Image de l’auteur/autrice Publié par : charly 23 Fév
BonjourLaFuite : comprendre l’impact réel des fuites de données et les risques d’usurpation d’identité

BonjourLaFuite (bonjourlafuite.eu.org) est un site de veille qui recense, jour après jour, les fuites de données touchant des organisations françaises, avec une présentation très factuelle des informations compromises.

Objectif du site

BonjourLaFuite vise à donner une vision claire et centralisée des incidents de sécurité ayant entraîné une fuite de données, alors que l’information est habituellement dispersée entre communiqués d’entreprises, articles de presse, décisions de la CNIL et posts de groupes de cybercriminels. L’idée est de permettre à n’importe qui (particulier ou pro) de comprendre rapidement « qui a fuité aujourd’hui » et quelles données sont en jeu.

Fonctionnement et contenu

Le site se présente comme une timeline minimaliste où chaque incident est résumé sur une ligne ou une fiche, avec un ton volontairement sobre et factuel. On y retrouve pour chaque fuite des éléments structurés : organisation concernée, type d’incident, nature des données exposées, liens vers les sources publiques et parfois des précisions contextuelles.

Les types d’organisations listées sont très variés : grandes entreprises (par exemple Louis Vuitton, ManoMano), associations, fédérations sportives, universités, acteurs publics, sites marchands ou prestataires techniques. Pour certaines entrées, le niveau de détail sur les données compromis es est particulièrement élevé : identité complète, coordonnées, identifiants de connexion, données contractuelles, informations financières, données de santé ou sociales, etc.

Exemple d’entrées et types de données

Quelques exemples tirés de la timeline illustrent la diversité et la gravité des fuites recensées :

  • IDMerit : 3 milliards d’entrées, avec nom, prénom, adresse postale, date de naissance, NIR, téléphone, email, métadonnées de télécommunication et profils de réseaux sociaux.
  • Fédération Française de Randonnée Pédestre : centaines de milliers d’emails et de numéros de téléphone, avec identité complète, numéro de licence, coordonnées et structure d’accueil.
  • Réseau.site : environ 73 000 clients, avec identifiants, coordonnées, achats et mots de passe.
  • 123Casting : 240 000 utilisateurs, avec identité, coordonnées, caractéristiques physiques, origine ethnique, contenu du book photo/vidéo, historique de messages privés et données de paiement.
  • Louis Vuitton : données marketing et clients (identité, coordonnées, date de naissance, pays, préférences et données d’achats).
  • Sorbonne Université : données personnelles et professionnelles avec parfois celles du conjoint et des enfants.
  • Nord Emploi : informations sociales très sensibles (dossier RSA/CAF, situation d’emploi, compétences, projets, candidatures, etc.).

Les incidents couvrent aussi des services publics locaux (SDIS, organismes d’emploi), des fédérations sportives (football, twirling bâton), des associations de jeunesse ou d’éducation populaire.

Positionnement dans l’écosystème cyber

BonjourLaFuite est aujourd’hui clairement identifié comme un outil de suivi des fuites de données françaises, cité dans des contenus de vulgarisation, des articles de presse et des ressources institutionnelles. Le site est notamment associé à « Aeris », figure du logiciel libre et de la sensibilisation à la protection des données, qui y dénonce la fréquence des fuites et la faiblesse relative des sanctions.

Le service ne collecte pas de données sur ses utilisateurs et se contente d’agréger des informations déjà publiques (posts de groupes de ransomwares, communiqués, articles, décisions, etc.). Il se positionne ainsi comme un outil de transparence et de prise de conscience, utile autant aux responsables de SI qu’aux particuliers qui veulent évaluer leur propre exposition.

Intérêt pratique pour l’utilisateur

Pour un internaute ou un professionnel, BonjourLaFuite permet notamment de :

  • Vérifier si une organisation avec laquelle il a un compte ou une relation (banque, e-commerçant, association, employeur, collectivité, etc.) a subi une fuite.
  • Comprendre le type de données potentiellement exposées (mail, téléphone, identité, données de santé, RIB, identifiants, etc.) afin d’adapter les mesures à prendre (changement de mot de passe, vigilance accrue face au phishing, surveillance de ses comptes, etc.).
  • Identifier les prestataires récurrents impliqués dans les fuites et mieux évaluer le niveau de risque associé à certains services, chaînes de sous-traitance ou logiciels.

