées et de données volées sur les appareils par des logiciels voleurs (*infostealers*). L'ampleur est réelle, mais le chiffre mélange du neuf et du recyclé.

### Et en France ?

La France n'a pas été épargnée : **2024 a été une année record** de violations de données, touchant des dizaines de millions de citoyens.

| Fuite | Personnes concernées | Date | Données exposées |
|---|---|---|---|
| **France Travail** (ex-Pôle emploi) | ~36,8 millions *(jusqu'à 43 M estimés au départ)* | 2024 | Identité, NIR (n° sécurité sociale), coordonnées *(amende CNIL de 5 M€ en janv. 2026)* |
| **Viamedis + Almerys** (tiers payant santé) | ~33 millions | févr. 2024 | État civil, date de naissance, NIR, mutuelle, garanties |
| **Free** (opérateur télécom) | ~19 millions *(estimé)* | 2024 | Données clients, et des **IBAN** selon la presse |

> 🇫🇷 Le cas français illustre une faille systémique : ce ne sont pas toujours les grandes marques visées, mais leurs **sous-traitants** (tiers payant, prestataires). Une seule brèche chez un intermédiaire expose des **millions** d'assurés d'un coup — exactement le risque de la centralisation.

Au-delà des cas géants, le volume d'**organisations touchées** donne la mesure du phénomène en 2024 :

| Indicateur (France, 2024) | Chiffre | Source |
|---|---|---|
| **Violations de données notifiées à la CNIL** | **5 629 notifications** (+20 % vs 2023) | CNIL |
| dont violations « de grande ampleur » (> 1 million de personnes) | **une quarantaine** (France Travail, Cultura, Boulanger, Auchan…) | CNIL |
| **Événements de sécurité traités par l'ANSSI** | **4 386** (+15 % vs 2023) | ANSSI |
| **Compromissions par rançongiciel signalées à l'ANSSI** | **144** | ANSSI |
| Part des PME / TPE / ETI parmi les victimes de rançongiciel | **37 %** | ANSSI |

> 💥 La souche de rançongiciel la plus active en France en 2024 reste **LockBit 3.0** (21 incidents signalés), devant **Akira** et **RansomHub**. Et ce ne sont là que les attaques **déclarées** : le chiffre réel est tenu pour bien supérieur. Beaucoup d'entreprises **ne signalent pas**, par crainte de la **perte de confiance des clients** et de l'atteinte à leur **réputation** — un silence qui, paradoxalement, entretient l'angle mort.

---

## L'évolution en dix ans : du vol de masse à la cyberguerre

| Période | Bascule |
|---|---|
| **2015-2017** | **Vol de masse.** Les méga-fuites (Yahoo, Equifax) révèlent l'ampleur du marché de la donnée. **WannaCry** et **NotPetya** (2017) inaugurent le rançongiciel mondial — NotPetya, attribué à la Russie, ravage des entreprises au-delà de sa cible ukrainienne. |
| **2018-2020** | **Industrialisation.** Le rançongiciel devient un **service** (*Ransomware-as-a-Service*) : on loue l'outil, on partage le butin. L'attaque **SolarWinds** (2020), attribuée à la Russie, montre la puissance des attaques par la **chaîne d'approvisionnement**. |
| **2021-2022** | **Double extorsion.** On chiffre **et** on menace de publier. **Colonial Pipeline** (2021) paralyse l'approvisionnement en carburant de la côte est américaine. **Log4Shell** (2021) expose des millions de serveurs. |
| **2023-2025** | **Cyberguerre et mercenaires.** Le conflit Russie-Ukraine déplace la cyberguerre au premier plan. Les **espions logiciels mercenaires** (Pegasus, Paragon) visent journalistes et avocats. L'**IA** accélère l'attaque : le délai moyen entre la découverte d'une faille et son exploitation est **tombé à ~5 jours** (données 2023, Mandiant ; contre ~32 jours en 2021-2022). |

---

## Qui attaque qui : la géopolitique des États

Les services de renseignement parlent des **« Big Four »** : **Russie, Chine, Iran, Corée du Nord**. Chacun a ses cibles et ses méthodes. *(Les parts d'activité APT ci-dessous sont mesurées par le rapport ESET sur la période avril–septembre 2025.)*

