En une décennie, le piratage informatique est passé du fait divers à la géopolitique. Vol de données par milliards, rançongiciels qui paralysent des hôpitaux, espions logiciels qui infectent un téléphone sans le moindre clic, États qui s'attaquent entre eux dans l'ombre : voici le tour d'un sujet devenu central, à la manière d'une enquête — chiffres datés et sourcés à l'appui.
En une phrase : la donnée est devenue la matière première d'une économie souterraine et une arme entre les mains des États. Les dix dernières années racontent cette bascule.
Au sommaire
- Les grandes fuites de données — l'ampleur, en chiffres.
- L'évolution en dix ans — du vol de masse à la cyberguerre.
- Qui attaque qui — la géopolitique des États.
- Les attaques par téléphone — vishing, SIM swap et espions « zéro clic ».
- L'OSINT — quand les données publiques deviennent une arme.
- Notre analyse et la conclusion.
Les grandes fuites de données, en chiffres
Le volume donne le vertige. Voici les fuites les plus marquantes, classées par ampleur, avec leur date et le nombre d'enregistrements concernés :
| Fuite | Enregistrements | Date | Nature |
|---|---|---|---|
| « Credential Crisis » | ~16 milliards | 2025 | Compilation d'identifiants volés par infostealers |
| « MOAB » (Mother of All Breaches) | ~26 milliards | janv. 2024 | Compilation de fuites antérieures (LinkedIn, Tencent, X…) |
| National Public Data (USA) | ~2,9 milliards | 2024 | Numéros de sécurité sociale, données personnelles |
| Yahoo | 3 milliards de comptes | 2013 (révélé 2016-17) | Le plus gros piratage d'une seule organisation |
| Aadhaar (Inde) | ~1,1 milliard | 2018 | Base d'identité nationale (données personnelles) |
| Tencent | ~1,4 milliard | (dans MOAB) | Données utilisateurs |
| 533 millions | 2019 (publié 2021) | Téléphones, noms, localisations | |
| Marriott | ~383 millions (estim. initiale 500 M) | 2018 | Clients hôteliers (attribuée à la Chine) |
| Equifax | 147 millions | 2017 | Données financières de citoyens américains |
⚠️ Nuance d'enquêteur : les records de 2024-2025 (MOAB, Credential Crisis) ne sont pas des piratages uniques mais des compilations — des agrégats de fuites passées et de données volées sur les appareils par des logiciels voleurs (infostealers). L'ampleur est réelle, mais le chiffre mélange du neuf et du recyclé.
Et en France ?
La France n'a pas été épargnée : 2024 a été une année record de violations de données, touchant des dizaines de millions de citoyens.
| Fuite | Personnes concernées | Date | Données exposées |
|---|---|---|---|
| France Travail (ex-Pôle emploi) | ~36,8 millions (jusqu'à 43 M estimés au départ) | 2024 | Identité, NIR (n° sécurité sociale), coordonnées (amende CNIL de 5 M€ en janv. 2026) |
| Viamedis + Almerys (tiers payant santé) | ~33 millions | févr. 2024 | État civil, date de naissance, NIR, mutuelle, garanties |
| Free (opérateur télécom) | ~19 millions (estimé) | 2024 | Données clients, et des IBAN selon la presse |
🇫🇷 Le cas français illustre une faille systémique : ce ne sont pas toujours les grandes marques visées, mais leurs sous-traitants (tiers payant, prestataires). Une seule brèche chez un intermédiaire expose des millions d'assurés d'un coup — exactement le risque de la centralisation.
