Sept fuites de données revendiquées en France en trois jours
Croq'Vacances, Accor, EVA esport des numéros de Sécurité sociale, passeports et dossiers médicaux revendiqués par des pirates entre le 15 et le 16 juillet
Entre le 14 et le 16 juillet, sept incidents ont été revendiqués sur le compte FrenchBreaches, exposant des données sensibles de Croq'Vacances, EVA esport et la Fédération des Centres Sociaux.
Les enjeux
Ce qu'il faut comprendre
Exposition massive de données sensibles
72 000 personnes chez Croq'Vacances avec numéros de Sécurité sociale, passeports et dossiers médicaux. 70 000 chez EVA esport. Les données exposées permettent usurpation d'identité et fraude bancaire.
La France, deuxième pays le plus touché au monde
23,5 millions de comptes compromis au premier trimestre 2026, hausse de 108% par rapport au trimestre précédent. 163 fuites recensées en 2026, 733 millions de personnes concernées depuis janvier 2025.
Vulnérabilités critiques non patchées
Le CERT-FR a alerté sur des failles notées 10.0/10 dans les boîtiers SonicWall le 15 juillet. Deux jours plus tard, sept fuites revendiquées. Les entreprises ne corrigent pas assez vite.
Délai entre compromission et revendication
France Travail attaquée en 2024, amende en janvier 2026. Free attaquée en octobre 2024, sanction en janvier 2026. Les pirates publient des semaines ou mois après l'intrusion. Les victimes découvrent l'incident en même temps que le public.
L'essentiel
Ce qu'il faut retenir
- Sept fuites de données revendiquées en France entre le 14 et le 16 juillet 2026.
- Croq'Vacances 72 000 personnes exposées, avec numéros de Sécurité sociale, passeports et dossiers médicaux.
- La France se classe deuxième pays le plus touché au monde au premier trimestre 2026, avec 23,5 millions de comptes compromis.
- Le CERT-FR a alerté sur des vulnérabilités critiques notées 10.0/10 dans les boîtiers SonicWall le 15 juillet.
- La CNIL a infligé 42 millions d'euros d'amende à Free et 5 millions à France Travail, mais les fuites continuent.
Un organisme de colonies de vacances, une chaîne hôtelière, une plateforme d’esport en réalité virtuelle. Entre le 14 et le 16 juillet, sept incidents ont été revendiqués sur le compte FrenchBreaches. Les pirates ont affiché leur menu: plus de 72 000 personnes pour Croq’Vacances, 70 000 pour la plateforme EVA esport, 35 000 enregistrements pour la Fédération des Centres Sociaux. À cela s’ajoutent le groupe Actiale (12 000 profils professionnels ), Kosc Telecom (4 000 enregistrements ), DoinSport (12 000 personnes ) et France Pare-Brise (5 000 dossiers clients ). Les revendications se succèdent depuis le 14 juillet.
Croq’Vacances: numéros de Sécurité sociale et passeports
La fuite revendiquée visant Croq’Vacances contient des numéros de Sécurité sociale, des copies de passeports, des cartes d’identité et des dossiers médicaux. L’organisme propose des séjours pour enfants et adolescents. Les parents fournissent ces documents pour l’inscription. Ils se retrouvent aujourd’hui entre les mains de pirates.
Ce type de données permet l’usurpation d’identité, la fraude bancaire, le phishing ciblé. Un numéro de Sécurité sociale ne se change pas. Une fois exposé, il reste exploitable pendant des années.
Actiale, EVA, Fédération des Centres Sociaux
Le groupe Actiale, spécialisé dans les services aux entreprises, a vu 12 000 profils de collaborateurs et prestataires revendiqués. La plateforme EVA esport, dédiée aux compétitions de réalité virtuelle, compte 70 000 personnes potentiellement concernées. La Fédération des Centres Sociaux affiche 35 000 enregistrements.
Ces incidents s’ajoutent à une série déjà longue. Kosc Telecom le 14 juillet - France Pare-Brise et e-Benefits Prévoyance le 12 juillet - Betrail.run le 13 juillet - KeepCool le 11 juillet. Le rythme s’accélère.
Le cadre légal et ses sanctions
Le RGPD impose également une notification à la CNIL sous 72 heures en cas de violation. Aucune des sept entreprises touchées les 14, 15 et 16 juillet n’a confirmé publiquement avoir respecté ce délai.
La France, cible prioritaire
Au premier trimestre 2026, la France se classait au deuxième rang mondial des violations de données, avec 23,5 millions de comptes compromis - soit une hausse de plus de 108% par rapport au trimestre précédent. Ce chiffre porte uniquement sur les trois premiers mois de 2026.
Le site Fuites Infos recense quant à lui 163 fuites en 2026, pour un total de 733 469 422 personnes concernées depuis le 1er janvier 2025. Ce décompte agrège tous les incidents depuis janvier 2025, qu’ils touchent des Français ou des bases internationales incluant des données françaises. La différence de périmètre et de temporalité explique l’écart entre les deux sources, mais la tendance est nette: la France est devenue une cible prioritaire.
Des amendes qui ne freinent pas les fuites
La CNIL a imposé 42 millions d’euros d’amende à Free et Free Mobile en janvier 2026 - suite à une attaque en octobre 2024 ayant compromis 24 millions de contrats abonnés. En janvier également, France Travail a écopé de 5 millions d’euros pour une fuite de 2024 ayant exposé 36,8 millions de personnes.
Ces sanctions marquent un durcissement. Mais rapportées au chiffre d’affaires des entités concernées, elles pèsent peu. France Travail, établissement public, ne génère pas de chiffre d’affaires commercial.
Le cadre légal existe. Les autorités frappent. Les entreprises paient. Les données fuient quand même.
