Lorsque France Travail a annoncé en 2024 qu’une fuite de données touchait près de 43 millions de personnes, beaucoup se sont posé la même question : mes informations personnelles sont-elles désormais entre les mains de cybercriminels ?
Quelques mois plus tard, d’autres affaires venaient rappeler que le phénomène ne se limite pas à un incident isolé.
- Hellowork signalait à son tour une fuite concernant plusieurs millions de candidats.
- L’Agence nationale des titres sécurisés (ANTS) se retrouvait impliquée dans une affaire liée à des comptes de formation.
- Quant à La Poste, elle a également connu plusieurs épisodes de compromission de données ces dernières années.
À chaque nouvelle annonce, les victimes sont invitées à redoubler de vigilance. Changement de mot de passe, surveillance des comptes, attention aux courriels suspects : les recommandations sont désormais bien connues.
Mais une question demeure souvent sans réponse : que deviennent réellement les données une fois qu’elles ont été volées ?
Car contrairement à l’image du pirate informatique qui s’empare d’un fichier pour le conserver dans son coin, les informations dérobées alimentent aujourd’hui une véritable économie parallèle.
Elles circulent, sont revendues, enrichies, croisées avec d’autres bases de données et parfois exploitées plusieurs années après leur vol.
Le piratage n’est souvent que le début de leur histoire.
Les principales fuites de données qui ont marqué l’actualité récente
- France Travail : près de 43 millions de personnes concernées.
- Hellowork : plusieurs millions de candidats touchés.
- ANTS : données liées à des dossiers de formation compromises.
- La Poste : plusieurs incidents de cybersécurité impliquant des données clients ces dernières années.
Sources : communiqués de France Travail (mars 2024), Hellowork (2024), ANTS et CNIL, communications publiques de La Poste et articles de presse spécialisés.
Les grandes fuites françaises illustrent un phénomène durable
La multiplication des cyberattaques montre à quel point les données personnelles sont devenues une cible de choix.
L’affaire France Travail constitue l’un des exemples les plus marquants. Les informations exposées comprenaient notamment l’identité des personnes concernées, leurs coordonnées ainsi que leur numéro de Sécurité sociale. Un volume considérable qui offre aux fraudeurs de nombreuses possibilités d’exploitation.
Dans le cas de Hellowork, les informations concernaient des candidats à l’emploi. Là encore, les données dérobées pouvaient permettre de construire des campagnes de fraude particulièrement crédibles.
Les incidents impliquant des services publics comme l’ANTS ou des entreprises de premier plan rappellent également qu’aucune organisation n’est totalement à l’abri. Les cybercriminels ne ciblent plus uniquement les grandes multinationales. Administrations, PME, collectivités, hôpitaux ou associations figurent également parmi leurs cibles potentielles.
Pour les experts en cybersécurité, ces fuites constituent surtout une matière première.
Une donnée volée n’est pas une donnée perdue
Lorsqu’une entreprise découvre une intrusion, l’attention se porte naturellement sur la sécurisation du système et la limitation des dégâts.
Pourtant, une fois exfiltrées, les données commencent souvent une seconde vie.
Les spécialistes distinguent plusieurs catégories d’informations.
Les identifiants de connexion et les cookies de session figurent parmi les plus recherchés. Certains peuvent être exploités quelques heures seulement après leur vol afin d’accéder à des comptes sans même avoir besoin du mot de passe initial. Leur valeur est directement liée à leur fraîcheur.
D’autres données suivent un parcours différent. Les noms, adresses électroniques, numéros de téléphone ou informations administratives sont généralement stockés dans d’immenses bases de données clandestines.
Ces bases sont ensuite revendues ou enrichies avec d’autres informations issues de précédentes fuites.
Selon les spécialistes, certaines bases de données circulant dans les milieux cybercriminels compteraient aujourd’hui plusieurs centaines de millions, voire plusieurs milliards d’identifiants collectés au fil des années. Une partie est obsolète ou dupliquée, mais les volumes donnent une idée de l’ampleur du phénomène.
