Les violations de données marquantes touchant des citoyens et organisations en France et en
Europe. Chaque fiche est factuelle et sourcée ; les cas majeurs renvoient vers notre analyse
complète.
La DINUM confirme le 8 juin 2026 une compromission de Tchap, messagerie de l'État, via un compte usurpé. Impact limité aux salons publics ; volumes revendiqués (73 467 agents) non validés.
Tchap (messagerie de l'État, DINUM)
· France 👥 73 467 comptes d'agents revendiqués par l'auteur ; la DINUM n'a pas validé ce volume et limite l'impact aux salons publics (analyse des journaux en cours). Chiffre exclu du compteur cumulé faute de confirmation.🎯 Usurpation d'un compte utilisateur légitime, confirmée par la DINUM. L'auteur revendique une entrée par ingénierie sociale via un compte lié à l'Éducation nationale, puis l'exploitation d'un annuaire utilisateur sans limitation de débit, d'endpoints de téléchargement de fichiers et de mécanismes d'énumération de comptes pour parcourir les salons publics interministériels. Aucune atteinte au chiffrement de bout en bout (Olm/Megolm)
L'opérateur de tiers payant santé Almerys confirme le 25 mai 2026 une fuite exposant plus de 44 millions de lignes et 15,4 millions de numéros de Sécurité sociale.
Almerys
· France 👥 env. 15,4 millions de NIR uniques (fichier de plus de 44 millions de lignes)🎯 faille API
Fuite alléguée chez Optic 2000 : un acteur malveillant revendique près de 8 000 factures PDF et des données du portail de commande des magasins franchisés.
Optic 2000 (groupe Gadol Optic 2000)
· France 👥 Volume de personnes non quantifié ; environ 7 898 factures PDF et un fichier de données de 7 898 lignes revendiqués, concernant principalement des magasins franchisés et leurs commandes🎯 Selon la revendication, exploitation d'une faille de type IDOR (référence directe non sécurisée à un objet) sur un système de génération de PDF d'un portail interne destiné aux magasins franchisés, accessible via un sous-domaine. La modification d'un identifiant numérique dans l'URL aurait permis d'accéder aux documents d'autres franchisés. Non vérifié de façon indépendante.
Une base de 5 924 215 fiches clients attribuée à Atol Les Opticiens est mise en vente sur un forum cybercriminel (mai 2026). Revendication non confirmée par Atol.
Atol Les Opticiens
· France 👥 5 924 215 fiches clients revendiquées (~1,68 M emails uniques), non confirmé par Atol🎯 inconnu (base mise en vente sur un forum cybercriminel)
Le groupe Pierre & Vacances-Center Parcs confirme une fuite de données via sa plateforme de réservation, jusqu'à 4,5 millions de clients exposés, notifiée à la CNIL.
Pierre & Vacances-Center Parcs (marques Pierre & Vacances, Center Parcs, Maeva)
· France 👥 1,6 million de réservations confirmées par le groupe ; jusqu'à 4,5 millions de profils clients actuels et anciens selon le pirate et repris par le groupe🎯 Faille de contrôle d'accès de type IDOR (Insecure Direct Object Reference) sur la plateforme de réservation, permettant l'accès à des données via la manipulation d'identifiants
Fuite massive des données Canvas (Instructure) revendiquée par ShinyHunters en mai 2026, touchant des établissements aux Pays-Bas, en Suède et au Royaume-Uni.
Instructure (Canvas LMS)
· États-Unis (éditeur) ; Pays-Bas, Suède, Royaume-Uni (établissements touchés) 👥 jusqu'à 275 millions d'utilisateurs revendiqués (3,65 To), ~8 800 à 9 000 établissements🎯 ransomware / extorsion (exploitation d'une vulnérabilité des systèmes de production, groupe ShinyHunters)
Une fuite attribuée à Easy Cash, issue d'un compte compromis, exposerait plus de 17 millions d'entrées clients (nom, adresse, date de naissance) diffusées sur un forum.
Easy Cash
· France 👥 Plus de 17 millions d'entrées revendiquées (fourchette ~14,2 M + ~3,6 M selon les bases), nombre de personnes distinctes non vérifié🎯 Compte interne ou partenaire compromis (allégation ; scraping initialement évoqué puis écarté par les analystes)
Une faille IDOR sur le portail moncompte.ants.gouv.fr a exposé les données de 11,7 millions de comptes (jusqu'à 19 millions revendiqués), confirmé par le ministère de l'Intérieur en avril 2026.
ANTS / France Titres (Agence nationale des titres sécurisés)
· France 👥 11,7 millions de comptes (officiel) ; jusqu'à 19 millions revendiqués par l'attaquant🎯 faille API (IDOR / Insecure Direct Object Reference)
La Fédération Française de Basket-Ball a confirmé un accès non autorisé exposant les données de jusqu'à 2 millions de licenciés et 900 000 représentants légaux.
Fédération Française de Basket-Ball (FFBB)
· France 👥 Jusqu'à 2 millions de licenciés et environ 900 000 représentants légaux🎯 Accès frauduleux à un compte utilisateur, exploitation détournée du module de gestion des éditions de l'outil fédéral de gestion des licenciés
Le ministère de l'Éducation nationale a officialisé le 14 avril 2026 une cyberattaque ayant exfiltré des données d'élèves via la plateforme ÉduConnect.