Au-delà des cas géants, le volume d'organisations touchées donne la mesure du phénomène en 2024 :
| Indicateur (France, 2024) | Chiffre | Source |
|---|---|---|
| Violations de données notifiées à la CNIL | 5 629 notifications (+20 % vs 2023) | CNIL |
| dont violations « de grande ampleur » (> 1 million de personnes) | une quarantaine (France Travail, Cultura, Boulanger, Auchan…) | CNIL |
| Événements de sécurité traités par l'ANSSI | 4 386 (+15 % vs 2023) | ANSSI |
| Compromissions par rançongiciel signalées à l'ANSSI | 144 | ANSSI |
| Part des PME / TPE / ETI parmi les victimes de rançongiciel | 37 % | ANSSI |
💥 La souche de rançongiciel la plus active en France en 2024 reste LockBit 3.0 (21 incidents signalés), devant Akira et RansomHub. Et ce ne sont là que les attaques déclarées : le chiffre réel est tenu pour bien supérieur. Beaucoup d'entreprises ne signalent pas, par crainte de la perte de confiance des clients et de l'atteinte à leur réputation — un silence qui, paradoxalement, entretient l'angle mort.
L'évolution en dix ans : du vol de masse à la cyberguerre
| Période | Bascule |
|---|---|
| 2015-2017 | Vol de masse. Les méga-fuites (Yahoo, Equifax) révèlent l'ampleur du marché de la donnée. WannaCry et NotPetya (2017) inaugurent le rançongiciel mondial — NotPetya, attribué à la Russie, ravage des entreprises au-delà de sa cible ukrainienne. |
| 2018-2020 | Industrialisation. Le rançongiciel devient un service (Ransomware-as-a-Service) : on loue l'outil, on partage le butin. L'attaque SolarWinds (2020), attribuée à la Russie, montre la puissance des attaques par la chaîne d'approvisionnement. |
| 2021-2022 | Double extorsion. On chiffre et on menace de publier. Colonial Pipeline (2021) paralyse l'approvisionnement en carburant de la côte est américaine. Log4Shell (2021) expose des millions de serveurs. |
| 2023-2025 | Cyberguerre et mercenaires. Le conflit Russie-Ukraine déplace la cyberguerre au premier plan. Les espions logiciels mercenaires (Pegasus, Paragon) visent journalistes et avocats. L'IA accélère l'attaque : le délai moyen entre la découverte d'une faille et son exploitation est tombé à ~5 jours (données 2023, Mandiant ; contre ~32 jours en 2021-2022). |
Qui attaque qui : la géopolitique des États
Les services de renseignement parlent des « Big Four » : Russie, Chine, Iran, Corée du Nord. Chacun a ses cibles et ses méthodes. (Les parts d'activité APT ci-dessous sont mesurées par le rapport ESET sur la période avril–septembre 2025.)
- 🇷🇺 Russie — ~40 % de l'activité APT mondiale. Cible prioritaire : l'Ukraine et les pays de l'UE qui la soutiennent. Les cyberattaques contre l'Ukraine ont bondi de près de 70 % en 2024 (4 315 incidents visant infrastructures critiques, énergie, défense). Groupes : Sandworm, APT28, RomCom.
- 🇨🇳 Chine — espionnage en hausse de ~150 % en 2024. Cibles concentrées sur l'Amérique du Nord, Taïwan et l'Asie du Sud-Est ; la Chine pèse environ un quart de l'activité APT mondiale observée. La campagne Salt Typhoon a compromis au moins huit opérateurs télécoms américains et des opérateurs dans plus de vingt autres pays — une opération d'espionnage de grande ampleur.
- 🇮🇷 Iran — ~8 % des campagnes observées. Méthode notable du groupe MuddyWater : compromettre une boîte mail interne, puis envoyer des messages d'hameçonnage depuis ce compte de confiance. Cibles : Israël, États-Unis, et plusieurs pays variés.
- 🇰🇵 Corée du Nord — ~14 % de l'activité mondiale. Spécialité : le vol pour financer le régime. Le groupe Lazarus a siphonné des millions de dollars sur des plateformes de cryptomonnaies, au service du programme d'armement nord-coréen.
