Fuites de données et OpSec : que faire ?

2025 a été un carnage en matière de fuites de données (màj : 2026 semble commencer dans la même dynamique, aperçu). Si bien, qu’une grande partie de la population française a vu ses informations personnelles compromises. Tout y passe :

• Identité complète (nom, prénom, date de naissance, adresse e-mail, téléphone)
• Identifiants de connexion (nom d’utilisateur, mot de passe haché ou en clair)
• Adresse de domicile
• Données de santé
• Informations bancaires
• etc.

Aucune entreprise ou organisation n’est épargnée, qu’elle soit publique ou privée, petite comme grande (notamment via la supply chain). La France, en particulier, finit souvent dans le top 5 des pays avec le plus de comptes compromis.

Vous êtes donc très probablement concerné(e) par au moins une fuite de données. Comment réagir ? Voyons cela ensemble.

Avertissement juridique

Les informations présentées dans cet article reposent sur le droit français et européen en vigueur à la date de sa rédaction et sont fournies à titre informatif uniquement.
Elles ne constituent pas un avis juridique et l’auteur n’est pas avocat ni professionnel du droit.
La législation, la réglementation et la jurisprudence étant susceptibles d’évoluer, il est recommandé de consulter un professionnel qualifié pour toute situation particulière.
L’auteur tient également à rappeler que l’usurpation d’identité, la fraude, la fausse déclaration auprès de services soumis à une obligation d’identification, ainsi que le non-respect des conditions générales d’utilisation d’une plateforme peuvent constituer des faits illicites ou entraîner des sanctions de la part des services concernés.

Risques

Les risques sont nombreux et varient en fonction des données compromises. On peut citer notamment :

• Hameçonnage (phishing et spear phishing), rendus plus crédibles par l’utilisation de données personnelles
• Spam (publicité non sollicitée)
• Usurpation d’identité
• Fraude financière
• D’autres risques plus spécifiques :
  • Selon les cas, risques physiques (ex : cambriolage, séquestration à domicile, etc.)
  • Augmentation de la surface d’attaque OSINT
  • Surface d’attaque pour les entreprises (réutilisation de mots de passe fuités en entreprise)
  • Selon le profil, exposition à des attaques sophistiquées (ex : grâce à l’obtention d’un numéro de téléphone, attaque zero-click par envoi d’un simple message via un moyen de LIOP)

Mesures réactives

Faire un état des lieux

Commencez par identifier les services affectés par des fuites de données pour lesquels vous êtes impacté. Pour cela, vous pouvez utiliser des services en ligne tels que :

• Have I Been Pwned
• Intelligence X
• DataBreach

Listez les services concernés, les types de données compromises, et la date de la fuite si disponible.

En complément, cherchez dans votre client mail les mots clés suivants : données personnelles, fuite de données, violation de données, unauthorized, breach, incident, compromised. Vous serez peut-être surpris des services qui vous ont informé(e) d’une fuite ! Ajoutez ces services à votre liste.

Dans l’idéal en complément, connectez-vous aux services affectés pour obtenir les informations qui ont fuité (ex : si vous avez déménagé, l’adresse renseignée peut être obsolète, ce qui serait une bonne nouvelle dans ce contexte !).

Tenir un journal des incidents / registre personnel

Créez un document sur le support de votre choix pour consigner toutes les informations précédentes, ainsi que les actions entreprises pour chaque service affecté. Vous pouvez notamment faire une capture d’écran des pages des services ci-dessus.

J’appelle cela un “RPTD” (Registre Personnel de Traitement de Données, en référence au RGPD). J’y ajoute pour ma part les comptes supprimés et les requêtes RGPD effectuées, pour en faire un document de suivi complet.

Mon conseil : utilisez des codes couleur selon les données compromises et la gravité.

Un exemple de support : un document Proton Sheets avec des onglets comme :

• FUITES DE DONNÉES
• COMPTES SUPPRIMÉS
• REQUÊTES RGPD
• SERVICES LEAK CHECK

Évaluer les risques associés

Selon votre profession, exposition publique, situation financière, etc., les risques peuvent varier.

On peut par exemple citer les profils suivants comme étant plus à risque :

• Célébrité, personnalité publique
• Force de l’ordre, militaire
• Salarié d’une entreprise de défense
• Activiste
• etc.