Une économie souterraine structurée
Le cybercrime fonctionne désormais selon une logique industrielle.
Les enquêteurs observent une spécialisation croissante des acteurs impliqués.
Certains groupes se concentrent exclusivement sur le vol de données. D’autres assurent leur tri, leur vérification ou leur enrichissement. D’autres encore se chargent de les commercialiser auprès de clients spécialisés.
« Ce modèle est comparable à des chaînes de sous-traitance industrielles. Une cyberattaque réussie résulte le plus souvent d’une succession d’interventions coordonnées », explique Maxence Fossat, expert en cybersécurité chez Synacktiv.
Autrement dit, celui qui vole les données n’est pas nécessairement celui qui les exploitera ensuite.
Cette organisation permet aux cybercriminels de gagner en efficacité tout en réduisant leurs coûts opérationnels.
Un acteur peut ainsi acheter directement un accès déjà compromis à une entreprise sans avoir à mener lui-même les opérations techniques nécessaires pour l’obtenir.
Les mystérieux courtiers de l’accès initial
Parmi les acteurs les plus recherchés figurent les Initial Access Brokers, souvent désignés par leur acronyme IAB.
Leur métier consiste à identifier des accès compromis puis à les revendre.
Concrètement, ils peuvent proposer à d’autres groupes criminels un accès à un réseau d’entreprise, à une messagerie professionnelle ou à un serveur déjà infiltré.
Les acheteurs prennent ensuite le relais pour lancer leurs propres opérations.
Dans de nombreux cas, les opérateurs de rançongiciels n’effectuent même plus eux-mêmes la phase d’intrusion initiale. Ils achètent simplement un accès existant.
Cette spécialisation contribue à l’essor du phénomène.
Le parcours d’une donnée volée
- Vol lors d’une intrusion ou via un logiciel malveillant.
- Tri et vérification automatique.
- Intégration dans une base de données clandestine.
- Revente à d’autres groupes criminels.
- Utilisation pour du phishing, une fraude ou un rançongiciel.
- Réutilisation possible plusieurs années après la fuite.
Source : analyse Synacktiv sur l’exploitation des données issues de fuites massives, mai 2026.
Pourquoi les données valent-elles autant d’argent ?
La valeur économique des données repose sur plusieurs mécanismes.
Tout d’abord, elles permettent de réduire considérablement le temps nécessaire pour préparer une attaque.
Plutôt que de chercher une faille technique complexe, un cybercriminel peut simplement utiliser un compte déjà compromis.
Cette approche est souvent plus discrète.
Lorsqu’un attaquant se connecte avec des identifiants légitimes, son activité ressemble davantage à celle d’un utilisateur classique. Les systèmes de détection peuvent alors mettre plus de temps à identifier une anomalie.
Les données volées augmentent également les chances de réussite des fraudes.
Plus un message est personnalisé, plus il a de chances d’être crédible.
Un courriel mentionnant le nom d’un collègue, d’un projet interne ou d’un prestataire inspire davantage confiance qu’un message générique envoyé au hasard.
Quand les fuites alimentent les arnaques du quotidien
Pour les particuliers, les conséquences peuvent être visibles longtemps après l’incident initial.
Les campagnes de phishing constituent l’un des exemples les plus fréquents.
Un fraudeur disposant du nom, du prénom, de l’adresse électronique et du numéro de téléphone d’une victime peut élaborer un scénario particulièrement convaincant.
Les escroqueries bancaires, les faux conseillers administratifs ou les faux recruteurs s’appuient régulièrement sur ce type d’informations.
Les attaques par téléphone, appelées vishing, connaissent également une progression constante.
L’interlocuteur paraît crédible car il possède déjà plusieurs informations personnelles sur sa cible.
Cette connaissance préalable contribue à instaurer un climat de confiance propice à la fraude.
