Deuxième pays le plus touché après les États-Unis, la France est une cible privilégiée des voleurs de données personnelles : 95 % des Français sont exposés à des risques d’usurpation d’identité, d’escroqueries et de prélèvements frauduleux.Tout a commencé par un coup de fil. Ce jour-là, vers 9 heures, en pleine réunion au travail, Jonathan, 33 ans, voit le numéro de sa banque s’afficher sur son téléphone et s’éclipse quelques secondes pour répondre. Il a fait un virement la veille, peut-être l’appelle-t-on pour le valider ? Le conseiller commence par vérifier ses informations personnelles. « Ah, vous habitez rue des Forges, j’ai longtemps habité là, au-dessus de la boulangerie », plaisante l’interlocuteur. Mis en confiance par ce faux conseiller bancaire qui connaît non seulement ses données personnelles mais aussi les rues de sa ville, Jonathan demande : « Vous m’appelez pour valider le virement ? » « Oui », répond l’homme après un silence presque imperceptible, mais dont Jonathan se souvient bien désormais. Puis vient la question à 10 000 euros : « Je vous ai envoyé une notification sur votre téléphone, pourriez-vous la valider ? » Un instant plus tard, Jonathan entre dans les statistiques relatives aux cyberescroqueries.Le bilan est sans appel. D’après la société néerlandaise de cybersécurité Surfshark, la France est le deuxième pays le plus touché au monde par les fuites de données, avec 23,5 millions de profils de citoyens compromis au premier trimestre 2026. Seuls les États-Unis sont plus durement frappés. Le piratage de l’Agence nationale des titres sécurisés (ANTS) en avril 2026, au cours duquel 12 à 18 millions de Français auraient vu leurs informations volées, a agi comme un électrochoc. L’ANTS gère la délivrance des passeports et des cartes d’identité : on ne fait guère plus sensible, et pourtant… c’est un jeune homme âgé de 15 ans qui a été arrêté quelques jours plus tard en Corse. Et il a déclaré avoir utilisé une vulnérabilité relativement simple. Résultat : le 30 avril, le Premier ministre Sébastien Lecornu s’est rendu à l’ANTS et a annoncé 200 millions d’euros d’investissement immédiat, ainsi qu’une refonte de la cybersécurité de l’État. Les fuites de données massives sont l’équivalent d’un « casse du siècle, mais qui a pratiquement lieu tous les mois », a-t-il dénoncé.« C’est les soldes pour les escrocs »Si la France se distingue par son agence de cyberdéfense, l’Anssi avec ses 658 agents, et par plusieurs champions mondiaux comme Thales et Orange, elle reste mal classée par rapport à ses voisins. « En termes d’exposition, de surface d’attaque, nous sommes au 18e rang au sein de l’OCDE et au 22e sur le continent européen », assure Thomas Gayet, PDG de la plateforme d’audit en cybersécurité Scovery. Au total, ce sont des centaines de millions de fiches personnelles et de données volées qui se retrouvent chaque mois en vente sur le darkweb, ce réseau parallèle sur lequel l’anonymat est mieux protégé.Une fois piratées, les bases de données sont vendues au détail. Un millier de fiches de clients d’une banque, contenant l’état civil, le numéro de compte (Iban), les coordonnées ou encore le profil d’investisseur, se négocient pour 5 euros, contre 50 à 100 euros en 2024. « C’est les soldes pour les escrocs », commente Thibaut Martinez-Delcayrou, auteur du livre Les Caméléons, enquête sur l’arnaque aux faux conseillers bancaires (Flammarion, 2025). Selon lui, « il est beaucoup plus facile d’être un escroc aujourd’hui qu’il y a trois ans, car toutes les données des cibles sont à disposition pour créer une légende, c’est-à-dire pour apparaître légitime aux yeux de la victime : nom de la banque, numéro de compte, consommation d’électricité, nom de l’assureur, lieu de naissance ou habitudes d’achats. Et ce sera encore pire en 2027, lorsque les escrocs seront rodés. Nous observons des vagues, mais le tsunami arrive ».40 000 à 200 000 euros par semaine« Si vous êtes joignable, vous êtes attaquable », martèle Casper Klynge, ancien ambassadeur du Danemark pour le numérique, devenu vice-président de l’expert en sécurité sur le cloud Zscaler. Pour lui, « à chaque fois que nous