🌐 Tendance commune : les quatre exploitent désormais l'IA pour automatiser la reconnaissance, rédiger des hameçonnages plus crédibles et sonder les défenses. La frontière entre espionnage, sabotage et criminalité s'efface.
Les attaques par téléphone
Le téléphone est devenu une porte d'entrée privilégiée — par la voix comme par le logiciel.
- Le vishing (hameçonnage vocal). Des appels usurpant une banque, un service informatique ou un proche. Nouveauté inquiétante : la voix clonée par IA (deepfake audio), utilisée pour contourner l'authentification ou tromper un collaborateur.
- Le SIM swapping. L'attaquant fait transférer votre numéro sur sa propre carte SIM, intercepte les codes de validation par SMS et vide vos comptes.
- Les espions « zéro clic ». C'est la menace la plus sophistiquée : un téléphone est infecté sans aucune action de la victime.
- Pegasus (société israélienne NSO Group) : en 2019, environ 1 400 utilisateurs de WhatsApp ont été infectés via un simple appel manqué. En décembre 2024, un tribunal américain a jugé NSO responsable ; en mai 2025, un jury l'a condamné à verser 167,3 millions de dollars à Meta.
- Paragon / Graphite : début 2025, WhatsApp a notifié environ 90 utilisateurs ciblés (journalistes et membres de la société civile) ; séparément, le Citizen Lab a confirmé l'infection de deux journalistes via une faille iOS « zéro clic » (CVE-2025-43200).
🎯 Le point commun de ces espions : ils ne visent pas la masse, mais des cibles choisies — journalistes, avocats, opposants, militants. C'est le même terrain que celui des débats sur la surveillance (voir notre article Chat Control, identité numérique, facture électronique).
L'OSINT : quand les données publiques deviennent une arme
L'OSINT (Open Source Intelligence, renseignement de sources ouvertes) consiste à recouper des informations librement accessibles — réseaux sociaux, registres publics, fuites passées, métadonnées de photos — pour reconstituer un profil ou préparer une attaque.
- Côté attaquant : l'OSINT sert à cibler (un hameçonnage crédible exige de connaître sa victime) et à enchaîner les fuites : un mot de passe volé en 2019 ouvre encore des comptes en 2025 si rien n'a changé.
- Côté défense et journalisme : les mêmes techniques permettent d'enquêter, d'attribuer des attaques et de vérifier des faits — c'est l'outil de référence du journalisme d'investigation.
Un exemple réel : une photo anodine suffit
Japon, septembre 2019. Un harceleur, Hibiki Sato (26 ans), a retrouvé le domicile de la chanteuse Ena Matsuoka (idole du groupe Tenshi Tsukinukeni Yomi) à partir de ses selfies publiés sur les réseaux. Sa méthode, glaçante de simplicité :
- il a zoomé sur le reflet dans les pupilles de la chanteuse, où apparaissait une gare ;
- il a identifié le lieu via Google Street View ;
- il a affiné en recoupant d'autres photos (rideaux de l'appartement, angle de la lumière du soleil).
Le 1ᵉʳ septembre 2019, il l'a agressée près de chez elle ; il a été arrêté le 17 septembre 2019. Aucune fuite, aucun piratage : uniquement des photos publiques et des outils gratuits. C'est tout le danger de l'OSINT — l'information était déjà là, il suffisait de la recouper.
📷 Autre classique : les métadonnées EXIF d'une photo (coordonnées GPS, modèle d'appareil) trahissent un lieu. En décembre 2012, une photo publiée par Vice a révélé la position du fugitif John McAfee au Guatemala via les coordonnées GPS encore présentes dans le fichier.
Outils et ressources spécialisés
L'OSINT s'appuie sur des plateformes publiques. À connaître — autant pour comprendre la menace que pour vérifier sa propre exposition :
- Bellingcat — le collectif de journalisme d'investigation de référence en OSINT (méthodes et enquêtes publiques).
- OSINT Framework — annuaire arborescent des outils OSINT par catégorie.