Une fuite de données laissant présupposer un niveau de vie élevé (ex : données bancaires, historique d’achats, etc.) ou certaines activités peut avoir de nos jours de graves conséquences, notamment en matière de sécurité physique.

Appuyons ce dernier propos à travers deux exemples.

Cryptomonnaies

La détention de cryptomonnaies attire de plus en plus l’attention des cybercriminels. Ces actifs ont pris de la valeur au fil des ans, et leur nature plutôt décentralisée en fait une cible attrayante : pas de banque centrale ou d’autorité unique pour intervenir en cas de vol (ce n’est pas vrai pour certains stablecoins ou altcoins centralisés).

La tendance à la hausse des cybercrimes violents s’est poursuivie en 2025, accumulant pléthore de cas allant de l’extorsion jusqu’aux mutilation corporelles.

Jameson Lopp, cofondateur de l’entreprise Casa (spécialisée dans la sécurité des crypto-actifs), a recensé publiquement les vols avec violence de crypto-actifs, dont 67 cas pour l’année 2025.

Source : Death, torture, and amputation: How cybercrime shook the world in 2025

Pour suivre cette tendance, le projet suivant est intéressant : Known Physical Bitcoin Attacks.

Vous n’êtes pas encore convaincu ? Citons des faits d’actualité marquants :

• Cofondateur de Ledger

Le cas tristement célèbre du cofondateur de Ledger début 2025 illustre parfaitement ce risque. Début 2025, celui-ci a été enlevé, séquestré et torturé par des criminels qui ont demandé une « importante rançon en cryptomonnaie ».

• Projet d’enlèvement avec des moyens dignes d’un service de renseignement

Fin 2025, un projet d’enlèvement ciblant un investisseur en cryptomonnaies réputé « très performant » orchestrée par trois suspects a été déjouée. Les moyens mis en œuvre par les criminels sont dignes d’un film d’espionnage :

• Une escroquerie par faux support Google avait déjà cherché à obtenir sa « phrase de récupération » pour accéder à ses portefeuilles crypto
• En octobre 2025, un drone a survolé la résidence de la victime dans le cadre d’une surveillance présumée par les criminels
• Les forces de l’ordre ont intercepté des brouilleurs envoyés de Chine, décrits comme capables de bloquer le WiFi des caméras de sécurité et de les rendre inopérantes
• Ils ont également pu observer la pose d’un traqueur GPS sur le véhicule de la victime

• Les enquêteurs ont alors appréhendé les suspects avant toute escalade

• Fuite du prestataire commercial de Ledger

Début 2026, Global-e, prestataire commercial de Ledger, a subi une fuite de données affectant une partie des acheteurs de portefeuille matériel pour cryptoactifs de la licorne française.

Les données compromises incluent des informations personnelles sensibles : nom complet, adresse postale, adresse e-mail, numéro de téléphone, ainsi que des détails de commande (numéro de commande, produit acheté et prix payé).

Cette fuite laisse à craindre des attaques ciblées contre les détenteurs de cryptomonnaies, notamment des tentatives d’enlèvement ou de vol à domicile dans les mois voire années à venir.

Méfiez-vous également des courriels et appels téléphoniques qui vous incitent à divulguer des informations sensibles ou à effectuer des actions urgentes concernant vos cryptomonnaies, en particulier concernant votre phrase de récupération, qui, rappelons-le, ne doit jamais être partagée avec qui que ce soit.

Détention légale d’armes à feu

Le 20 octobre 2025, la FFTIR (Fédération Française de Tir) a annoncé une fuite de données, qui peut affecter jusqu’à plus de 240 000 tireurs sportifs licenciés en France.

Les informations compromises incluent des données personnelles sensibles : numéro de licence, état-civil, adresse postale, adresse e-mail et numéro de téléphone.

Les malfaiteurs peuvent désormais cibler les détenteurs d’armes à feu identifiés dans les fichiers de la fédération.

Cela a déjà commencé. Un exemple documenté fin décembre :
Neuf armes et 1 300 cartouches volées : un tireur sportif séquestré chez lui à Villeurbanne

Changer les mots de passe compromis

Lorsqu’un mot de passe est mentionné dans une fuite, vous devez le changer au plus vite. Si vous avez utilisé ce même mot de passe sur plusieurs services, changez-les également.

