Les violations de données marquantes touchant des citoyens et organisations en France et en
Europe. Chaque fiche est factuelle et sourcée ; les cas majeurs renvoient vers notre analyse
complète.
L'opérateur de tiers payant santé Almerys confirme le 25 mai 2026 une fuite exposant plus de 44 millions de lignes et 15,4 millions de numéros de Sécurité sociale.
Almerys
· France 👥 env. 15,4 millions de NIR uniques (fichier de plus de 44 millions de lignes)🎯 faille API
Fuite massive des données Canvas (Instructure) revendiquée par ShinyHunters en mai 2026, touchant des établissements aux Pays-Bas, en Suède et au Royaume-Uni.
Instructure (Canvas LMS)
· États-Unis (éditeur) ; Pays-Bas, Suède, Royaume-Uni (établissements touchés) 👥 jusqu'à 275 millions d'utilisateurs revendiqués (3,65 To), ~8 800 à 9 000 établissements🎯 ransomware / extorsion (exploitation d'une vulnérabilité des systèmes de production, groupe ShinyHunters)
Une fuite attribuée à Easy Cash, issue d'un compte compromis, exposerait plus de 17 millions d'entrées clients (nom, adresse, date de naissance) diffusées sur un forum.
Easy Cash
· France 👥 Plus de 17 millions d'entrées revendiquées (fourchette ~14,2 M + ~3,6 M selon les bases), nombre de personnes distinctes non vérifié🎯 Compte interne ou partenaire compromis (allégation ; scraping initialement évoqué puis écarté par les analystes)
Une faille IDOR sur le portail moncompte.ants.gouv.fr a exposé les données de 11,7 millions de comptes (jusqu'à 19 millions revendiqués), confirmé par le ministère de l'Intérieur en avril 2026.
ANTS / France Titres (Agence nationale des titres sécurisés)
· France 👥 11,7 millions de comptes (officiel) ; jusqu'à 19 millions revendiqués par l'attaquant🎯 faille API (IDOR / Insecure Direct Object Reference)
Booking.com a confirmé le 13 avril 2026 un accès non autorisé aux données de réservation de clients, dont des voyageurs européens, déjà exploitées pour des arnaques.
Booking.com
· Pays-Bas 👥 Nombre non communiqué par Booking.com (« un certain nombre de réservations »)🎯 inconnu (non communiqué par Booking.com)
Cyberattaque sur le revendeur allemand de produits reconditionnés asgoodasnew : jusqu'à 1,8 million de comptes clients potentiellement exposés via une faille d'un module de paiement.
asgoodasnew
· Allemagne 👥 jusqu'à environ 1,8 million de comptes🎯 faille API / module de paiement tiers (lié à la plateforme Oxid eShop)
Cerballiance signale une intrusion chez un prestataire tiers exposant état civil, identifiants, comptes rendus d'analyses et numéros de Sécurité sociale de patients en France.
Cerballiance
· France 👥 Nombre de victimes non communiqué (Cerballiance revendique environ 28 millions de patients par an et plus de 600-700 laboratoires)🎯 sous-traitant
Le groupe ShinyHunters revendique le vol de 350 Go de données sur Europa.eu : emails confidentiels, comptes SSO et clés cryptographiques de la Commission européenne.
Commission européenne (plateforme Europa.eu)
· Union européenne 👥 350 Go de données🎯 Intrusion cloud (ShinyHunters)
Le piratage du logiciel MonLogicielMedical (Cegedim Santé) expose les données de 11 à 15 millions de patients français, l'une des plus graves fuites de santé en France.
Cegedim Santé
· France 👥 11 à 15 millions🎯 Sous-traitant compromis
Le fournisseur d'e-mailing français Alinto a exposé un cluster Elasticsearch mal configuré : plus de 40 millions de logs SMTP et 4,5 millions d'adresses e-mail uniques.