Ministère de l'Éducation nationale (plateforme ÉduConnect)
· France 👥 Chiffre non confirmé par le ministère ; sources presse évoquent jusqu'à 3,5 millions d'élèves, le groupe DumpSec revendiquant une base d'environ 3,12 millions de comptes🎯 Usurpation du compte d'un personnel habilité, puis exploitation d'une faille technique d'un service annexe de gestion des comptes ÉduConnect, identifiée en décembre 2025 et exploitée peu avant sa correction
Booking.com a confirmé le 13 avril 2026 un accès non autorisé aux données de réservation de clients, dont des voyageurs européens, déjà exploitées pour des arnaques.
Booking.com
· Pays-Bas 👥 Nombre non communiqué par Booking.com (« un certain nombre de réservations »)🎯 inconnu (non communiqué par Booking.com)
Une base d'environ 2,7 millions de profils alumni issus de la plateforme française AlumnForce a été mise en vente en avril 2026, plusieurs établissements clients confirmant l'incident.
AlumnForce
· France 👥 Environ 2,7 millions de profils revendiqués par l'attaquant (dont environ 1,83 million d'adresses email uniques et environ 651 000 numéros de téléphone), chiffres non confirmés officiellement par AlumnForce🎯 Compromission alléguée de la plateforme SaaS AlumnForce, base de données mise en vente par un acteur malveillant sur un forum cybercriminel
Cyberattaque sur le revendeur allemand de produits reconditionnés asgoodasnew : jusqu'à 1,8 million de comptes clients potentiellement exposés via une faille d'un module de paiement.
asgoodasnew
· Allemagne 👥 jusqu'à environ 1,8 million de comptes🎯 faille API / module de paiement tiers (lié à la plateforme Oxid eShop)
Une base de données du e-commerçant français Le Petit Vapoteur, mise en vente fin mars 2026, exposerait jusqu'à 3,3 millions de clients et des employés.
Le Petit Vapoteur
· France 👥 Jusqu'à 3,3 millions de clients et environ 599 employés revendiqués par le pirate ; l'entreprise estime moins de 2 % de sa base réellement concernée🎯 Accès non autorisé à la base de données, mise en vente d'une archive sur un forum cybercriminel par un acteur sous le pseudonyme « underus » / « undef »
Cerballiance signale une intrusion chez un prestataire tiers exposant état civil, identifiants, comptes rendus d'analyses et numéros de Sécurité sociale de patients en France.
Cerballiance
· France 👥 Nombre de victimes non communiqué (Cerballiance revendique environ 28 millions de patients par an et plus de 600-700 laboratoires)🎯 sous-traitant
Le groupe ShinyHunters revendique le vol de 350 Go de données sur Europa.eu : emails confidentiels, comptes SSO et clés cryptographiques de la Commission européenne.
Commission européenne (plateforme Europa.eu)
· Union européenne 👥 350 Go de données🎯 Intrusion cloud (ShinyHunters)
Une cyberattaque visant une application de gestion du Sgec a exposé en mars 2026 les données d'environ 1,5 million d'élèves, familles et enseignants.
Secrétariat général de l'Enseignement catholique (Sgec)
· France 👥 Environ 1,5 million de personnes (estimation rapportée par la presse) : environ 800 000 élèves du premier degré, leurs familles et environ 40 000 enseignants🎯 Compromission d'une application interne de gestion des établissements du premier degré sous tutelle du Sgec
La Fédération Française de Gymnastique confirme une cyberattaque via l'outil FFGym Licence exposant les données d'environ 2,9 millions de licenciés et anciens licenciés.
Fédération Française de Gymnastique (FFGym)
· France 👥 Environ 2,9 millions de licenciés et anciens licenciés (historique depuis 2004)🎯 Compte club compromis, probablement par hameçonnage, donnant accès à l'outil de gestion FFGym Licence
La Fédération française des Banques Alimentaires confirme un incident de sécurité touchant des données de 659 658 familles, soit près de 1,46 million de personnes accompagnées.
Fédération française des Banques Alimentaires (FFBA)
· France 👥 659 658 familles, soit 1 462 485 personnes accompagnées (selon les revendications de l'auteur, étendue exacte non encore établie)🎯 Données issues d'une application de gestion des stocks et de distribution de l'aide alimentaire, utilisée par les associations partenaires et les CCAS. Selon la FFBA, l'application ne contient ni donnée bancaire ni information sur des moyens de paiement. Données revendiquées et mises en vente par une personne se présentant comme un hacker.
Le tracker torrent francophone YggTorrent a fermé après un piratage exposant jusqu'à 6,6 millions de comptes et des données bancaires alléguées.
YggTorrent
· France 👥 Jusqu'à 6,6 millions de comptes revendiqués ; 54 776 cartes bancaires alléguées🎯 Intrusion via un service SphinxQL exposé sans authentification sur un serveur de pré-production, puis pivot vers d'autres serveurs (selon les revendications de l'auteur)
Fuite de plus de 1,4 million de commandes Florajet (noms, adresses, téléphones, messages personnels), révélée le 3 mars 2026 et mise en vente sur des forums.
