Fuites de données : la France, pays le plus piraté d’Europe en 2026
L’Agence nationale des titres sécurisés gère les passeports, les cartes d’identité, les permis de conduire et les cartes grises de millions de Français. Le 15 avril 2026, son portail moncompte.ants.gouv.fr a été forcé. Le ministère de l’Intérieur a confirmé le 21 avril que 11,7 millions de comptes étaient concernés, soit près d’un Français sur six. La faille exploitée porte un nom que les développeurs connaissent depuis vingt ans, l’IDOR, la plus élémentaire des vulnérabilités de contrôle d’accès : il suffisait de changer un numéro dans une requête pour lire l’état civil d’un autre usager. Un adolescent de quinze ans a été interpellé le 25 avril.
Cette attaque n’ouvre pas la série, elle la prolonge. Depuis dix-huit mois, l’appareil administratif français perd les données de la population à un rythme sans équivalent en Europe.
Un recensement porté par une plateforme indépendante
Le suivi de cette hémorragie ne vient ni de l’État, ni des grands médias, mais d’une plateforme indépendante née de la crise elle-même. FrenchBreaches, lancée début 2026, se présente comme la référence française du recensement des fuites de données. Le projet, maintenu par une équipe issue de l’OSINT et de l’analyse de compromissions, documente chaque base revendiquée sur les forums cybercriminels, chiffre le nombre de personnes touchées, liste les catégories exposées, propose une cartographie des incidents et un outil gratuit de vérification pour savoir si une adresse figure dans une fuite connue. Là où les autorités communiquent au compte-gouttes, la plateforme publie en continu.
Le bilan qu’elle dresse est accablant. Selon FrenchBreaches, la France cumule depuis janvier 2026 plus de 300 services piratés et 250 millions de données exposées, ce qui en ferait le pays le plus compromis d’Europe. Ces chiffres, produits par un acteur privé à partir de revendications recoupées, ne bénéficient d’aucune validation officielle et doivent être lus comme une estimation haute. La CNIL, elle, avance une donnée brute : 6 167 notifications de violations de données reçues en 2025, environ 10 % de plus qu’en 2024, dont près de la moitié résultent d’un piratage.
La série noire du régalien
Le cas de France Travail donne la mesure du saccage. La Commission nationale de l’informatique et des libertés a établi que 36,8 millions de personnes ont vu leurs informations exfiltrées lors de l’attaque de mars 2024, 25 gigaoctets emportés comprenant noms, numéros de sécurité sociale, identifiants, adresses postales et coordonnées téléphoniques. Le 22 janvier 2026, l’organisme a écopé de cinq millions d’euros d’amende. La CNIL a pointé une authentification insuffisante, une journalisation défaillante, des habilitations taillées trop large, et surtout ce constat qui condamne : France Travail avait identifié en amont, dans ses propres analyses de risques, les mesures de sécurité nécessaires, sans jamais les déployer.
Le reste de l’année 2026 empile les brèches. La plateforme HubEE de la Direction interministérielle du numérique a laissé filer 70 000 dossiers et 160 000 documents en janvier. Le ministère de l’Éducation nationale a reconnu le 14 avril une cyberattaque via ÉduConnect touchant plusieurs millions d’élèves mineurs, puis l’exfiltration, par l’outil Compas fin mars, des données de 243 000 enseignants, une affaire rapportée par Le Monde le 24 mars 2026. La messagerie chiffrée Tchap, présentée comme le fleuron souverain de la communication étatique, a vu 73 467 agents exposés le 7 juin après une simple usurpation de compte, selon le communiqué de la DINUM.
Un cybercriminel affirmait début juillet avoir compromis une plateforme du ministère de la Culture et détenir les informations professionnelles de 45 362 agents, une revendication relayée par FrenchBreaches et non confirmée à ce jour par le ministère.
La dématérialisation contre l’évidence
Face à cette débâcle, la puissance publique maintient le cap inverse. L’application France Identité poursuit la dématérialisation des titres régaliens, carte d’identité, permis de conduire, carte grise, bientôt carte Vitale, adossés à plus de 1 800 services via FranceConnect. Le discours officiel vante la maîtrise des données personnelles et la lutte contre l’usurpation, au moment précis où les fichiers publics existants partent en morceaux sur les forums. L’annonce d’un plan cyber de l’État doté de 200 millions d’euros après l’affaire ANTS ne change rien à la logique de fond : multiplier les portails, les API et les guichets numériques centralisant l’identité de la population, alors que chaque nouvelle plateforme devient une cible.
Le contraste avec le traitement du secteur privé achève de disqualifier la posture régalienne. Free et Free Mobile ont été condamnés à 42 millions d’euros d’amende par la CNIL le 13 janvier 2026 pour une fuite touchant 24 millions de contrats d’abonnés. France Travail, pour un sinistre supérieur en volume et en sensibilité, s’en tire avec cinq millions. L’État frappe durement les entreprises pour des manquements qu’il commet lui-même à plus vaste échelle, sans qu’aucune sanction comparable ne vienne jamais frapper ses propres agences, protégées par une immunité de fait.
La CNIL a fixé à France Travail un calendrier de mise en conformité assorti d’une astreinte de 5 000 euros par jour de retard. Selon les termes de la décision publiée le 29 janvier 2026, l’organisme doit justifier auprès du régulateur, échéance après échéance, le déploiement effectif des correctifs d’authentification et de supervision qu’il avait identifiés dès 2024 sans les appliquer.
PENDANT QU'ILS VOUS CACHENT LA VÉRITÉ
Lisez ce que les autres n'osent pas écrire.
Sans publicité. Sans censure. À partir de 4,99€/mois.
Je m'abonne maintenant →