Naufrage Numérique : Le Bilan catastrophique des fuites de données de Janvier 2026

Vous aimez les chiffres vertigineux ? Vous allez être servis !

Chaque matin, avant même que l’odeur du café ne remplisse mon bureau, je m’astreins à un travail de bénédictin numérique : je compile, je recoupe et je liste sur mon site christopheboutry.com/fuites-infos les violations de données qui frappent la France.

Ce mois de janvier 2026 n’a pas été un simple mois de reprise ; ce fut une véritable hécatombe, un buffet à volonté pour les cybercriminels où les entreprises françaises ont servi nos vies privées sur un plateau d’argent.

En trente-et-un jours, j’ai vu défiler plus de compromissions que durant tout un semestre de l’année précédente. Le constat est sans appel : nos données ne fuient pas, elles s’évaporent par citernes entières. Entre l’amateurisme crasse de certains cabinets de conseil et la sophistication glaçante des agrégateurs de données, le citoyen français est devenu le produit le plus échangé sur des forums de cybercriminalité comme BreachForums. J’ai pris le temps de tout compter, de tout analyser, et de comparer les réactions de façade des entreprises avec la réalité du terrain.

Le vertige des chiffres : plus de 71 Millions d’enregistrements dans la Nature

Pour ceux qui aiment les chiffres qui donnent le tournis, j’ai cumulé le nombre de données recensées durant ce seul mois. Accrochez-vous à vos portefeuilles numériques : le total dépasse les 71 300 000 enregistrements. Oui, vous avez bien lu. C’est plus que la population française. Statistiquement, chacun d’entre nous a été « vendu » au moins une fois ce mois-ci, peut-être même deux ou trois selon que vous jouez au golf, que vous chassez le sanglier ou que vous recevez simplement des colis — voire les trois à la fois.

Évidemment, ce total reste une approximation : dans les fuites, on parle rarement le langage de la précision. Entre les bases revendiquées à grands coups d’annonce, les extraits publiés pour appâter l’acheteur, les doublons, et les « lignes » qui ne correspondent pas toujours à une personne, établir un chiffre exact relève du sport de combat. Sans compter les violations de données non publiques. De mon côté, je tente autant que possible un dédoublonnage raisonnable : l’objectif, c’est de se rapprocher d’une logique « un enregistrement = une personne », tout en gardant en tête qu’une même personne peut réapparaître dans plusieurs bases compromises, avec des éléments différents (email ici, téléphone là, adresse ailleurs).

Quelques désastres de Janvier 2026

Ce tableau n’est que la partie émergée de l’iceberg. Derrière chaque ligne, il y a des individus dont la tranquillité va être pourrie par des appels de faux conseillers bancaires, des SMS de fausses livraisons et des tentatives d’extorsion.

Extrait partiel des fuites de données de janvier 2026.

La « Mère de toutes les fuites » : 45 Millions de Français à prix cassé

Le 14 janvier 2026, j’ai cru à une erreur de frappe. Un serveur cloud mal protégé a été découvert, contenant une base de données composite de 30,1 Go. Ce n’est pas une fuite classique venant d’une entreprise unique, mais l’œuvre d’un courtier en données qui a patiemment agrégé plusieurs sources distinctes pour créer le kit de survie ultime du parfait cybercriminel.

Ce qui me sidère dans cette affaire, c’est la précision des informations. On y trouve des registres électoraux, des données de santé avec des numéros RPPS et ADELI pour plus de 9 millions de professionnels, et surtout, 6 millions d’IBAN. Quand j’ai lu que 67 % de la population française était affectée par cette seule fuite, j’ai repensé aux discours sur la « souveraineté numérique ». La vérité, c’est que cette base est un annuaire géant pour escrocs.

La presse a mis du temps à réagir, mais quand l’enquête de Cybernews est sortie, le réveil a été brutal. Pour référence : Cybernews (45M records) et TechRadar (synthèse).
On a comparé cet incident à la fuite de France Travail en 2024 qui avait touché 43 millions de personnes. La différence ici, c’est la nature composite de la base : une fusion de nos habitudes de consommation, de nos santés et de nos finances. C’est le Big Data, mais version Dark Web.

L’affaire DC Conseil : quand l’incompétence frise la haute trahison

S’il y a bien un dossier qui m’a fait bondir ce mois-ci, c’est celui du cabinet DC Conseil (parfois cité sous le nom de DCE Conseil). Le 5 janvier, le pirate « AngelBatista » a publié 844 Go de documents critiques sur BreachForums. J’ai épluché le contenu (voir mon article :
Prisons, Armée, Hermès : 844 Go…), et franchement, c’est à se demander si la sécurité informatique fait partie de leurs priorités.

Les Plans de nos Prisons dans la Nature

Imaginez des plans techniques détaillés, des audits de sécurité et des schémas de vidéosurveillance pour les prisons de Fleury-Mérogis, Argentan et Condé-sur-Sarthe. Tout cela se balade parce qu’un prestataire n’a pas su segmenter son réseau ou protéger ses accès VPN. On parle aussi de documents de la Gendarmerie nationale, et de plans de base de l’Armée française.