Florajet
· France 👥 Plusieurs centaines de milliers à environ 1 million de personnes (chiffres revendiqués : 1 457 473 commandes, environ 952 000 numéros de téléphone uniques, environ 1,2 million d'adresses)🎯 Accès non autorisé à l'outil BtoB de Florajet, exploitation alléguée d'identifiants d'un fleuriste partenaire (chaîne de sous-traitance)
L'Union nationale du sport scolaire confirme une fuite de données issues de son outil OPUSS, touchant des élèves licenciés, avec mise en vente de photos sur le darknet.
Union nationale du sport scolaire (UNSS)
· France 👥 Environ 1,2 million de licenciés annuels potentiellement concernés ; les agrégateurs évoquent jusqu'à 1 557 000 photos d'élèves exposées, chiffre non validé par l'UNSS🎯 Compromission et exfiltration de données depuis OPUSS, l'outil national de gestion des licences de l'UNSS, suivies d'une mise en vente sur le darknet par un groupe se présentant sous le nom DumpSec
Le piratage du logiciel MonLogicielMedical (Cegedim Santé) expose les données de 11 à 15 millions de patients français, l'une des plus graves fuites de santé en France.
Cegedim Santé
· France 👥 11 à 15 millions🎯 Sous-traitant compromis
Le fournisseur d'e-mailing français Alinto a exposé un cluster Elasticsearch mal configuré : plus de 40 millions de logs SMTP et 4,5 millions d'adresses e-mail uniques.
Alinto
· France 👥 ~4,5 millions d'adresses e-mail uniques (sur plus de 40 millions de logs SMTP)🎯 mauvaise config
La Fédération Française d'Athlétisme a annoncé en février 2026 une cyberattaque ayant exposé les données personnelles de ses licenciés. La CNIL a été saisie.
Fédération Française d'Athlétisme (FFA)
· France 👥 Plus de 300 000 licenciés actifs concernés selon la FFA ; les sources spécialisées évoquent une base d'environ 11 millions d'enregistrements personnels cumulés sur plusieurs années, dont plusieurs millions de mots de passe (chiffres non confirmés officiellement)🎯 Accès non autorisé au logiciel de gestion des données des licenciés ; les sources spécialisées évoquent une extraction via accès SQL (non confirmé officiellement)
La CFDT confirme le 18 février 2026 une cyberattaque ayant entraîné l'exfiltration de données personnelles d'adhérents, dont l'appartenance syndicale.
CFDT (Confédération française démocratique du travail)
· France 👥 Environ 640 000 adhérents actifs concernés, jusqu'à 1,4 million de fiches revendiquées par l'attaquant (incluant probablement des données d'anciens adhérents)🎯 Exfiltration de données après compromission d'un serveur applicatif. La piste d'une vulnérabilité dans un outil de partage de fichiers (type CentreStack de Gladinet) et une revendication par le groupe Cl0p sont évoquées par la presse mais non confirmées officiellement par la CFDT.
La DGFiP a confirmé un accès illégitime au FICOBA exposant les données de 1,2 million de comptes bancaires de titulaires résidant en France, via l'usurpation des identifiants d'un agent.
Direction générale des Finances publiques (DGFiP), FICOBA (Fichier national des comptes bancaires)
· France 👥 1,2 million de comptes bancaires (soit moins de 1 % des coordonnées enregistrées dans le fichier)🎯 usurpation des identifiants d'un agent (compte légitime compromis)
Une base MongoDB non protégée du fournisseur de vérification d'identité IDMerit a exposé environ 1 milliard de fiches KYC dans 26 pays, dont la France et l'Allemagne.
IDMerit
· International (États-Unis ; données de 26 pays dont France, Allemagne, Italie) 👥 ~1 milliard de fiches au total (≈ 1 To) ; France ~53 millions, Allemagne ~61 millions, Italie ~53 millions🎯 mauvaise config (base MongoDB exposée sans authentification)
Un acteur revendique en février 2026 un vol de données clients d'axa.fr, mais la presse spécialisée doute fortement et Axa ne confirme aucun incident.
Axa (Axa France)
· France 👥 Jusqu'à 8 millions d'enregistrements clients revendiqués par l'auteur, chiffre non vérifié et contesté🎯 Revendication de vol de base de données et d'accès interne publiée sur un forum de fuites, avec demande de rançon
Fuite de données chez l'opérateur télécom néerlandais Odido : environ 6,2 millions de clients exposés (noms, adresses, IBAN, date de naissance) après une attaque attribuée à ShinyHunters.
Odido
· Pays-Bas 👥 environ 6,2 millions de clients (chiffres revendiqués par les attaquants plus élevés)🎯 vishing
En janvier 2026, un sous-traitant du service client de ManoMano a été compromis, exposant nom, e-mail, téléphone et échanges SAV de clients. Un pirate revendique 37,8 M de comptes.
ManoMano
· France 👥 jusqu'à 37,8 millions de comptes (chiffre revendiqué par le pirate, non confirmé par ManoMano)🎯 sous-traitant
Le groupe ShinyHunters revendique le vol de plus de 10 millions d'enregistrements liés à Hinge, OkCupid et Match.com via un accès Okta/AppsFlyer. Match Group confirme un incident.