Pour les services critiques, changez systématiquement le mot de passe, par mesure de précaution.

Appliquez les bonnes pratiques de gestion des mots de passe, dont l’utilisation d’un gestionnaire de mot de passe (voir plus bas).

Surveiller les comptes affectés

Par précaution, déconnectez l’ensemble des sessions actives si le service le permet.

Surveillez périodiquement les notifications de connexion, activités suspectes, changements de paramètres, etc. sur les comptes affectés, ainsi que vos comptes sensibles (ex : e-mail, banque, réseaux sociaux, etc.).

Explorez et élevez les paramètres de verrouillage / notification. Par exemple, pour la suite Proton, vous pouvez activer le mode Sentinel.

Supprimer vos informations des services de “leak check”

Rappelons ce qui est désagréable : une fois qu’une donnée a fuité, elle restera “dans la nature” indéfiniment, copiée sur des dizaines voire centaines de serveurs et ordinateurs de personnes peu scrupuleuses.

Fait d’ailleurs peu rassurant, on assiste depuis peu à l’émergence de “moteurs de recherche de leak” clandestins, un modèle de SaaS criminel centré sur la France.

Il est néanmoins possible de limiter la diffusion de vos données en demandant la suppression de celles-ci auprès des services de “leak check” publics. Cela limitera votre exposition envers :

• Les acteurs malveillants les moins motivés, qui ne feront pas l’effort de rechercher les données à la source
• Les investigateurs OSINT qui respectent la loi (il est en effet illégal de télécharger des dumps de données compromises)

Après avoir scrupuleusement documenté / archivé les informations vous concernant fournies par ces services, envoyez des demandes de suppression de vos données personnelles.

Vous trouverez une liste des services de “leak check” les plus courants dans ma collection d’outils Privacy center dans la catégorie “Online services”, onglet “Leak monitoring”.

Michael Bazzell propose également une liste (en anglais), plus orienté services américains.

Mesures préventives

Sécurité physique

Si votre situation le justifie, déménager peut être une nécessité, si votre adresse postale a fuité.

Il faudra dès lors mentionner cette nouvelle adresse uniquement lorsque cela est strictement nécessaire. Dans les autres cas, un service de boîte postale numérisée peut être une bonne alternative (voir plus bas).

L’utilisation d’un coffre-fort à domicile pour y stocker des documents sensibles (ex : pièces d’identité, cartes bancaires, etc.) peut être une bonne idée.

Cryptomonnaies

Pour les cryptoactifs, vous pouvez envisager plusieurs solutions :

• Multisignature (multisig) pour répartir les risques, et empêcher toute transaction illégitime (nécessite une personne de confiance) ;
• Entreposer vos appareils et clés de récupération dans un coffre en banque (peut être combiné avec le multisig).

Paranoia

De nos jours, malheureusement, un niveau minimum de paranoïa est nécessaire pour se protéger efficacement en ligne, et même en général : les escrocs utilisent des techniques de plus en plus sophistiquées.

De façon générale, n’interagissez pas avec des messages, courriels et courriers, appels non sollicités, lorsqu’ils mettent en avant une urgence, une menace, ou une opportunité trop belle pour être vraie. Dans le doute, vérifiez en vous assurant de passer par les canaux officiels !

On ne le rappellera jamais assez : une banque (et tout autre service) ne vous demandera jamais un mot de passe ou code reçu par SMS lors d’un appel. Ce sont les derniers remparts de sécurité avant l’accès à votre compte ou l’initiation d’une transaction !

Selon votre profil, vous devrez adapter votre niveau de paranoïa.

Gestion des mots de passe

Le risque principal lié aux fuites de données repose sur la réutilisation des mots de passe. En effet, si un mot de passe est compromis et que vous l’avez réutilisé sur plusieurs services, tous ces services sont à risque.

On vous l’a sûrement rabâché : il est crucial d’utiliser des mots de passe uniques et robustes pour chaque service.

C’est pourquoi l’utilisation d’un gestionnaire de mots de passe est devenue indispensable !