Mais le plus « ridicule », c’est la méthode de caviardage : des rectangles noirs posés sur des PDF. Sauf qu’un simple clic avec un éditeur permet souvent de déplacer le rectangle et de lire ce qu’il y a dessous. Le pirate s’est d’ailleurs moqué de cette « erreur de débutant ». Moi, j’appelle ça de la négligence.

Hermès et le Luxe de la Vulnérabilité

Même les fleurons de notre industrie, comme Hermès, se retrouvent piégés par la faiblesse de leurs prestataires. Plans d’aménagement et de sécurité de boutiques (Cannes, Monaco, Saint-Tropez), relevés techniques de manufactures… John Lobb, Puiforcat, la Cristallerie Saint-Louis : personne n’est épargné.

La réaction du cabinet ? Un silence radio presque total, ou des déclarations laconiques affirmant que « l’incident a été traité ». On aimerait avoir leur optimisme, mais quand 844 Go de données critiques ont déjà circulé, on ne « traite » plus : on constate les dégâts.

Le sport français : un open bar pour pirates

On continue la tournée des sinistrés avec nos fédérations sportives. On dirait qu’elles se sont passé le mot pour se faire attaquer la même semaine.

• Le Golf (FFG) : le 21 janvier, 1 224 196 licenciés exposés. Noms, adresses, dates de naissance, et même l’index de jeu. Une liste de cibles premium livrée clé en main.
• Le Tennis (FFT) : la FFT a aussi perdu les données d’environ 1,2 million de membres le 11 janvier.
• Les Chasseurs (FNC) : le pirate « AngelBatista » affirme avoir volé 27 Go de données (permis de chasser, assurances). Il a même incité ses lecteurs à des actes dangereux. Ambiance.

Ces fédérations gèrent des millions de comptes et des informations de plus en plus fines, mais leurs infrastructures semblent datées d’une autre époque.

Services publics et protection sociale : la sécu en passoire

Le 19 janvier 2026, l’Urssaf a dû admettre un accès frauduleux à son API de Déclaration Préalable à l’Embauche (DPAE). Bilan : 12 millions de salariés potentiellement concernés. Les attaquants n’ont même pas eu besoin de forcer la porte : ils ont utilisé des identifiants compromis d’un partenaire habilité.

C’est l’un des angles morts de 2026 : l’écosystème est tellement interconnecté qu’il suffit qu’un partenaire tiers soit fragile pour que les données de millions de Français soient exfiltrées. Regardez TooEasy, une agence web qui a laissé filer 1,2 million de dossiers contenant des cartes d’identité et des actes de naissance. Le « single point of failure » poussé à l’absurde.

Consommation et logistique : votre colis a été livré… aux hackers

L’affaire Relais Colis du 19 janvier est un cas d’école en communication de crise. Non seulement des données clients ont été dérobées, mais l’alerte a été envoyée avec tous les destinataires en copie visible : une fuite dans la fuite. Résultat : avalanche de SMS de « fausses livraisons » et un terrain de jeu idéal pour l’arnaque.

L’IA, la nouvelle arme

En scrutant les publications institutionnelles, une tendance se dessine : l’automatisation accélère la menace. Côté sources, vous pouvez suivre les bulletins publics du CERT-FR
(exemple de bulletin) et les ressources de l’ANSSI (plan stratégique 2025–2027).
L’idée est simple : l’outillage progresse, les campagnes deviennent plus rapides, plus industrialisées, et la barrière d’entrée baisse.

Mon analyse : pourquoi janvier 2026 est un tournant

Ce mois-ci, j’ai constaté un changement de paradigme. On ne vole plus seulement des données pour les revendre : on les agrège pour fabriquer une réalité exploitable. Avec des dizaines de millions de fiches cumulées, certains acteurs disposent d’un niveau de connaissance sur nous qui dépasse parfois celui de nos interlocuteurs habituels.

La fragilité humaine reste le maillon faible, mais elle est désormais exploitée avec une précision supérieure. Le Baromètre Cyber 2026 de Mailinblack insiste justement sur cette bascule vers un risque davantage centré sur les usages :
Baromètre Cyber 2026.

Le réveil ou le chaos

Après ce mois de janvier épuisant à lister les épaves numériques de notre pays, je n’ai qu’une recommandation : la méfiance absolue. Le travail de recoupement que je fais sur
christopheboutry.com/fuites-infos n’est pas là pour faire peur, mais pour montrer l’étendue du chantier et réagir vite.

Nous avons changé d’époque. En 2026, la question n’est plus de savoir si vous allez être piraté, mais quand — et par combien de groupes différents. Les entreprises françaises doivent arrêter de considérer la cybersécurité comme un coût et commencer à la voir comme une condition de survie. Quant à l’État, s’il veut vraiment protéger les citoyens, il va falloir muscler les contrôles sur les prestataires qui manipulent des données sensibles avec une légèreté coupable.

Janvier 2026 s’achève sur un record dont on se serait bien passé : plus de 71 millions de raisons de s’inquiéter. Rendez-vous en février pour la suite de ce naufrage, en espérant que, d’ici là, quelqu’un aura enfin appris à fermer les vannes.