renforçons notre sécurité, les attaquants deviennent aussi plus forts ». Un jeu du chat et de la souris qui coûte cher : selon le cabinet Cybersecurity Ventures, en 2025, la cybercriminalité aurait coûté 10 500 milliards de dollars dans le monde, soit trois fois le PIB de la France. En 2015, ce coût n’était « que » de 3 000 milliards.Le profil des escrocs est très variable. Policiers et gendarmes arrêtent tantôt des lycéens d’établissements d’enseignement prestigieux de Paris, tantôt des dealers de quartiers sensibles ou des jeunes parents qui viennent d’acheter un pavillon à la campagne. « Les arnaqueurs peuvent gagner 40 000 euros par semaine au début, puis 200 000 avec un peu d’expérience, et ce chiffre peut encore être décuplé grâce à l’IA », assure Thibaut Martinez-Delcayrou. Des réseaux bien organisés se mettent en place : un groupe est chargé d’acheter les données piratées, un deuxième passe les appels téléphoniques, alors que le troisième se spécialise dans le retrait de l’argent. Pour cela, ils ouvrent des comptes auprès de banques en ligne avec des pièces d’identité générées par IA. Les escrocs poussent leur victime à faire un virement vers un faux compte A, puis transfèrent l’argent vers un compte B, un compte C et enfin un compte D, à partir duquel l’argent est immédiatement retiré au distributeur. De quoi donner du fil à retordre aux enquêteurs, surtout lorsque les comptes ne sont utilisés qu’une journée avant d’être abandonnés.Une imagination sans limite« Les escrocs font toujours une erreur, à un moment ou à un autre », glisse un policier d’une unité spécialisée, qui souhaite garder l’anonymat. « L’époque où ils visaient les personnes âgées est révolue, ils préfèrent aujourd’hui les jeunes actifs et les quadragénaires, qui vont réagir plus rapidement », ajoute-t-il. « Avec l’IA, les escroqueries sont plus crédibles et plus émotionnelles : urgence, peur, autorité, ce sont toujours les mêmes leviers psychologiques », raconte Benjamin Leroux, membre du conseil d’administration du Clusif, l’association française de la cybersécurité.« Certains pirates utilisent des « infostealers », c’est-à-dire qu’ils vont récupérer dans le navigateur les mots de passe mais aussi les adresses des sites correspondants », explique Kévin Tellier, ingénieur en sécurité offensive chez Synacktiv. Grâce au SIM-swapping, c’est-à-dire l’usurpation de l’identité d’un téléphone sur le réseau mobile, ils peuvent recevoir directement les codes à usage unique pour accéder aux comptes de messagerie ou aux comptes bancaires. Pire, mi-avril, la police de Toronto, au Canada, a saisi des SMS blasters, des appareils jamais vus auparavant dans le pays. Tenant dans le coffre d’une voiture, ils imitent une antenne-relais, se font passer pour l’opérateur de téléphonie mobile auprès des smartphones alentour et peuvent contacter jusqu’à 100 000 victimes par jour, avec des communications frauduleuses ciblées. Ainsi, un message exigeant le paiement immédiat d’une amende de stationnement devant le centre commercial voisin, sous peine de majoration, sera affiché comme expédié par le commissariat du quartier. Même si la majorité des cibles ne mord pas à l’hameçon, il suffit que quelques-unes se laissent berner pour que l’opération s’avère très profitable. Ainsi, à Genève, en avril, des fraudeurs équipés de SMS blasters ont réussi à extorquer 2 millions d’euros auprès de 154 victimes.Le modèle estonienFace à ce déferlement d’escroqueries, les États disposent encore de quelques tours dans leur sac. Matignon n’ayant pas donné suite à nos sollicitations, nous avons cherché des réponses auprès de l’un des pays les plus exposés en Europe : l’Estonie. État numérique par excellence, où toute la vie publique est informatisée, l’Estonie subit sans interruption les attaques de cybercriminels basés en Russie. Après un « Pearl Harbor » en 2007, une cyberattaque russe de plusieurs semaines durant laquelle le pays a affronté une paralysie du Parlement, des ministères, des banques mais aussi des médias, Tallinn a investi massivement. Désormais, toutes les données sensibles des administrations et des entreprises transitent à travers