- **🇷🇺 Russie — ~40 % de l'activité APT mondiale.** Cible prioritaire : l'**Ukraine** et les pays de l'UE qui la soutiennent. Les cyberattaques contre l'Ukraine ont bondi de près de **70 % en 2024** (4 315 incidents visant infrastructures critiques, énergie, défense). Groupes : Sandworm, APT28, RomCom.
- **🇨🇳 Chine — espionnage en hausse de ~150 % en 2024.** Cibles concentrées sur l'**Amérique du Nord**, **Taïwan** et l'**Asie du Sud-Est** ; la Chine pèse environ **un quart** de l'activité APT mondiale observée. La campagne **Salt Typhoon** a compromis au moins **huit opérateurs télécoms américains** et des opérateurs dans plus de vingt autres pays — une opération d'espionnage de grande ampleur.
- **🇮🇷 Iran — ~8 % des campagnes observées.** Méthode notable du groupe **MuddyWater** : compromettre une boîte mail interne, puis envoyer des messages d'hameçonnage depuis ce compte **de confiance**. Cibles : Israël, États-Unis, et plusieurs pays variés.
- **🇰🇵 Corée du Nord — ~14 % de l'activité mondiale.** Spécialité : le **vol pour financer le régime**. Le groupe **Lazarus** a siphonné des **millions de dollars** sur des plateformes de cryptomonnaies, au service du programme d'armement nord-coréen.

> 🌐 Tendance commune : les quatre exploitent désormais l'**IA** pour automatiser la reconnaissance, rédiger des hameçonnages plus crédibles et sonder les défenses. La frontière entre espionnage, sabotage et criminalité s'efface.

---

## Les attaques par téléphone

Le téléphone est devenu une **porte d'entrée privilégiée** — par la voix comme par le logiciel.

- **Le *vishing* (hameçonnage vocal).** Des appels usurpant une banque, un service informatique ou un proche. Nouveauté inquiétante : la **voix clonée par IA** (*deepfake* audio), utilisée pour contourner l'authentification ou tromper un collaborateur.
- **Le *SIM swapping*.** L'attaquant fait transférer votre numéro sur sa propre carte SIM, intercepte les codes de validation par SMS et vide vos comptes.
- **Les espions « zéro clic ».** C'est la menace la plus sophistiquée : un téléphone est infecté **sans aucune action de la victime**.
  - **Pegasus** (société israélienne **NSO Group**) : en **2019**, environ **1 400 utilisateurs de WhatsApp** ont été infectés via un simple **appel manqué**. En **décembre 2024**, un tribunal américain a jugé NSO **responsable** ; en **mai 2025**, un jury l'a condamné à verser **167,3 millions de dollars** à Meta.
  - **Paragon / Graphite** : début **2025**, WhatsApp a notifié environ **90 utilisateurs ciblés** (journalistes et membres de la société civile) ; séparément, le **Citizen Lab** a confirmé l'infection de **deux journalistes** via une faille iOS « zéro clic » (**CVE-2025-43200**).

> 🎯 Le point commun de ces espions : ils ne visent pas la masse, mais des **cibles choisies** — journalistes, avocats, opposants, militants. C'est le même terrain que celui des débats sur la surveillance *(voir notre article [Chat Control, identité numérique, facture électronique](/blog/chat-control-identite-numerique-facture/))*.

---

## L'OSINT : quand les données publiques deviennent une arme

L'**OSINT** (*Open Source Intelligence*, renseignement de sources ouvertes) consiste à **recouper des informations librement accessibles** — réseaux sociaux, registres publics, fuites passées, métadonnées de photos — pour reconstituer un profil ou préparer une attaque.

- Côté **attaquant** : l'OSINT sert à **cibler** (un hameçonnage crédible exige de connaître sa victime) et à **enchaîner** les fuites : un mot de passe volé en 2019 ouvre encore des comptes en 2025 si rien n'a changé.
- Côté **défense et journalisme** : les mêmes techniques permettent d'**enquêter**, d'attribuer des attaques et de vérifier des faits — c'est l'outil de référence du journalisme d'investigation.

### Un exemple réel : une photo anodine suffit

**Japon, septembre 2019.** Un harceleur, **Hibiki Sato** (26 ans), a retrouvé le domicile de la chanteuse **Ena Matsuoka** (idole du groupe *Tenshi Tsukinukeni Yomi*) à partir de ses **selfies publiés sur les réseaux**. Sa méthode, glaçante de simplicité :

1. il a **zoomé sur le reflet dans les pupilles** de la chanteuse, où apparaissait une **gare** ;
2. il a identifié le lieu via **Google Street View** ;
3. il a affiné en recoupant d'autres photos (rideaux de l'appartement, **angle de la lumière** du soleil).

Le **1ᵉʳ septembre 2019**, il l'a agressée près de chez elle ; il a été arrêté le **17 septembre 2019**. Aucune fuite, aucun piratage : **uniquement des photos publiques** et des outils gratuits. C'est tout le danger de l'OSINT — l'information était déjà là, il suffisait de la **recouper**.

> 📷 Autre classique : les **métadonnées EXIF** d'une photo (coordonnées GPS, modèle d'appareil) trahissent un lieu. En **décembre 2012**, une photo publiée par *Vice* a révélé la position du fugitif **John McAfee** au Guatemala via les coordonnées GPS encore présentes dans le fichier.