Les précédents de 2026
Ces sept incidents s’inscrivent dans une série lourde. L’URSSAF a vu jusqu’à 12 millions de salariés potentiellement concernés en janvier. En février, Cegedim Santé a exposé 15 millions de patients. En avril, l’ANTS / France Titres a perdu 11,7 millions de comptes.
En juin, la messagerie gouvernementale Tchap a subi une fuite massive: environ 73 000 comptes d’agents gouvernementaux compromis. L’acteur malveillant, connu sous le nom de « misere » - a revendiqué le vol de messages et de données d’utilisateurs.
La même semaine, ZATAZ révélait une « fuite géante » affectant potentiellement plus de 16,3 millions d’individus - avec adresses e-mail, noms, numéros de téléphone, adresses IP, IBANs et cartes bancaires.
► Lire aussi: Opération Turla: la France accuse la Russie d'avoir piraté ses ministères pendant plus d'une décennie
L’alerte du CERT-FR sur SonicWall
Le 15 juillet - le CERT-FR a émis une alerte critique concernant de multiples vulnérabilités dans les boîtiers SonicWall Secure Mobile Access. Ces failles, notées 10.0 sur l’échelle de gravité CVSS, permettent potentiellement une falsification de requêtes côté serveur sans authentification et l’exécution de code arbitraire.
Deux jours plus tard, sept fuites sont revendiquées. Le timing interpelle. Les vulnérabilités critiques sont connues. Les patches existent. Les entreprises ne les appliquent pas toujours assez vite. Les pirates profitent de ce décalage.
Le 13 juillet - un rapport du CERT-FR avait attribué au FSB russe le ciblage d’entités françaises via le mode opératoire Turla. Jean-Noël Barrot - le ministre des Affaires étrangères, a déclaré que cette « vaste campagne cyber aux buts de sabotage et d’espionnage » a visé une dizaine de pays européens.
Le délai invisible entre compromission et revendication
Les sept fuites des 14, 15 et 16 juillet ont été revendiquées publiquement ces jours-là. Mais la compromission réelle des systèmes a eu lieu bien avant. Les pirates pénètrent les serveurs, aspirent les données, puis les vendent ou les publient des semaines, parfois des mois plus tard.
Entre l’intrusion et la revendication, les victimes utilisent leurs comptes, leurs cartes, leurs identités. Sans savoir que leurs données circulent déjà. Les incidents antérieurs illustrent ce décalage: France Travail a été attaquée en 2024, l’amende est tombée en janvier 2026. Free a subi l’attaque en octobre 2024 - la sanction est arrivée en janvier 2026.
Pour les sept incidents des 14, 15 et 16 juillet, aucune source ne précise la date réelle de compromission. Les pirates publient, les médias relaient, les entreprises confirment. Dans cet ordre. Les victimes découvrent souvent l’incident en même temps que le public.
Les acteurs derrière les fuites
Les cybercriminels derrière ces attaques sont souvent désignés comme « acteurs malveillants » ou « pirates informatiques ». Clément Domingo (SaxX) - expert, souligne que des mineurs sont parfois impliqués, comme dans le cas de l’ANTS où un adolescent a été arrêté.
Le profil des attaquants varie. Groupes organisés, hacktivistes, adolescents. Les motivations aussi: revente de données, extorsion, idéologie. Mais le résultat est le même. Des millions de Français voient leurs données exposées.
Ce que personne ne dit
Ce qui dérange dans ce récit, c’est le rythme. Sept incidents en quelques jours. Pas une campagne coordonnée. Pas un groupe unique. Juste sept attaques distinctes, revendiquées sur le même canal, dans le même laps de temps. Cela suggère que les vulnérabilités sont massives, que les cibles sont nombreuses, que les pirates n’ont pas besoin de se coordonner pour trouver des failles.
Aucune source ne précise si Croq’Vacances, EVA esport ou la Fédération des Centres Sociaux ont notifié la CNIL dans les 72 heures réglementaires. Aucune ne mentionne le mode opératoire exact des pirates: vulnérabilité exploitée, phishing, accès non sécurisé. Aucune ne dit combien de ces organisations ont découvert la fuite par les revendications publiques plutôt que par leurs propres systèmes de détection.
Un dernier point: la concentration sur le compte FrenchBreaches. Ce canal est devenu le lieu de revendication de référence en France. Les pirates y publient, les médias y puisent, les entreprises y découvrent leurs failles. Cette centralisation pose une question: combien d’incidents ne sont jamais revendiqués publiquement? Combien de fuites restent dans l’ombre, exploitées sans bruit?
Les autorités françaises, comme le CERT-FR, collaborent avec des organisations internationales telles que la CISA américaine pour coordonner les alertes. Le 15 juillet également - un rapport de la commission d’enquête parlementaire sur les vulnérabilités numériques de la France a été publié, soulignant des préoccupations concernant la dépendance aux solutions extra-européennes.
Les chiffres s’accumulent. Les alertes se succèdent. Les amendes tombent. Mais les fuites continuent. À Croq’Vacances, à EVA esport, à la Fédération des Centres Sociaux. Partout.
Sources
- FrenchBreaches - Fuites de données
- CERT-FR - Actualité du 15 juillet 2026
- Cyberattaque.org - Lidl et autres incidents
- Les Numériques - Rapport sur la dépendance numérique
- Le Parisien - Campagne cyber russe
- Numerama - Opération Turla
- Comment Ça Marche - Piratage Lidl
- 01net - Cyberattaque russe en Europe
- Fuites Infos - Recensement des fuites
- SecurityWeek - Tchap breach
- Forbidden Stories - Pegasus et Maroc
- Source verifiee (correction factuelle)
- Source verifiee (correction factuelle)
- Source verifiee (correction factuelle)
- Source verifiee (correction factuelle)