Des organismes de sensibilisation au numérique et à la cybersécurité recommandent ce site comme point d’entrée pour se rendre compte de l’ampleur du phénomène des fuites de données en France.

Ces fuites de données ne servent pas seulement à envoyer du spam : elles ouvrent la porte à des attaques beaucoup plus graves, dont l’usurpation d’identité et la fraude financière sans toucher directement à votre compte bancaire.

Usurpation d’identité et crédits

Avec vos nom, prénom, adresse, date de naissance, téléphone, email, parfois NIR et copies de justificatifs, un escroc peut monter un dossier de crédit ou de leasing à votre nom. Il peut par exemple :

  • Demander un crédit à la consommation ou un micro-crédit en ligne en utilisant vos informations personnelles « parfaitement cohérentes ».
  • Louer une voiture ou du matériel (high-tech, électroménager) puis disparaître avec, en laissant les impayés à votre charge.
  • Ouvrir un compte bancaire ou un compte chez un néobanquier pour y faire transiter de l’argent sale (blanchiment), ce qui peut ensuite vous attirer des ennuis administratifs ou judiciaires.

Dans ces scénarios, l’escroc ne « vole » pas directement sur votre compte, mais utilise votre identité pour créer de nouveaux engagements financiers qui retombent ensuite sur vous.

Fraude administrative et sociale

Quand les fuites contiennent des informations sociales ou administratives (CAF, Pôle emploi, conseils départementaux, organismes sociaux), les risques augmentent encore :

  • Création ou modification de dossiers de prestations sociales pour détourner des allocations.
  • Déclaration frauduleuse de changement d’adresse ou de RIB pour faire verser des aides ou des remboursements sur un autre compte.
  • Utilisation de votre dossier complet (situation familiale, enfants, historique de prestations) pour rendre l’escroquerie plus crédible en cas de contrôle.

Là aussi, vous découvrez le problème tard : dettes, trop-perçu à rembourser, blocage de droits, suspicion de fraude à tort.

Escroqueries ciblées et chantage

Avec des données détaillées (parcours pro, habitudes d’achat, services utilisés, données médicales ou sensibles), les attaquants peuvent construire des attaques très crédibles :

  • Phishing ultra ciblé (spearphishing) : faux mail de votre banque, de votre mutuelle, de votre université ou de votre employeur, qui reprend des vraies infos vous concernant pour vous faire cliquer ou donner un code.
  • Arnaque au support technique ou au SAV : l’arnaqueur connaît vos commandes, votre numéro de client ou votre historique, il semble donc « légitime ».
  • Chantage ou extorsion : si des données très sensibles fuitent (santé, sexualité, opinions, dettes, photos), certains groupes peuvent menacer de les exposer à vos proches ou à votre employeur.

Plus la fuite est précise, plus le message frauduleux paraît authentique, donc plus vous êtes susceptible de tomber dans le piège.

Atteinte à la réputation et à la vie privée

Une fuite peut aussi toucher votre image et votre vie privée sur le long terme :

  • Exposition publique de votre adresse, numéro de téléphone, nom de vos enfants, clubs ou associations fréquentées.
  • Indexation par des moteurs de recherche de données qui n’auraient jamais dû sortir (commentaires privés, messages internes, informations médicales ou sociales).
  • Doxxing involontaire : il devient très facile pour un inconnu de recouper votre identité réelle, vos comptes en ligne, vos habitudes.

Cela peut mener à du harcèlement, des menaces, ou simplement à un sentiment de perte totale de contrôle sur vos informations personnelles.

Effets à long terme

Même si la fuite ne débouche pas immédiatement sur un débit frauduleux, elle constitue une réserve d’informations exploitables pendant des années :

  • Les fichiers volés se revendent, se recoupent entre eux et s’enrichissent au fil des fuites.
  • Un attaquant peut attendre, recouper plusieurs fuites vous concernant, et lancer une fraude très crédible des mois ou années plus tard.
  • Plus votre « empreinte » fuitée est riche, plus vous êtes une cible intéressante pour des escroqueries sophistiquées plutôt que des spams de masse.

C’est pour cela qu’un site comme BonjourLaFuite est utile : il permet de savoir quelles données ont pu être exposées et d’anticiper ces risques, même si, sur le moment, personne ne semble toucher à votre compte bancaire.