2025 : l’année où les échecs de cybersécurité se propagent à la sécurité physique

L’an dernier, les violations de données personnelles se sont multipliées, en France, à un rythme sans précédent : il y en a eu largement plus d’une centaine. Et c’est sans compter les vols de données dans le cadre d’une cyberattaque avec rançongiciel ; que les données dérobées alors aient été divulguées ou pas.

À ce stade, en 2026, pour ne pas avoir des données personnelles dans la nature, il faut être totalement passé à côté du virage du numérique.

Souvent, la crainte principale est l’usurpation d’identité. Ce qui, en soi, n’est pas rien, et se trouve facilité pour peu que l’on n’utilise pas d’outil ou de service d’apposition de filigrane sur les documents confiés à des tiers. Pour décrocher une location, par exemple.

Mais il y a plus. Des données de services tels que PornHub peuvent ouvrir la voie à des tentatives d’extorsion personnalisées. Et cela même si elles sont incomplètes.

Car comme le relève Damien Bancal, dans Zataz, le danger ne réside pas tant dans la violation de données isolées que dans la consolidation de toutes les données compromises : avec elles, il est possible d’aller bien plus loin dans la connaissance des individus concernés et dans la construction d’activités malveillantes ciblées.

Pour autant, une telle compilation et le croisement qui s’en suit ne sont même pas toujours nécessaires… Il n’y a qu’à voir la violation de données de la Fédération Française de Tir, fin octobre.

Certes « la Fédération Française de Tir ne disposant pas de données relatives à la détention d’armes, celles-ci ne sont pas non plus concernées ». Néanmoins, les données concernées sont : « numéro de licence, de l’état-civil, de l’adresse postale, de l’adresse mail et du numéro de téléphone renseignés ». Suffisant, peut-être, pour attiser certaines convoitises ?

Deux mois plus tard, un tireur sportif a été agressé chez lui et s’est vu voler neuf armes et 1 300 cartouches. Cité par nos confrères de FranceInfo, le parquet a indiqué que les données volées à la fédération ont été utilisées « pour commettre des vols par effraction » ou « par usage de fausse qualité au cours desquels des armes ont été notamment dérobées ».

Et cela ne s’arrête pas à cela ! L’année écoulée a été émaillée d’actes plus ou moins violents à l’encontre de détenteurs de cryptoactifs, à commencer par l’enlèvement du co-fondateur de Ledger, David Balland, et sa compagne, tout début 2025. La brèche de données ayant touché Coinbase n’a vraisemblablement pas aidé, alors que d’autres incidents ont continué de survenir au cours des mois suivant sa révélation.

Et cela jusqu’au mois de décembre dernier : 8 millions d’euros en cryptoactifs ont été soutirés à un couple séquestré par trois personnes près de La Rochelle.

Tout récemment, Ledger a informé certains de ses clients que leurs données personnelles ont été compromises lors d’un incident affectant l’un de ses partenaires logistique, Global-e. Une nouvelle particulièrement préoccupante alors que celui-ci dispose d’adresses postales de livraison.

De manière plus ou moins spéculative, ajoutons enfin la revendication du vol de 844 Go de données de DCE Conseil, un bureau d’études techniques spécialisé en ingénierie du bâtiment. Selon l’auteur de la mise en vente de ces données, ces dernières concerneraient Sodexo, pour des prisons, des gendarmeries, ou encore la base école du 2e Régiment d’Hélicoptères de Combat (BE-2e RHC) au quartier Lejay, et des établissements scolaires, notamment.

L’entreprise concernée parle d’un « incident de sécurité identifié et en cours de diagnostic ». Elle évoque la « compromission d’un compte de messagerie professionnelle dans [son] cloud sécurisé ». Les données de Hudson Rock font état d’au moins 5 comptes effectivement compromis pour un potentiel « cloud » maison, par cleptogiciels (ou infostealers, en anglais). Quant aux arborescences publiées par le pirate impliqué, elles renvoient à une « Dataroom », un espace théoriquement sécurisé de partage de données sensibles… Bref, 2026 commence fort sur le front des violations de données.