Alinto
· France 👥 ~4,5 millions d'adresses e-mail uniques (sur plus de 40 millions de logs SMTP)🎯 mauvaise config
La DGFiP a confirmé un accès illégitime au FICOBA exposant les données de 1,2 million de comptes bancaires de titulaires résidant en France, via l'usurpation des identifiants d'un agent.
Direction générale des Finances publiques (DGFiP), FICOBA (Fichier national des comptes bancaires)
· France 👥 1,2 million de comptes bancaires (soit moins de 1 % des coordonnées enregistrées dans le fichier)🎯 usurpation des identifiants d'un agent (compte légitime compromis)
Une base MongoDB non protégée du fournisseur de vérification d'identité IDMerit a exposé environ 1 milliard de fiches KYC dans 26 pays, dont la France et l'Allemagne.
IDMerit
· International (États-Unis ; données de 26 pays dont France, Allemagne, Italie) 👥 ~1 milliard de fiches au total (≈ 1 To) ; France ~53 millions, Allemagne ~61 millions, Italie ~53 millions🎯 mauvaise config (base MongoDB exposée sans authentification)
Fuite de données chez l'opérateur télécom néerlandais Odido : environ 6,2 millions de clients exposés (noms, adresses, IBAN, date de naissance) après une attaque attribuée à ShinyHunters.
Odido
· Pays-Bas 👥 environ 6,2 millions de clients (chiffres revendiqués par les attaquants plus élevés)🎯 vishing
En janvier 2026, un sous-traitant du service client de ManoMano a été compromis, exposant nom, e-mail, téléphone et échanges SAV de clients. Un pirate revendique 37,8 M de comptes.
ManoMano
· France 👥 jusqu'à 37,8 millions de comptes (chiffre revendiqué par le pirate, non confirmé par ManoMano)🎯 sous-traitant
Le groupe ShinyHunters revendique le vol de plus de 10 millions d'enregistrements liés à Hinge, OkCupid et Match.com via un accès Okta/AppsFlyer. Match Group confirme un incident.
Match Group (Hinge, OkCupid, Match.com, Meetic, Tinder)
· États-Unis (groupe), utilisateurs UE/France concernés 👥 Plus de 10 millions d'enregistrements revendiqués ; échantillons vérifiés évoquant environ 2 millions d'identifiants publicitaires (MAID) et environ 85 000 adresses e-mail🎯 phishing (vishing) → compromission identifiants Okta SSO → accès plateforme analytique AppsFlyer (origine AppsFlyer contestée)
La CNIL sanctionne France Travail de 5 M€ le 22 janvier 2026 pour défaut de sécurité ayant permis l'exfiltration des données de 36,8 millions de personnes.
France Travail (ex-Pôle Emploi)
· France 👥 36,8 millions (36 820 828)🎯 phishing / ingénierie sociale (usurpation de comptes conseillers CAP Emploi)
La CNIL a infligé le 13 janvier 2026 une amende record de 42 M€ à Free et Free Mobile pour une violation de 2024 ayant exposé 24 millions de contrats d'abonnés, dont des IBAN.
Free et Free Mobile (groupe Iliad)
· France 👥 24 millions de contrats d'abonnés🎯 Intrusion du système d'information (octobre 2024) ; manquements de sécurité retenus par la CNIL : authentification VPN insuffisante et détection des anomalies inefficace
Eurail B.V., gestionnaire des pass Eurail/Interrail, a révélé en janvier 2026 une fuite touchant 308 777 voyageurs : identité, passeport et coordonnées exposés.
Eurail B.V.
· Pays-Bas 👥 308 777 voyageurs🎯 Accès non autorisé aux systèmes informatiques / infrastructure cloud (vecteur initial non communiqué par Eurail). Un acteur malveillant a ultérieurement revendiqué le vol de 1,3 To depuis des instances AWS S3, Zendesk et GitLab (allégation non confirmée).