Des informations conservées pendant des années
L’un des aspects les plus méconnus concerne la durée de vie des données volées.
Certaines informations techniques conservent leur intérêt pendant très longtemps.
Documentation interne, schémas d’architecture, procédures de sécurité, configurations ou encore code source peuvent être exploités plusieurs années après leur exfiltration.
Les experts constatent régulièrement que des attaques récentes s’appuient sur des informations obtenues lors d’incidents anciens.
Même lorsqu’une entreprise pense avoir tourné la page, certaines données continuent donc de circuler dans l’écosystème cybercriminel.
Cette réalité oblige les organisations à adopter une vision de long terme.
L’intelligence artificielle accélère le phénomène
L’émergence des outils d’intelligence artificielle modifie également la donne.
Les cybercriminels peuvent désormais automatiser certaines tâches qui nécessitaient auparavant davantage de compétences.
Rédaction de messages frauduleux, traduction, génération de code, analyse de données ou automatisation de campagnes : les possibilités se multiplient.
Les spécialistes soulignent que l’IA ne crée pas le cybercrime, mais qu’elle contribue à accélérer certaines opérations et à les rendre accessibles à un plus grand nombre d’acteurs.
Cette industrialisation accroît encore la valeur des bases de données volées.
Un risque largement sous-estimé
Pour les entreprises, l’erreur consiste souvent à considérer la fuite comme un événement ponctuel.
Or les données dérobées peuvent continuer à produire des effets bien après la fermeture de la faille.
« L’enjeu est aujourd’hui de dépasser la lecture ponctuelle des fuites de données. Celles-ci doivent être comprises comme des événements qui alimentent un écosystème économique souterrain et structuré », estime Renaud Feil, cofondateur de Synacktiv.
Cette approche permet de comprendre pourquoi certaines organisations sont visées plusieurs fois de suite.
Les données récupérées lors d’une première intrusion peuvent servir à préparer une seconde attaque, parfois des années plus tard.
Pourquoi les cybercriminels achètent-ils des données ?
- Accéder à des comptes déjà compromis.
- Préparer une attaque par rançongiciel.
- Usurper une identité.
- Lancer des campagnes de phishing ciblées.
- Revendre les informations à d’autres groupes.
- Collecter des renseignements sur une entreprise.
- Faciliter des fraudes financières.
Sources : Synacktiv (2026), rapports de l’ANSSI sur la menace cyber, rapports Europol Internet Organised Crime Threat Assessment (IOCTA).
Une matière première devenue stratégique
Pendant longtemps, les cyberattaques étaient perçues comme des actes de sabotage ou de vol.
Aujourd’hui, elles s’apparentent de plus en plus à des opérations économiques.
Les données sont devenues une ressource monétisable, échangée entre acteurs spécialisés et utilisée pour alimenter de nouvelles opérations criminelles.
Chaque fuite enrichit un peu plus cet immense marché parallèle.
Pour les particuliers comme pour les entreprises, la question n’est donc plus seulement de savoir comment éviter une fuite de données.
Il s’agit également de comprendre que les informations dérobées peuvent continuer à circuler, être revendues et réapparaître longtemps après l’annonce officielle d’un incident.
La cyberattaque est parfois terminée. Le parcours des données, lui, ne fait souvent que commencer.
Les chiffres à retenir
- 43 millions : nombre de personnes concernées par la fuite de données France Travail en 2024.
- Plusieurs millions : candidats potentiellement touchés par la fuite Hellowork.
- 1 à 2 milliards : nombre estimé d’identifiants en circulation dans les bases de données criminelles en 2025.
- Quelques heures : délai nécessaire pour exploiter certains cookies ou identifiants fraîchement volés.
- Plusieurs années : durée pendant laquelle certaines données techniques peuvent conserver une valeur opérationnelle.
Sources : France Travail, Synacktiv, estimations sectorielles citées dans le communiqué Synacktiv de mai 2026, ANSSI.