Match Group (Hinge, OkCupid, Match.com, Meetic, Tinder)
· États-Unis (groupe), utilisateurs UE/France concernés 👥 Plus de 10 millions d'enregistrements revendiqués ; échantillons vérifiés évoquant environ 2 millions d'identifiants publicitaires (MAID) et environ 85 000 adresses e-mail🎯 phishing (vishing) → compromission identifiants Okta SSO → accès plateforme analytique AppsFlyer (origine AppsFlyer contestée)
La Fédération Française de Natation a subi un vol de données sur sa plateforme Extranat, exposant l'état civil et les coordonnées de ses licenciés.
Fédération Française de Natation (FFN)
· France 👥 Plus de 400 000 licenciés selon la presse (chiffre non précisé dans le communiqué officiel)🎯 Intrusion informatique sur la plateforme de gestion administrative Extranat avec vol de données. Le mode opératoire précis n'a pas été détaillé publiquement.
Une base de données clients O'Tacos, jusqu'à 29 millions de profils, aurait été mise en vente sur un forum fin janvier 2026. Incident non confirmé officiellement.
O'Tacos
· France 👥 Entre 10 et 29 millions de profils selon les sources (10 millions avec identité complète, 29 millions d'enregistrements au total)🎯 Extraction et mise en vente d'une base de données clients sur un forum cybercriminel ; les données proviendraient du programme de fidélité et de l'application mobile
La Fédération Française de Golf a été victime d'une cyberattaque exposant les données de centaines de milliers de licenciés, révélée le 23 janvier 2026.
Fédération Française de Golf (ffgolf)
· France 👥 Environ 450 000 à 500 000 licenciés selon la fédération et la presse, jusqu'à 1,46 million d'enregistrements selon le jeu de données diffusé sur un forum cybercriminel (chiffre non confirmé officiellement)🎯 Accès non autorisé à une base de données centrale (connexion non autorisée détectée par la fédération)
La CNIL sanctionne France Travail de 5 M€ le 22 janvier 2026 pour défaut de sécurité ayant permis l'exfiltration des données de 36,8 millions de personnes.
France Travail (ex-Pôle Emploi)
· France 👥 36,8 millions (36 820 828)🎯 phishing / ingénierie sociale (usurpation de comptes conseillers CAP Emploi)
Cyberattaque contre le guichet unique des validations de la FNC le 20 janvier 2026 : données d'environ un million de chasseurs exposées et mises en vente.
Fédération Nationale des Chasseurs (FNC), avec implication évoquée de l'Office Français de la Biodiversité (OFB)
· France 👥 Environ 1 050 000 à 1 400 000 chasseurs et personnes liées à la chasse (1 048 991 individus uniques confirmés)🎯 Accès non autorisé à l'espace adhérents du guichet unique des validations des permis de chasser
Une base de 72,7 millions d'adresses email clients d'Under Armour, issue d'une attaque ransomware Everest, a été publiée sur un forum pirate en janvier 2026.
Under Armour
· États-Unis 👥 Environ 72,7 millions d'adresses email uniques exposées, sur un jeu de plus de 191 millions d'enregistrements🎯 Attaque par ransomware (groupe Everest), puis publication de la base volée sur un forum pirate après refus de rançon
Relais Colis confirme une fuite de données clients via un prestataire technique, exposant noms, adresses, e-mails et téléphones de millions d'utilisateurs en France.
Relais Colis
· France 👥 Jusqu'à environ 10 millions d'enregistrements évoqués (volume non confirmé officiellement par Relais Colis)🎯 Compromission d'un prestataire technique (chaîne d'approvisionnement), accès frauduleux à des données clients
La Fédération Française de Volley a confirmé un acte de cybermalveillance exposant des données de licenciés, dont des pièces d'identité, révélé en janvier 2026.
Fédération Française de Volley (FFVolley)
· France 👥 Entre environ 326 000 enregistrements (un fichier diffusé) et jusqu'à 1,2 million de licenciés selon les revendications des chercheurs, chiffres non validés par la fédération🎯 Intrusion dans le système d'information de la fédération avec exfiltration de la base de données, puis mise en vente sur un forum cybercriminel (BreachForums). Revendication attribuée au groupe DumpSec.
Une base de 3,7 millions d'enregistrements attribuee a LBP Granville (lbp-tm.fr), incluant des donnees de mineurs, serait mise en vente sur un forum cybercriminel.
SAS LBP Granville (marque LBP, lbp-tm.fr)
· France 👥 Environ 3,69 millions d'enregistrements allégués (3 691 752 lignes selon l'annonce), chiffre non vérifié indépendamment🎯 Exfiltration alléguée via un portail web applicatif de la société (page d'authentification sur un sous-domaine de lbp-tm.fr), selon l'annonce du vendeur. Mécanisme exact non confirmé.
La CNIL a infligé le 13 janvier 2026 une amende record de 42 M€ à Free et Free Mobile pour une violation de 2024 ayant exposé 24 millions de contrats d'abonnés, dont des IBAN.
Free et Free Mobile (groupe Iliad)
· France 👥 24 millions de contrats d'abonnés🎯 Intrusion du système d'information (octobre 2024) ; manquements de sécurité retenus par la CNIL : authentification VPN insuffisante et détection des anomalies inefficace
Eurail B.V., gestionnaire des pass Eurail/Interrail, a révélé en janvier 2026 une fuite touchant 308 777 voyageurs : identité, passeport et coordonnées exposés.