- Shodan — moteur de recherche des objets et serveurs connectés exposés sur Internet.
- Have I Been Pwned — vérifier si votre e-mail figure dans une fuite de données connue.
- Maltego — analyse de liens et cartographie de relations entre entités.
🧩 La leçon : vos données « publiques » dispersées, agrégées, en disent bien plus que chaque miette prise isolément. C'est aussi le moteur du marché des courtiers en données.
Notre analyse
Analyse — notre point de vue. Dix ans de recul dessinent trois constats :
- La donnée ne « s'efface » pas. Une fuite est définitive : ce qui a circulé une fois recircule indéfiniment, recompilé d'année en année. D'où l'importance de limiter ce qu'on confie au départ.
- La cible, c'est l'humain. Derrière la technique, l'immense majorité des intrusions commence par un hameçonnage, un mot de passe réutilisé ou un appel piégé. L'authentification à plusieurs facteurs (idéalement par clé physique) et l'hygiène des mots de passe restent les meilleures protections accessibles.
- La souveraineté est une défense. Moins on dépend d'intermédiaires qui centralisent la donnée, moins on offre de cibles de grande valeur. C'est la logique que nous défendons pour l'IA en local et l'infrastructure souveraine.
En conclusion
La cybersécurité n'est plus une affaire de spécialistes : c'est devenu un terrain d'affrontement entre États, doublé d'une économie criminelle qui industrialise le vol. En dix ans, l'attaque est devenue plus rapide, plus ciblée et plus politique — et l'IA ne fait qu'accélérer le mouvement.
La bonne nouvelle : les protections de base fonctionnent encore. Réduire sa surface d'exposition, soigner ses accès, maîtriser son infrastructure : ce ne sont pas des réflexes de paranoïaque, mais l'hygiène minimale d'un monde où la donnée est, à la fois, une marchandise et une arme.
❓ FAQ
Quelle est la plus grande fuite de données de l'histoire ? En volume brut, les compilations de 2024-2025 (« MOAB », ~26 milliards ; « Credential Crisis », ~16 milliards) dominent, mais ce sont des agrégats. Pour un piratage d'une seule organisation, Yahoo reste la référence avec 3 milliards de comptes (2013).
Qui sont les pays les plus actifs en cyberattaques ? Les « Big Four » : Russie (~40 % de l'activité APT), Corée du Nord (~14 %), Chine (espionnage en forte hausse) et Iran (~8 %). Chacun a ses cibles : Ukraine et UE pour la Russie, Taïwan et Amérique du Nord pour la Chine, vol de cryptomonnaies pour la Corée du Nord.
C'est quoi une attaque « zéro clic » ? Une infection qui ne demande aucune action de la victime — pas de lien à cliquer, pas de pièce jointe à ouvrir. Les espions comme Pegasus ou Paragon ont infecté des téléphones via un simple appel ou un message reçu.
Comment me protéger des attaques par téléphone ? Ne jamais communiquer de code reçu par SMS, se méfier des appels « urgents » (même d'une voix connue, à l'ère des deepfakes), activer une protection contre le SIM swap auprès de son opérateur, et privilégier l'authentification par clé physique plutôt que par SMS.
C'est quoi l'OSINT ? Le renseignement de sources ouvertes : recouper des informations publiques (réseaux sociaux, registres, fuites) pour profiler une cible. Utilisé aussi bien par les attaquants que par les enquêteurs et journalistes.
Pour aller plus loin
- 🔒 Sécurité serveur — durcir une machine exposée.
- 🛰️ Chat Control, identité numérique, facture électronique — le versant légal de la surveillance.
- 📚 Panorama des technologies serveur — bâtir une infrastructure souveraine.
La cyberguerre ne fait pas de bruit : elle se mesure en milliards d'enregistrements et en téléphones infectés sans un clic. Comprendre ses mécanismes, c'est déjà commencer à s'en défendre.