Il suffit d’une brèche. Un formulaire mal sécurisé, un fichier laissé sur un serveur exposé, une erreur humaine dans une chaîne de traitement… Et une base de données bascule dans un cycle dont elle ne sortira plus. Car les fuites de données ne sont jamais des événements ponctuels. Elles déclenchent, à chaque fois, une cascade d’activités cybercriminelles fondées sur un modèle industriel, structuré et hautement rentable. Une fois exfiltrées, les données ne disparaissent pas : elles sont traitées, enrichies, revendues, recyclées, et réutilisées dans un cycle infini d’exploitation.
« Les données personnelles ont cessé d’être de simples informations : elles sont devenues une matière première. »
Le cycle de vie d’une base volée suit toujours une trajectoire bien rodée. Après le vol initial — par phishing, attaque sur API, exploitation d’une vulnérabilité logicielle ou simple erreur humaine — vient le temps du tri et de la catégorisation. Les données sont évaluées, notées, mises en lot. Des bundles thématiques sont créés : santé, éducation, fiscalité, géolocalisation, habitudes de consommation. Elles sont ensuite mises en circulation sur des forums spécialisés, ou plus récemment sur des canaux Telegram cryptés, où se négocient les bases selon leur fraîcheur, leur type, leur granularité et leur potentiel d’exploitation.
Dans cette économie souterraine, chaque donnée est réutilisée plusieurs fois. Un email compromis permet d’usurper une identité, mais il peut aussi être croisé avec d’autres sources pour élaborer une arnaque plus sophistiquée. Les données médicales, par exemple, sont d’une redoutable efficacité : elles permettent de fabriquer de faux profils patients, de monter des campagnes de phishing autour de remboursements ou de faux traitements, ou encore de revendre des données à des pharmacies illégales. L’usurpation de mutuelles ou la création de comptes frauduleux dans des services de santé est monnaie courante. L’impact n’est plus seulement économique, il est aussi psychologique, intime, intrusif.
« Ce ne sont pas les données volées qui posent problème, c’est ce qu’on en fait. »
L’éducation, secteur en apparence moins exposé, est elle aussi devenue une cible de choix. Une simple liste d’élèves peut nourrir des campagnes frauduleuses de recrutement pour de faux stages, des demandes de prêts étudiants fictifs, voire des tentatives de manipulation psychologique visant les parents. Des escrocs se font passer pour des organismes de formation, proposent des programmes inventés et collectent au passage des données bancaires, des justificatifs d’identité, ou des preuves de domicile.
Même des fichiers considérés comme anodins — les bases de fidélisation de clubs de sport, de spas ou d’hôtels — trouvent une seconde vie. Exploitées dans des campagnes de chantage sentimental, de fraudes au faux support ou de vente de prestations fictives, ces données, pourtant dénuées de sensibilité apparente, deviennent des leviers efficaces entre les mains d’escrocs bien renseignés.
L’automobile et l’immobilier ne sont pas en reste. Une base issue d’un concessionnaire permet d’usurper des identités pour louer ou revendre frauduleusement un véhicule. Côté immobilier, les attaques jouent souvent sur le sentiment d’urgence : un pseudo acheteur ou agent immobilier contacte un particulier en recherche, lui réclame un acompte pour sécuriser une fausse visite ou lui extorque des données sous prétexte de vérifier sa solvabilité. Là encore, le levier émotionnel est puissant.
« Dans l’économie parallèle de la donnée, rien ne se perd. Tout se transforme. Encore et encore. »
Le rôle de l’intelligence artificielle dans ce cycle s’est accru de manière significative. Des outils de traitement automatisé permettent aux cybercriminels de recouper des bases disparates, de générer des profils exploitables, de rédiger des emails de phishing ultra-ciblés ou encore de simuler des comportements numériques crédibles (par exemple pour contourner les protections comportementales des services bancaires). Des IA spécialisées, dérivées de modèles open source, sont entraînées à rédiger de faux emails RH, de fausses convocations juridiques, ou à créer des interfaces crédibles d’espaces clients pour piéger les victimes.
Dans ce contexte, les plateformes de revente se sont elles aussi professionnalisées. Certaines fonctionnent comme de véritables marketplaces, avec système de notation des vendeurs, garanties de fraîcheur, abonnements premium pour accéder aux dernières bases exfiltrées. On y trouve même des services de « personnalisation » des données selon les besoins du client : besoin d’un profil bancaire CSP+ en Île-de-France ? D’un étudiant en fin de cursus ? D’un patient traité pour une pathologie particulière ? Tout est envisageable.
Face à cette sophistication, les entreprises sont souvent désarmées. Et lorsqu’elles identifient une fuite, le délai de réaction est parfois long, ou la communication trop tardive. Or, les obligations européennes sont claires. Le RGPD impose, via son article 32, la mise en place de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté. L’article 33 impose une notification à la CNIL dans les 72 heures suivant la découverte d’une violation. L’article 34, quant à lui, oblige à informer les personnes concernées si la fuite engendre un risque élevé pour leurs droits. Pourtant, trop d’organisations sous-estiment encore ces exigences ou tentent de les contourner.
« La prévention, la sensibilisation, la transparence et l’audit sont les seules armes durables. »
La réutilisation criminelle des données volées n’est donc pas un simple problème technique. C’est un enjeu de souveraineté, de régulation internationale, et de résilience stratégique. Dans cette guerre discrète mais continue, la prévention, la sensibilisation, la transparence et l’audit sont les seules armes durables. Chaque organisation, chaque collectivité, chaque responsable de système d’information devrait se poser une question simple : si nos données fuitaient demain, dans combien de scénarios frauduleux pourraient-elles être utilisées ? Et combien de vies, combien de réputations, combien de familles seraient affectées ?