Eurail B.V.
· Pays-Bas 👥 308 777 voyageurs🎯 Accès non autorisé aux systèmes informatiques / infrastructure cloud (vecteur initial non communiqué par Eurail). Un acteur malveillant a ultérieurement revendiqué le vol de 1,3 To depuis des instances AWS S3, Zendesk et GitLab (allégation non confirmée).
Près de 2,8 millions de profils de candidats de la CVthèque HelloWork mis en vente fin décembre 2025, via un compte recruteur détourné selon la plateforme.
HelloWork
· France 👥 Environ 2,8 millions de profils selon l'annonce de mise en vente ; HelloWork n'a pas communiqué de chiffre officiel🎯 Utilisation frauduleuse d'un compte disposant d'un accès « Recruteur » à la CVthèque (extraction de données), selon HelloWork ; pas d'intrusion système revendiquée. La presse spécialisée évoque un débat scraping vs intrusion.
Le Groupe Atalian, prestataire de services aux entreprises, a subi un rançongiciel le 6 décembre 2025 avec exfiltration de données RH et bancaires, revendiqué par Qilin.
Groupe Atalian
· France 👥 Nombre de personnes concernées non communiqué publiquement ; Atalian évoque un faible pourcentage des données stockées sur les espaces concernés🎯 Rançongiciel (double extorsion), revendiqué par le groupe Qilin
La CNIL inflige 1,7 M€ à NEXPUBLICA FRANCE pour défaut de sécurité de son logiciel PCRM, ayant exposé des données de santé d'usagers de MDPH.
NEXPUBLICA FRANCE (anciennement INETUM SOFTWARE FRANCE)
· France 👥 environ 14 170 personnes pour l'une des violations (plusieurs milliers d'usagers de MDPH concernés)🎯 mauvaise config
Une base liée au réseau Pickup de Chronopost, exposant environ 860 000 clients, a été publiée sur un forum pirate en décembre 2025.
Chronopost / Pickup (Groupe La Poste)
· France 👥 Environ 860 000 clients revendiqués (chiffre de l'attaquant, non confirmé officiellement ; certaines sources évoquent près de 628 000 adresses e-mail uniques)🎯 Scraping des systèmes Pickup (interfaces web / API) selon les déclarations de l'attaquant
Le ministère des Sports a annoncé en décembre 2025 l'exfiltration de données liées au dispositif Pass'Sport, touchant environ 3,5 millions de foyers en France.
Ministère des Sports, de la Jeunesse et de la Vie associative (dispositif Pass'Sport)
· France 👥 Environ 3,5 millions de foyers concernés (chiffre communiqué par le ministère, exprimé en foyers et non en individus)🎯 Exfiltration de données depuis un système d'information du ministère lié au dispositif Pass'Sport. Vecteur technique précis non communiqué officiellement.
SFR confirme une intrusion le 17 décembre 2025 dans un outil de gestion des raccordements fixe, exposant noms, adresses, emails et téléphones de clients.
SFR (Altice)
· France 👥 non précisé par SFR ; jusqu'à 17,4 millions de lignes (~287 Go) selon l'allégation de l'attaquant🎯 Intrusion sur un outil interne de gestion des raccordements fibre
Une intrusion révélée en décembre 2025 a exposé courriels et données de profil d'environ 29,8 millions de comptes SoundCloud, soit près de 20 pour cent des utilisateurs.
SoundCloud
· Allemagne 👥 Environ 29,8 millions de comptes (près de 20 pour cent de la base utilisateurs mondiale), incluant des utilisateurs européens et français🎯 Accès non autorisé à un tableau de bord d'un service annexe ayant permis de relier des adresses e-mail à des informations de profil publiques. Extorsion par le groupe ShinyHunters, suivie d'attaques par déni de service.
Pornhub a alerté ses utilisateurs Premium d'une exposition de données analytiques liée au prestataire tiers Mixpanel, revendiquée par le groupe ShinyHunters.
Pornhub (Aylo)
· International (siège du groupe Aylo hors UE) 👥 Environ 200 millions d'enregistrements revendiqués (201 211 943 selon les attaquants), nombre d'utilisateurs uniques non confirmé🎯 Compromission d'un prestataire tiers d'analytics (Mixpanel) via hameçonnage par SMS (smishing), selon les sources ; origine contestée par Mixpanel
Décembre 2025 : un compte agent compromis a exposé via ProConnect les données d'environ 1,6 million de jeunes suivis par les missions locales.
France Travail et Union nationale des Missions Locales
· France 👥 environ 1,6 million de jeunes🎯 compte agent compromis (usurpation d'identité via ProConnect)
Le réseau de soins optique Itelis, partenaire d'AXA, Malakoff Humanis et AG2R, a subi une cyberattaque exposant noms, dates de naissance et numéros de sécurité sociale d'assurés français.
Itelis
· France 👥 Estimation non confirmée officiellement, environ 1,6 million de bénéficiaires selon la presse spécialisée, volume non communiqué par Itelis🎯 Accès non autorisé à la plateforme de remboursement via l'usurpation des accès légitimes d'un opticien partenaire, suivi d'une exfiltration de données de prise en charge
La Fédération Française de Football a annoncé le 26 novembre 2025 un vol de données de licenciés via le logiciel Footclubs, après compromission d'un compte autorisé.