Pour la gestion des mots de passe, je vous renvoie vers mon autre article : Devenez maître en gestion des mots de passe

Activer l’authentification à deux facteurs (2FA)

L’activation de l’authentification à deux facteurs (2FA) ajoute une couche de sécurité supplémentaire à vos comptes en ligne.

N’enregistrez pas ceux-ci dans votre gestionnaire de mots de passe, cela casse l’intérêt du 2FA.

Je recommande notamment Proton Authenticator ou une clé de sécurité matérielle (ex : Yubikey).

Surveiller les fuites de données

Vérifier manuellement les fuites est contraignant. Il est heureusement possible d’automatiser cette tâche !

Vous pouvez ainsi inscrire vos e-mails à un service de surveillance de fuites de données, le plus connu étant Have I Been Pwned.

Proton propose la fonctionnalité Dark Web Monitoring, accessible sur abonnement. Vous pouvez rajouter des adresses extérieures à votre compte Proton, les alias et adresses du compte Proton étant par défaut monitorés.

En parallèle, suivre l’actualité cyber et des lanceurs d’alertes comme Zataz (FR) ou Techlore / Surveillance Report (US) permet de rester informé quant aux fuites récentes susceptibles de vous concerner.

Utiliser des services d’alias

Courriel

Il est possible d’utiliser des services d’alias pour protéger votre adresse e-mail principale. Ces services permettent de créer des adresses e-mail à souhait, qui redirigent les messages vers votre boîte de réception principale.

Cela présente bien des avantages :

• Si vous commencez à recevoir du spam sur un alias, vous pouvez simplement le désactiver sans affecter votre adresse principale, puis en créer un nouveau
• Il vous permet d’identifier quel service a pu être à l’origine d’une fuite de données, en utilisant un alias unique par service
• Vous pouvez dissocier votre identité réelle de vos inscriptions en ligne et l’adresse de courriel n’est plus un pivot / identifiant unique

Le plus connu est SimpleLogin. Proton l’inclus via un partenariat dans Proton Pass, il faut cependant un abonnement payant pour en créer plus de 10.

Des services d’e-mail jetables existent également, pour créer un compte temporaire rapidement. Attention cependant, ces services sont souvent bloqués par les sites web lors de l’inscription.

Pseudonymes et faux profils

Pour rappel, l’usurpation d’identité, la fraude, la fausse déclaration auprès de services soumis à une obligation d’identification, ainsi que le non-respect des conditions générales d’utilisation d’une plateforme peuvent constituer des faits illicites ou entraîner des sanctions de la part des services concernés.

Pour des services non liés à l’État et du commerce en ligne, utiliser un pseudonyme ou un alias.

Attention à l’usurpation d’identité ! Ne jamais utiliser la photo d’une autre personne. Il est possible de générer une image plutôt réaliste avec un outil d’IA (ex : This Person Does Not Exist).

Courrier postal numérisé

Des services vous permettent de recevoir votre courrier postal, de le numériser, puis de vous l’envoyer par e-mail. Vous pouvez ainsi éviter de divulguer votre adresse postale réelle, et fournir une adresse de boîte postale légitime !

On peut par exemple citer :

• Clevver
• iPostal1

A des fins de transparence, je n’ai pas d’affiliation avec ces services.

Je n’ai également pas testé ces services moi-même. Faites vos propres recherches avant de vous engager.

Mettre en place un anti-spam

Les services de courriel modernes intègrent souvent des filtres anti-spam efficaces. L’utilisation d’alias (voir ci-dessus) reste également votre meilleur atout contre le spam.

Autre point : le spam téléphonique. Pour se prémunir contre le démarchage téléphonique, vous pouvez dans un premier temps vous inscrire sur la liste Bloctel. Cela n’est pas une solution miracle : certains services ne sont pas soumis à cette liste, et les démarchages frauduleux continueront malgré tout.

C’est pourquoi une application de filtrage des appels est à ajouter. J’ai trouvé deux applications françaises intéressantes :

• Préfixe Bloqueur
• Saracroche

Minimiser les données partagées

Si vous n’êtes pas obligé de fournir une information, ne la fournissez pas, ou bien fournissez une information partielle (ex : initiale de nom au lieu du nom complet, année de naissance au lieu de la date complète, etc.).