### Outils et ressources spécialisés

L'OSINT s'appuie sur des plateformes publiques. À connaître — autant pour comprendre la menace que pour **vérifier sa propre exposition** :

- **[Bellingcat](https://www.bellingcat.com/)** — le collectif de journalisme d'investigation de référence en OSINT (méthodes et enquêtes publiques).
- **[OSINT Framework](https://osintframework.com/)** — annuaire arborescent des outils OSINT par catégorie.
- **[Shodan](https://www.shodan.io/)** — moteur de recherche des objets et serveurs connectés exposés sur Internet.
- **[Have I Been Pwned](https://haveibeenpwned.com/)** — vérifier si votre e-mail figure dans une fuite de données connue.
- **[Maltego](https://www.maltego.com/)** — analyse de liens et cartographie de relations entre entités.

> 🧩 La leçon : vos données « publiques » dispersées, **agrégées**, en disent bien plus que chaque miette prise isolément. C'est aussi le moteur du marché des courtiers en données.

---

## Notre analyse

*Analyse — notre point de vue.* Dix ans de recul dessinent trois constats :

- **La donnée ne « s'efface » pas.** Une fuite est définitive : ce qui a circulé une fois recircule indéfiniment, recompilé d'année en année. D'où l'importance de **limiter ce qu'on confie** au départ.
- **La cible, c'est l'humain.** Derrière la technique, l'immense majorité des intrusions commence par un **hameçonnage**, un **mot de passe réutilisé** ou un **appel piégé**. L'authentification à plusieurs facteurs (idéalement par clé physique) et l'**hygiène des mots de passe** restent les meilleures protections accessibles.
- **La souveraineté est une défense.** Moins on dépend d'intermédiaires qui **centralisent** la donnée, moins on offre de cibles de grande valeur. C'est la logique que nous défendons pour [l'IA en local](/blog/ia-en-local/) et l'[infrastructure souveraine](/blog/panorama-technologies-serveur/).

## En conclusion

La cybersécurité n'est plus une affaire de spécialistes : c'est devenu un **terrain d'affrontement entre États**, doublé d'une **économie criminelle** qui industrialise le vol. En dix ans, l'attaque est devenue **plus rapide, plus ciblée et plus politique** — et l'IA ne fait qu'accélérer le mouvement.

La bonne nouvelle : les protections de base **fonctionnent encore**. Réduire sa surface d'exposition, soigner ses accès, maîtriser son infrastructure : ce ne sont pas des réflexes de paranoïaque, mais l'**hygiène minimale** d'un monde où la donnée est, à la fois, une marchandise et une arme.

---

## ❓ FAQ

**Quelle est la plus grande fuite de données de l'histoire ?**
En volume brut, les compilations de 2024-2025 (« MOAB », ~26 milliards ; « Credential Crisis », ~16 milliards) dominent, mais ce sont des agrégats. Pour un piratage d'une seule organisation, **Yahoo** reste la référence avec **3 milliards de comptes** (2013).

**Qui sont les pays les plus actifs en cyberattaques ?**
Les « Big Four » : **Russie** (~40 % de l'activité APT), **Corée du Nord** (~14 %), **Chine** (espionnage en forte hausse) et **Iran** (~8 %). Chacun a ses cibles : Ukraine et UE pour la Russie, Taïwan et Amérique du Nord pour la Chine, vol de cryptomonnaies pour la Corée du Nord.

**C'est quoi une attaque « zéro clic » ?**
Une infection qui ne demande **aucune action** de la victime — pas de lien à cliquer, pas de pièce jointe à ouvrir. Les espions comme **Pegasus** ou **Paragon** ont infecté des téléphones via un simple appel ou un message reçu.

**Comment me protéger des attaques par téléphone ?**
Ne jamais communiquer de code reçu par SMS, se méfier des appels « urgents » (même d'une voix connue, à l'ère des *deepfakes*), activer une protection contre le *SIM swap* auprès de son opérateur, et privilégier l'authentification par **clé physique** plutôt que par SMS.

**C'est quoi l'OSINT ?**
Le renseignement de sources ouvertes : recouper des informations publiques (réseaux sociaux, registres, fuites) pour profiler une cible. Utilisé aussi bien par les attaquants que par les enquêteurs et journalistes.

## Pour aller plus loin

- 🔒 **[Sécurité serveur](/blog/securite-serveur/)** — durcir une machine exposée.
- 🛰️ **[Chat Control, identité numérique, facture électronique](/blog/chat-control-identite-numerique-facture/)** — le versant légal de la surveillance.
- 📚 **[Panorama des technologies serveur](/blog/panorama-technologies-serveur/)** — bâtir une infrastructure souveraine.

---

> La cyberguerre ne fait pas de bruit : elle se mesure en milliards d'enregistrements et en téléphones infectés sans un clic. Comprendre ses mécanismes, c'est déjà commencer à s'en défendre.