Fédération Française de Football (FFF)
· France 👥 Nombre exact non confirmé ; la FFF compte plus de 2 millions de licenciés potentiellement concernés (chiffres cités entre 2 et 2,3 millions)🎯 Compromission d'un compte autorisé donnant accès au logiciel de gestion Footclubs
Le service Pajemploi de l'Urssaf a subi un vol de données détecté le 14 novembre 2025, touchant jusqu'à 1,2 million de salariés de particuliers employeurs.
Urssaf (service Pajemploi)
· France 👥 jusqu'à 1,2 million🎯 inconnu
L'auto-école en ligne française Stych a confirmé en novembre 2025 une violation de données personnelles, une base d'environ 1,34 million d'enregistrements ayant ensuite été mise en vente sur un forum.
Stych (stych.fr)
· France 👥 Environ 1,34 million d'enregistrements clients revendiqués par le pirate (volume non confirmé officiellement)🎯 Non précisé publiquement ; exfiltration de base de données suivie d'une mise en vente sur forum cybercriminel
En octobre 2025, les données de près de 4 millions de comptes MyVidster, plateforme de partage de vidéos, ont été publiées sur un forum de pirates.
MyVidster
· États-Unis 👥 Environ 3,9 millions de comptes (chiffre cité : 3 864 364), part française ou européenne non documentée🎯 Publication d'une base de données sur un forum de piratage public
Le distributeur de mode espagnol Mango a révélé en octobre 2025 une fuite de données de contact clients survenue chez un prestataire marketing externe.
Mango (Punto Fa, S.L.)
· Espagne 👥 Nombre non communiqué par Mango ; une source évoque environ 1 million de comptes (non confirmé officiellement)🎯 Accès non autorisé chez un prestataire de services marketing externe (chaîne d'approvisionnement)
Les données de 5,7 millions de clients Qantas, volées via une plateforme Salesforce tierce en juin 2025, ont été publiées sur le dark web en octobre 2025.
Qantas Airways
· Australie 👥 5,7 millions de clients🎯 sous-traitant (plateforme Salesforce tierce compromise par ingénierie sociale / vishing)
Fuite de 7,3 millions d'adresses e-mail et de données de fidélité de Vietnam Airlines via une plateforme tierce Salesforce, publiée en octobre 2025.
Vietnam Airlines
· Vietnam 👥 7,3 millions d'adresses e-mail uniques exposées (jusqu'à environ 23 millions d'enregistrements selon certaines estimations d'agrégateurs, non confirmées par la compagnie)🎯 Compromission d'un environnement Salesforce tiers dans le cadre de la campagne du groupe Scattered LAPSUS$ Hunters / ShinyHunters
Fuite chez le prestataire de support 5CA : environ 70 000 photos de pièces d'identité d'utilisateurs Discord exposées en octobre 2025, ainsi qu'emails et données de support.
Discord (prestataire tiers 5CA)
· États-Unis (Discord) / Pays-Bas (5CA), utilisateurs mondiaux dont UE et France 👥 environ 70 000 utilisateurs (photos de pièces d'identité) selon Discord ; le groupe d'attaquants revendique des chiffres bien supérieurs (jusqu'à 5,5 millions d'utilisateurs et 2,1 millions de pièces d'identité), non confirmés🎯 sous-traitant
La Fédération Française de Tennis de Table a confirmé une cyberattaque ayant permis l'extraction en masse de données personnelles de ses licenciés via un compte compromis.
Fédération Française de Tennis de Table (FFTT)
· France 👥 Nombre non communiqué officiellement, la base concernée regroupe les licenciés de la fédération (de l'ordre de 190 000 à 200 000 licenciés selon les chiffres publics, sans confirmation que tous soient touchés)🎯 Accès non autorisé via un compte utilisateur compromis, permettant une extraction en masse d'informations de la base de données des licenciés
Le groupe de luxe français Kering (Gucci, Balenciaga, Alexander McQueen) confirme une fuite de données clients attribuée à ShinyHunters via Salesforce, révélée en septembre 2025.
Kering (Gucci, Balenciaga, Alexander McQueen, Saint Laurent)
· France 👥 7,4 millions (revendication des attaquants, non confirmée par Kering)🎯 faille / phishing via portails Salesforce compromis
Cyberattaque de septembre 2025 contre des services numériques régionaux de santé (Normandie, Hauts-de-France). Données d'identité de patients dérobées via usurpation de comptes de soignants.
Agence Régionale de Santé (ARS) Normandie / Normand'e-Santé (GRADeS) et autres services numériques régionaux de santé
· France 👥 Nombre total non confirmé officiellement ; une dizaine d'espaces numériques régionaux de santé touchés. Cas documenté en Normandie : environ 1 122 patients des hôpitaux de Saint-Lô (1 107), Coutances (12) et Carentan (3) notifiés. Des chiffres bien plus élevés circulent via des agrégateurs mais ne sont pas confirmés.🎯 Usurpation d'identité de professionnels de santé permettant des accès illégitimes aux serveurs hébergeant les données d'identité des patients (comptes compromis)
Plus d'un million de comptes clients du distributeur de mode de luxe italien Giglio.com exposés en aout 2025, avec noms, adresses et téléphones.