un système de chiffrement décentralisé : X-Road. « Il s’agit d’une couche sécurisée reliant les bases de données des secteurs public et privé », précise Märt Hiietamm, chef du département analyse et prévention de l’agence de cyberdéfense estonienne, la RIA. « Les données ne sont pas concentrées dans une base centrale unique, elles sont réparties entre différents registres et l’accès n’est pas accordé de manière centralisée : chaque membre de X-Road et chaque propriétaire de données décident qui peut accéder à ses données », ajoute-t-il. Mieux, les citoyens estoniens peuvent voir qui a accédé à leurs informations personnelles et à quel moment. « Cette transparence constitue également un mécanisme préventif : les fonctionnaires et les prestataires savent que chaque action laisse une trace », se félicite-t-on à Tallinn.Ce panel d’outils va de pair avec une sensibilisation des citoyens, « un processus continu qui nécessite une attention permanente » de l’État, ajoute Märt Hiietamm. Son agence organise des formations pour tous, avec des ateliers spécifiques pour les enfants, les jeunes parents ou les personnes âgées. Un cours en ligne appelé Cyber Test permet à chacun de se mettre à niveau régulièrement. « Nous ne nous considérons pas pour autant immunisés », concède Märt Hiietamm, rappelant qu’en 2020, le renseignement militaire russe a « compromis plusieurs systèmes gouvernementaux et obtenu des informations sensibles telles que des données personnelles, des données de santé et des secrets commerciaux ». En matière de cybersécurité, il ne faut jamais baisser la garde.Protégez-vousPour protéger ses données personnelles, “la règle d’or est : moins vous donnez, moins vous risquez. Ne remplissez que les champs obligatoires”, recommande Benjamin Leroux, du Clusif. Voici nos cinq conseils, qui ont tous le même objectif : devenir une cible moins facile que le voisin.1. Des mots de passe renforcésFini l’ère des codes simples, il faut définir des mots de passe – ou plutôt des phrases de passe – imprévisibles de 12 à 16 caractères mêlant majuscules, chiffres et symboles.2. La salutaire double authentificationEn activant la double authentification, qui demande en plus du mot de passe une validation supplémentaire via un smartphone par exemple, l’utilisateur réduit les risques liés au vol d’identifiants.3. Choisir ses servicesLa réglementation européenne est l’une des plus protectrices des données personnelles et il convient donc de préférer les services hébergés dans l’UE (hors Suisse et Grande-Bretagne, donc). Les États-Unis, en revanche, figurent parmi les plus laxistes au monde.4. IA qu’à être attentif !L’IA permet de générer des campagnes d’hameçonnage d’un réalisme sans faille. Fini les fautes d’orthographe et les formulations approximatives qui permettaient de déceler les mails frauduleux.5. Activer les mises à jourLa mise à jour permanente des appareils est cruciale, car l’écrasante majorité des cyberattaques réussies exploitent des vulnérabilités déjà connues.Les grandes fuitesDepuis le 1er janvier 2025, des milliers d’organismes ont été touchés en France, dont l’ANTS, France Travail, la Police nationale, la Caisse d’allocations familiales, l’Éducation nationale, l’Armée de terre, la Direction générale des finances publiques, les ministères de l’Intérieur et des Sports, une dizaine d’universités, des dizaines d’hôpitaux, le CNRS, mais aussi, dans le secteur privé, Free, SFR, Bouygues Telecom, Cultura, Boulanger, Orpi, Relais Colis, Mondial Relay, Darty, Auchan, les fédérations nationales d’une trentaine de sports, les Restos du cœur…Testez-vous !Le site Web bonjourlafuite.eu.org recense les fuites en France, alors que haveibeenpwned.com permet de tester son adresse mail pour savoir dans quelles fuites de données connues elle a été vendue. Nous avons fait le test : 4 fuites de données depuis 2017 pour un compte de messagerie que nous essayons de protéger en ne le communiquant qu’aux administrations et aux plateformes médicales, et 19 fuites de données pour un compte « poubelle » que nous utilisons au quotidien pour les achats en ligne, les lettres de diffusion ou les réseaux sociaux.