Si vous devez prouver votre identité, utilisez le service France Identité pour générer une attestation temporaire (nécessite une CID nouvelle version, format CB, contenant une puce). Si l’on vous demande un scan de votre pièce d’identité, fournissez une version caviardée (noircie, pas d’effet de flou), avec l’aposition d’un filigrane au nom de l’entité destinataire.

Gestion des comptes en ligne

Effectuer une revue annuelle et suppression des comptes inutilisés. Remplacer vos données personnelles par des données fictives avant suppression quand cela est possible (voir avertissement juridique ci-dessus).

Pour l’adresse postale :

• Vous pouvez fournir une adresse fictive (exemple de générateur)
• Ou bien une adresse qui n’existe pas (ex : ville et rue réelle avec un débordement de numéro de rue)
• Et enfin, pour les services de vérification les plus stricts, une adresse réelle :
  • D’un immeuble, à un étage ou appartement qui n’existe pas (nécessite un peu d’OSINT)
  • D’un “cluster” d’immeubles avec un nom de bâtiment fictif

Attention à ne pas donner une adresse réelle : mettre en péril la sécurité physique d’un tiers est à la fois illégal et profondément immoral.

Privilégiez les services zero knowledge / chiffrés de bout en bout (e2ee) : en cas de fuite, les données restent protégées ! Ex : Proton Mail, Signal, etc.

Et pour les plus aventureux / bricoleurs, l’auto-hébergement est également une option. Attention à bien sécuriser vos services ou mieux, ne pas les exposer (réseau local seulement, VPN).

Rester discret en ligne

Dans l’ensemble, ne partagez pas trop d’informations personnelles en ligne, notamment sur les réseaux sociaux. L’idéal est de limiter le nombre de réseaux sociaux utilisés, et de rendre vos profils privés.

Certains sujets sont à proscrire, notamment :

• Vos habitudes quotidiennes (ex : horaires de travail, trajets, etc.)
• Vos informations de localisation (ex : check-in, géolocalisation des photos, etc.)
  • Éventuellement avec un délai d’un jour ou plus
• Vos informations financières (ex : achats, revenus, détention de cryptomonnaies, etc.)
• Vos informations de sécurité (ex : possession d’armes à feu, systèmes de sécurité à domicile, etc.)

Restez également prudent avec les sujets suivants :

• Vos informations de santé (ex : maladies, traitements, etc.)
• Vos informations familiales (ex : noms, âges, écoles, etc.)
  • Ne publiez pas de photos de vos enfants en ligne !
• Vos opinions politiques, religieuses, etc.
• Vos relations

Il est de plus en plus aisé de géolocaliser à partir d’une simple photo d’un lieu / paysage. Même les LLM grand public (ex : ChatGPT) sont plutôt performants pour cela.

Infostealers

Les infostealers sont des logiciels malveillants conçus pour voler des informations sensibles sur un ordinateur ou un appareil mobile. Ils sont à la source de nombreuses fuites de données.

Ils peuvent capturer des données telles que :

• Identifiants de connexion
• Informations bancaires
• Cookies de session, et autre données de navigation
• Seed phrase et portefeuilles de cryptomonnaies
• Fichiers sensibles (documents, clés SSH, etc.)
• Captures d’écran
• Capture des frappes clavier (keylogging)
• etc.

Pour se protéger contre les infostealers :

• Utilisez un logiciel antivirus / antimalware réputé et gardez le à jour
• Mettez à jour régulièrement vos systèmes d’exploitation et logiciels pour corriger les vulnérabilités de sécurité
• Évitez de télécharger des logiciels ou des fichiers à partir de sources non fiables
  • A défaut, faites-le sur une machine virtuelle ou, encore mieux, une autre machine physique dédiée
• Ne cliquez pas sur des liens ou pièces jointes dans les e-mails ou messages non sollicités
• Sur mobile, soyez vigilant quant aux applications installées, en particulier celles demandant des permissions excessives
• Attention aux extensions de navigateur : elles peuvent donner un accès étendu à vos données de navigation à un acteur malveillant
• Séparez strictement vos usages personnels et professionnels (en particulier pour les moyens d’authentification)