GIGLIO.COM S.p.A. (Giglio)
· Italie 👥 Environ 1 026 468 adresses e-mail uniques (plus d'un million de comptes)🎯 Base de données mise en vente ou diffusée sur un forum de pirates ; vecteur d'intrusion initial non confirmé publiquement.
Rançongiciel sur Miljödata, fournisseur RH de ~80% des communes suédoises : données sensibles d'environ 1,5 million de personnes publiées sur le dark web. IMY enquête.
Miljödata AB
· Suède 👥 environ 1,5 million (chiffre IMY ; ~870 000 selon Have I Been Pwned)🎯 ransomware (via sous-traitant / chaîne d'approvisionnement)
En août 2025, Auchan signale une cyberattaque sur son programme de fidélité Waaoh exposant les données de plusieurs centaines de milliers de clients. CNIL notifiée.
Auchan
· France 👥 plusieurs centaines de milliers de clients (chiffre exact non communiqué)🎯 inconnu
En juillet 2025, le groupe Orange subit deux cyberattaques distinctes : 4 Go diffusés sur le dark web (gang Warlock) et 850 000 comptes Orange Belgium accédés.
Orange S.A. / Orange Belgium
· France / Belgique 👥 850 000 comptes clients (Orange Belgium) ; périmètre France non chiffré (~4 Go diffusés)🎯 faille système / ransomware (Warlock, SharePoint évoqué côté presse)
Air France et KLM ont révélé en août 2025 une fuite de données clients via une plateforme tierce de service client, liée à la campagne ShinyHunters visant Salesforce.
Air France-KLM (Air France et KLM)
· France / Pays-Bas (UE) 👥 non communiqué🎯 sous-traitant (plateforme tierce de service client) / ingénierie sociale visant Salesforce
Vol de données de santé chez Clinical Diagnostics NMDL (Eurofins), labo néerlandais de dépistage du cancer du col : au moins 715 000 participantes touchées en 2025.
Clinical Diagnostics NMDL (filiale d'Eurofins Scientific)
· Pays-Bas 👥 au moins 715 000 (jusqu'à ~941 000 selon les estimations)🎯 ransomware (groupe Nova)
Cyberattaque chez Bouygues Telecom révélée le 6 août 2025 : 6,4 millions de comptes clients exposés, dont coordonnées, état civil et IBAN. CNIL notifiée.
Bouygues Telecom
· France 👥 6,4 millions de comptes clients🎯 inconnu
5àSec, enseigne française de pressing, a subi en juillet 2025 un ransomware revendiqué par DragonForce, avec vol allégué de données clients en France et en Europe.
5àSec
· France 👥 Nombre non communiqué ; enseigne présente en France, Suisse, Luxembourg, Espagne et Portugal selon la revendication des attaquants🎯 Rançongiciel (double extorsion) attribué au groupe DragonForce
Louis Vuitton (LVMH) a subi en 2025 une fuite de données clients touchant le Royaume-Uni, l'Italie et la Suède : noms, coordonnées, dates de naissance exposés.
Louis Vuitton (groupe LVMH)
· Royaume-Uni, Italie, Suède (clients UE/Europe) ; incident multi-pays 👥 environ 419 000 clients (chiffre rapporté, tous pays confondus)🎯 Sous-traitant / base de données tierce compromise ; attribution alléguée au groupe d'extorsion ShinyHunters (non confirmée officiellement)
Un serveur mal configuré a exposé les données d'employés et franchisés polonais de McDonald's (noms, PESEL, passeports). L'UODO a infligé une amende de 4 022 773 EUR.
McDonald's Polska sp. z o.o.
· Pologne 👥 Nombre non communiqué (employés et personnel de franchisés en Pologne)🎯 mauvaise config
Le BfDI inflige 45 M EUR à Vodafone GmbH : défaut de contrôle d'agences partenaires (faux contrats) et failles d'authentification MeinVodafone exposant les profils eSIM.
Vodafone GmbH (Allemagne)
· Allemagne 👥 Nombre de clients touchés non communiqué par le BfDI🎯 sous-traitant
En mai 2025, Adidas a confirmé une fuite de données de contact de consommateurs via un prestataire tiers de service client, sans mots de passe ni données de paiement.
Adidas AG
· Allemagne 👥 non communiqué (base mondiale de consommateurs ayant contacté le support)🎯 sous-traitant
Hertz confirme une fuite de données clients liée à l'exploitation de failles zero-day du prestataire Cleo par le rançongiciel Cl0p, touchant aussi des clients de l'UE.
Hertz (Hertz Corporation, marques Hertz, Dollar, Thrifty)
· États-Unis (siège), avec clients touchés dans l'UE, au Royaume-Uni, au Canada, en Australie et en Nouvelle-Zélande 👥 Nombre total non communiqué par Hertz ; au moins 3 409 résidents de l'État du Maine déclarés officiellement, estimations de presse évoquant plus d'un million de personnes au niveau mondial (non confirmé)🎯 Exploitation de vulnérabilités zero-day (CVE-2024-50623 et CVE-2024-55956) de la plateforme de transfert de fichiers du prestataire Cleo par le groupe de rançongiciel Cl0p
Ransomware contre l'éditeur financier français Harvest fin février 2025 : données de clients MAIF et BPCE compromises, revendication par Run Some Wares.
