Des services en ligne permettent de rechercher facilement des informations personnelles issues de fuites de données, parfois très sensibles. Le gouvernement a saisi la justice, tout comme le député Éric Bothorel pour plusieurs sites similaires. L’affaire montre un basculement inquiétant : les données volées ne circulent plus seulement dans des espaces spécialisés, elles deviennent accessibles à travers des interfaces simples, presque banalisées.
Des services en ligne permettent de rechercher facilement des informations personnelles issues de fuites de données, parfois très sensibles. Le gouvernement a saisi la justice, tout comme le député Éric Bothorel pour plusieurs sites similaires. L’affaire montre un basculement inquiétant : les données volées ne circulent plus seulement dans des espaces spécialisés, elles deviennent accessibles à travers des interfaces simples, presque banalisées.
Des données volées rendues consultables en quelques clics
Le gouvernement a saisi la justice après la mise en lumière d’un site donnant accès à des informations personnelles issues de bases de données volées. Le service, présenté comme un moteur de recherche, permettait de retrouver des données à partir d’un nom, d’un prénom ou d’autres éléments d’identification. Par prudence, et pour ne pas contribuer à sa diffusion, son nom n’est pas repris ici.
Selon Next, qui a enquêté sur le sujet, les résultats pouvaient faire apparaître des adresses e-mail, des numéros de téléphone, des adresses postales et, selon les cas, des informations beaucoup plus sensibles comme des numéros de sécurité sociale ou des IBAN. Ces données proviendraient de fuites massives survenues ces dernières années, notamment dans les secteurs de la santé, des télécoms, de l’emploi ou de services publics.
Le danger ne tient pas seulement à l’existence de ces bases, malheureusement déjà connues des spécialistes. Il vient de leur présentation sous une forme accessible, avec une interface simple et une logique de recherche qui rapproche ces données d’un annuaire sauvage. Ce qui demandait auparavant de fréquenter des forums spécialisés ou des espaces plus confidentiels devient utilisable par un public bien plus large.
Une monétisation de l’accès aux fuites
Le service étudié par Next ne se limitait pas à indexer des informations. Il cherchait aussi à monétiser l’accès aux données, avec une offre payante annoncée à partir de 10 euros par semaine. Le site indiquait accepter plusieurs moyens de paiement, dont des cryptomonnaies, PayPal, PaySafeCard ou le virement bancaire.
Cette dimension commerciale change la nature du problème. Il ne s’agit plus seulement de données compromises qui circulent après une cyberattaque, mais d’un modèle cherchant à transformer leur exploitation en service. Les opérateurs du site affirmaient agréger des informations déjà accessibles publiquement ou issues de fuites connues. Cet argument ne fait pas disparaître les questions juridiques, ni les risques pour les personnes exposées.
La collecte, l’organisation et la mise à disposition de données volées créent une nouvelle couche de vulnérabilité. Une personne dont les informations ont déjà fuité peut se retrouver de nouveau exposée, cette fois dans un outil pensé pour faciliter la recherche. Pour les victimes, le préjudice ne se limite donc pas à la compromission initiale. Une fuite ne disparaît pas une fois la notification envoyée aux personnes concernées. Elle peut être recyclée, croisée avec d’autres bases, remise en circulation et exploitée dans de nouveaux services.
Le gouvernement et des parlementaires saisissent la justice
Anne Le Hénanff, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, a indiqué avoir saisi la justice en application de l’article 40 du code de procédure pénale. Ce dispositif oblige une autorité publique à signaler au procureur de la République les crimes ou délits dont elle a connaissance dans l’exercice de ses fonctions.
Le député Éric Bothorel a également annoncé avoir saisi la justice pour au moins trois sites compilant des fuites de données et les rendant publiques. Il a rappelé que le recel de données volées peut constituer une infraction pénale, même lorsque les personnes qui les exploitent prétendent ne pas avoir participé directement au piratage initial.
Le débat juridique est central, car les responsables de ces services avancent souvent un argument simple : les données seraient déjà en ligne. Or cet argument ne suffit pas à rendre légitime leur agrégation, leur indexation et leur exploitation commerciale. Le fait de faciliter l’accès à des informations obtenues à la suite d’intrusions ou de fuites peut engager la responsabilité des personnes qui les mettent à disposition.
La réponse judiciaire dira ce que les enquêteurs pourront établir sur les responsables, les infrastructures et les infractions retenues. Mais l’affaire rappelle déjà une chose aux organisations qui collectent des données : une compromission ne s’arrête pas à l’incident technique. Une fois sorties des systèmes, les informations peuvent être réassemblées et remises en circulation sous des formes nouvelles, plus visibles et parfois plus simples à exploiter.
