C'est quoi une fuite de données, et que faire si mes informations sont dedans ?

Réponse rapide

Une fuite de données, c'est quand une organisation qui détient vos informations personnelles en perd le contrôle — votre e-mail, mot de passe, numéro de téléphone, adresse, parfois votre carte bancaire ou pièce d'identité se retrouvent dans un fichier que les attaquants téléchargent et réutilisent ; la réponse pratique est de changer le mot de passe du compte concerné, le changer partout où il était réutilisé, et activer la double authentification.

Ce que ce n'est PAS

Une fuite n'est PAS quelque chose qu'on peut « annuler » — une fois la donnée fuitée, on ne peut pas la rappeler, on peut seulement la rendre moins exploitable. Ce n'est PAS non plus une excuse pour ne rien faire sous prétexte que c'est la faute de l'entreprise : même si l'entreprise a été négligente, l'attaquant a la donnée quoi qu'il en soit, et la défense pratique vous revient.

Pour aller plus loin

Une fuite de données est ce qui arrive quand une organisation qui détient des informations personnelles en perd le contrôle. L’information sort de leurs systèmes — par un piratage, une base de données mal configurée, un ordinateur volé, un employé malveillant — et finit là où l’organisation ne l’avait jamais voulu : un site de paste, un forum, une place de marché dark web, parfois la une d’un site d’actualité.

Ce qu’on trouve dans une fuite, par gravité approximative :

  • Adresses e-mail et identifiants. Presque chaque fuite en contient. Utile aux attaquants surtout comme clé pour relier au dataset suivant.
  • Mots de passe. Parfois en clair (rare et impardonnable), souvent sous forme de hashes (qu’il faut casser, mais qui le sont très souvent), parfois correctement hashés avec bcrypt ou Argon2 (cas idéal — mais même le hash le plus solide ne protège pas un mot de passe faible).
  • Numéros de téléphone et adresses postales. Utiles pour les SIM-swap, la fraude au colis ciblé et le phishing convaincant.
  • Dates de naissance, numéros de pièce d’identité, numéros de sécurité sociale. Données quasi-permanentes qu’on ne peut pas vraiment « changer », ce qui rend ces fuites particulièrement douloureuses.
  • Numéros de carte bancaire et coordonnées bancaires. De plus en plus rares dans les fuites modernes parce que les prestataires de paiement les traitent séparément, mais ça arrive encore.
  • Données de santé, profils de rencontre, messages privés. Quand ce sont ces données qui fuitent, le dommage dépasse le financier.

Une fuite de données n’est pas la même chose qu’une fraude. La fuite, c’est la sortie. La fraude — usage frauduleux de carte, prise de compte, usurpation d’identité — c’est ce que les attaquants font ensuite avec la donnée fuitée. Beaucoup de bases fuitées ont plusieurs années quand quelqu’un les utilise contre vous. Les deux grosses agrégations célèbres — la série « Collection #1-5 » (2019) et le fichier « RockYou2024 » avec environ 10 milliards de mots de passe — sont des compilations de fuites plus anciennes.

Que faire quand on apprend qu’on est dans une fuite :

  1. Identifier la fuite. Have I Been Pwned liste les fuites connues par e-mail et indique quels champs ont été exposés.
  2. Changer immédiatement le mot de passe sur ce service. Le rendre unique — pas réutilisé ailleurs.
  3. Le changer partout où vous l’aviez réutilisé. C’est là que les attaquants gagnent vraiment. Une fuite de forum de 2014 devient une prise de compte bancaire en 2026 parce que le même mot de passe traînait.
  4. Activer la double authentification sur le service touché et sur les comptes à fort enjeu (messagerie, banque, gestionnaire de mots de passe).
  5. Traiter les messages liés comme suspects pendant des mois. Les attaquants rachètent ces bases et utilisent les vraies infos personnelles pour fabriquer des phishings convaincants. Un message qui connaît votre nom, votre employeur et un achat récent est plus persuasif qu’un message banal.
  6. Si des données financières ou d’identité ont fuité, surveillez les relevés, prévenez la banque, et envisagez un fichage Banque de France des incidents de paiement ou une opposition préventive selon le contexte.
  7. Dans l’UE, vous pouvez signaler l’incident à la CNIL — sous RGPD, l’entreprise est tenue de vous notifier dans les 72 heures à compter de la prise de connaissance, et vous avez droit à réparation du préjudice documenté.