Harvest SAS (impactant MAIF Solutions Financières et groupe BPCE)
· France 👥 env. 35 000 clients finaux (allégué) ; ~5 000 entreprises clientes de Harvest🎯 ransomware (via sous-traitant / hébergeur)
Environ 270 000 tickets de support de clients allemands de Samsung exposés en ligne via le prestataire Spectos, après réutilisation d'identifiants volés en 2021.
Fuite de données chez Intersport France révélée en mars-avril 2025 : environ 3,4 millions de clients exposés (identités, emails, adresses, données PayPal).
Intersport France
· France 👥 environ 3,4 millions (3 388 826 selon l'attaquant)🎯 Accès FTP compromis (serveur FTP Intersport ; un accès aurait été revendu fin 2024 selon ZATAZ)
Le réseau de contrôle technique Autosur (et sa marque Diagnosur) a subi en mars 2025 une fuite exposant les données de plusieurs millions de clients.
Autosur / Diagnosur
· France 👥 Estimations variables : 487 226 adresses e-mail uniques confirmées par Have I Been Pwned, sur un ensemble de plus de 10 millions d'enregistrements clients exposés. La presse évoque des fourchettes allant de 4 à plus de 12 millions de dossiers.🎯 Accès non autorisé à un système d'information, données ensuite mises en vente sur un forum cybercriminel (BreachForums), repérées par la plateforme de veille FalconFeeds.
La Fédération Française de Football signale en février 2025 un vol de données via un compte compromis, exposant l'identité et certaines pièces d'identité de licenciés.
Fédération Française de Football (FFF)
· France 👥 Estimations presse de 1,5 million de personnes potentiellement concernées, le pirate revendiquant un volume bien supérieur, chiffre non confirmé officiellement par la FFF🎯 Accès non autorisé via un compte utilisateur compromis du logiciel de gestion des licenciés, le pirate évoquant l'exploitation d'une API mal configurée
L'application de surveillance Cocospy a exposé environ 1,8 million d'adresses e-mail clients et des données de victimes (messages, photos, localisation) en février 2025.
Cocospy (et applications sœurs Spyic, Spyzie)
· International (siège opérateur non identifié, victimes mondiales dont Europe) 👥 Environ 1,81 million d'adresses e-mail de clients Cocospy (2,65 millions au total avec Spyic après dédoublonnage), plus un nombre indéterminé de victimes surveillées à leur insu🎯 Faille de sécurité dans les serveurs des applications permettant un accès non authentifié aux données stockées (scraping des adresses e-mail et accès aux données exfiltrées des appareils des victimes)
Fuite de données chez la Mutuelle des Motards en février 2025, exposant noms, e-mails, téléphones et codes postaux de sociétaires et prospects en France.
Mutuelle des Motards (Assurance Mutuelle des Motards)
· France 👥 Volume non communiqué par la mutuelle ; ZATAZ avance plus de 1,3 million d'utilisateurs, dont environ 160 000 adresses e-mail uniques🎯 Accès non autorisé à un outil de gestion des contacts marketing
Un pirate revendique 4,3 millions de données clients de King Jouet en vente. L'enseigne reconnaît une cyberattaque limitée a moins de 25 000 clients sur deux magasins.
King Jouet
· France 👥 Moins de 25 000 clients selon l'enseigne (le pirate revendiquait jusqu'à 4,3 millions de comptes, chiffre non confirmé)🎯 Compromission de l'interface de suivi des commandes en ligne (périmètre limité à deux magasins selon l'enseigne)
Le forum de recettes Thermomix (Rezeptwelt / Espace Recettes) opéré par Vorwerk a subi une fuite exposant les données de profil de plus de 3 millions d'utilisateurs, dont des Français.
Vorwerk (forum Rezeptwelt / Espace Recettes Thermomix)
· Allemagne (utilisateurs en France et dans plusieurs pays européens) 👥 Entre 3,1 et 3,3 millions d'utilisateurs (3 123 439 comptes selon Have I Been Pwned)🎯 Accès non autorisé à un serveur secondaire d'un prestataire externe
La Fédération française de la montagne et de l'escalade a été victime début 2025 d'une cyberattaque exposant des données personnelles de ses licenciés.
Fédération française de la montagne et de l'escalade (FFME)
· France 👥 Nombre non communiqué officiellement (la FFME compte environ 120 000 licenciés)🎯 Téléversement de fichier non filtré côté serveur avec exécution de code PHP (selon l'auteur présumé), permettant l'accès à la base de données
En janvier 2025, l'opérateur espagnol Telefónica a confirmé une intrusion (groupe Hellcat) dans son système de tickets interne, exposant données employés, clients et tickets Jira.
Telefónica S.A.
· Espagne 👥 ~24 000 employés (e-mails et noms) ; ~236 000 lignes de données clients et ~470 000 lignes de tickets internes (décomptes de lignes, non d'individus distincts)🎯 identifiants compromis via infostealer puis ingénierie sociale (accès au serveur Jira interne)