Alinto : fuite de logs SMTP exposés

Selon les chercheurs de Cybernews, à l’origine de la découverte, le fournisseur français de solutions d’e-mailing Alinto (basé à Lyon) a laissé exposé sur Internet un cluster Elasticsearch mal configuré, sans aucune protection d’accès. Le serveur, lié au service de relais Cleanmail.eu, contenait plus de 40 millions d’enregistrements (logs) SMTP, dont au moins 4,5 millions correspondaient à des adresses e-mail uniques. La base aurait été découverte le 24 février 2026 et sécurisée dès le lendemain. Le contenu des courriels n’aurait pas été exposé.

Les données concernées sont des métadonnées de trafic e-mail : adresses des expéditeurs et destinataires, objets des messages, horodatages, itinéraires de serveurs (relais) et adresses IP. D’après les sources, le périmètre toucherait des grands comptes utilisant les services d’Alinto, notamment L’Oréal, Renault, Carrefour, Hermès et DHL, ainsi que de nombreuses institutions publiques françaises (ministères, communes, collectivités, ambassades), avec au moins 14 000 adresses e-mail gouvernementales uniques.

Même sans le contenu des messages, ces métadonnées sont sensibles : elles permettent de cartographier les relations de communication entre entreprises et administrations et facilitent des campagnes de hameçonnage ciblé (spear phishing). La fuite expose des données personnelles de personnes situées en France et en Europe, ce qui la place dans le champ du RGPD.

Au moment de la rédaction, Alinto n’aurait pas publié de communication officielle au-delà de la correction technique, et aucune enquête ou sanction de la CNIL n’est confirmée publiquement. Le statut reste donc « allégué » : les faits reposent principalement sur le rapport de Cybernews, largement repris par la presse spécialisée, sans confirmation officielle de l’entreprise ni du régulateur.