La plus grande leçon pratique de vingt ans de fuites : la réutilisation de mot de passe est le multiplicateur. La fuite en elle-même est rarement catastrophique ; c’est la réutilisation qui transforme une fuite en multiples prises de compte. Un gestionnaire de mots de passe est la correction structurelle.

On nous pose aussi

Comment savoir si mes données ont fuité ? +

Le service gratuit haveibeenpwned.com (tenu par le chercheur Troy Hunt, utilisé par Mozilla, 1Password, le NCSC britannique, Cloudflare et d'autres) permet de saisir une adresse e-mail et de voir toutes les fuites connues qui la contiennent. C'est la source la plus sérieuse. La plupart des gestionnaires de mots de passe et navigateurs modernes vous avertissent aussi automatiquement quand un mot de passe enregistré correspond à un mot de passe fuité connu.

Que faire dès qu'on apprend qu'un de ses comptes est dans une fuite ? +

Trois étapes, dans cet ordre. (1) Changer le mot de passe sur le service touché. Le rendre unique — pas réutilisé. (2) Le changer partout où vous aviez le même (c'est là que les attaquants gagnent vraiment — la réutilisation). (3) Activer la double authentification sur ce compte s'il la propose. Si la fuite contenait carte bancaire ou pièce d'identité, prévenir aussi votre banque et envisager une opposition / fichage Banque de France.

Pourquoi je reçois encore spam et phishing des mois après une fuite ? +

Parce que les bases fuitées sont échangées, recompilées et revendues sur les places de marché dark web et dans des canaux privés. Une fuite de 2022 peut n'« arriver » dans votre boîte en phishing ciblé qu'en 2025 ou 2026, quand un nouveau groupe criminel rachète le dataset. Traiter tout message inattendu — surtout s'il cite de vrais détails personnels — comme coupable jusqu'à preuve du contraire est le bon réflexe.

Puis-je poursuivre l'entreprise qui a laissé fuiter mes données ? +

Dans l'UE, l'article 82 du RGPD donne droit à réparation des préjudices matériels et moraux liés à une fuite, et la CNIL (en France) ou les autres autorités nationales peuvent sanctionner l'entreprise. En pratique, les actions de groupe sont rares et les indemnités individuelles modestes sauf préjudice grave documenté (usurpation, fraude). Le résultat réaliste est l'amende administrative à l'entreprise, pas un gros versement personnel — mais signaler à la CNIL reste utile.

Comment un e-mail + mot de passe fuités deviennent-ils une vraie attaque ? +

Le « credential stuffing » automatisé : des scripts essaient le couple e-mail + mot de passe fuité contre les banques, les fournisseurs de messagerie, les services de streaming, les réseaux sociaux. Si vous avez réutilisé le mot de passe quelque part, le script trouve. Ils utilisent aussi les infos personnelles fuitées (nom, adresse, employeur, achats récents) pour fabriquer des phishings plus convaincants — « Bonjour [votre nom], votre commande Amazon n°1234 a eu un problème de livraison… ».

Aussi expliqué

Qu'est-ce qu'un gestionnaire de mots de passe, et est-ce sûr d'en utiliser un ?

Un gestionnaire de mots de passe est une application qui génère un mot de passe unique et solide pour chaque compte et les retient pour vous derrière un seul mot de passe maître — oui, c'est nettement plus sûr que de réutiliser le même mot de passe, même si tout est au même endroit.

C'est quoi le phishing, et comment le reconnaître ?

Le phishing (ou hameçonnage), c'est quand quelqu'un vous envoie un message truqué — généralement par e-mail, SMS ou messagerie — qui ressemble à un message de votre banque, de votre patron, d'un livreur ou d'un proche, dans l'espoir que vous cliquiez sur un lien, tapiez un mot de passe ou viriez de l'argent avant de remarquer les petits détails qui trahissent.

C'est quoi le dark web ?

Le dark web est une petite portion d'Internet accessible uniquement avec un navigateur spécial comme Tor — il cache qui se connecte et ce qui est consulté, ce qui est utile pour les journalistes et les opposants politiques, mais c'est aussi là que s'échangent identifiants volés et marchandises illégales.

C'est quoi la double authentification (2FA), et quelle version utiliser ?

La double authentification ajoute une seconde étape après votre mot de passe — un code venant d'une appli, une notification sur votre téléphone, ou une passkey — pour qu'un mot de passe volé ne suffise plus à se connecter ; en 2026 la meilleure option pour la plupart des gens est la passkey, puis une appli d'authentification, et le SMS uniquement en dernier recours.
← Retour au glossaire grand public