Autosur et Diagnosur : fuite de données clients

Le réseau français de contrôle technique automobile Autosur, qui exploite aussi la marque Diagnosur, a été victime d’une fuite de données révélée publiquement en mars 2025. Dans un communiqué officiel publié sur son site, l’entreprise indique avoir identifié un accès non autorisé à certaines de ses données le 16 mars 2025, fermé cet accès et renforcé sa sécurité informatique. Elle précise avoir procédé aux notifications requises auprès de la CNIL et déposé plainte auprès des services de police.

Selon le communiqué d’Autosur, les données concernées comprennent les nom, prénom, adresses e-mail et postale, numéro de téléphone et numéro de plaque d’immatriculation, les données bancaires n’étant pas affectées. Les sources techniques et la presse ajoutent des informations sur les véhicules (marque, modèle, VIN) et mentionnent des mots de passe chiffrés. La plateforme Have I Been Pwned, qui a intégré les données le 18 décembre 2025, fait état de 487 226 adresses e-mail uniques au sein d’un ensemble de plus de 10 millions d’enregistrements clients.

Le volume exact de personnes touchées reste incertain et varie fortement selon les sources, de 4 millions à plus de 12 millions de dossiers. Les données auraient été mises en vente sur un forum cybercriminel, l’incident ayant d’abord été repéré par une plateforme de veille. La fuite concerne un opérateur français et des résidents en France, ce qui place clairement l’événement dans le champ du RGPD.

Les principaux risques identifiés portent sur l’hameçonnage ciblé, l’usurpation d’identité et la fraude automobile, notamment via la combinaison plaque d’immatriculation et adresse postale qui pourrait servir à des sollicitations frauduleuses se faisant passer pour des centres de contrôle technique ou des garages. Les autorités recommandent aux personnes concernées la vigilance face aux messages suspects, le changement de mot de passe et l’activation de l’authentification à deux facteurs.