Des attaquants ont compromis un prestataire frontend tiers et injecté du JavaScript malveillant sur le site de Polymarket, détournant environ 3 millions de dollars via des transactions frauduleuses.
Un identifiant d'API dormant a permis à des attaquants de compromettre la plateforme d'intelligence concurrentielle Klue et de récolter les jetons OAuth des applications connectées de ses clients, exfiltrant des enregistrements Salesforce d'entreprises comme Huntress et Recorded Future lors d'une attaque de la chaîne d'approvisionnement ensuite attribuée au groupe d'extorsion Icarus.
Victim
Klue (et ses clients dont Huntress et Recorded Future)
Un compte de contributeur détourné a servi à republier 144 paquets du populaire scope npm @mastra (agents d'IA) avec une dépendance malveillante typosquattée, easy-day-js, qui téléchargeait un cheval de Troie d'accès à distance multiplateforme et un voleur de cryptomonnaies sur toute machine de développeur ou système de build qui les installait.
Des attaquants ont dérobé une clé d'API CDN à Awesome Motive et altéré le JavaScript servi aux extensions WordPress OptinMonster, TrustPulse et PushEngage, créant en silence des comptes administrateurs malveillants et installant des portes dérobées sur les sites dont les administrateurs connectés chargeaient le code piégé.
Les chercheurs de Sonatype ont mis au jour « Atomic Arch », une campagne sur la chaîne d'approvisionnement dans laquelle des attaquants ont adopté des centaines de paquets orphelins de l'Arch User Repository et réécrit leurs scripts de compilation pour installer un paquet npm malveillant déposant un voleur d'identifiants Linux doté de capacités optionnelles de rootkit eBPF.
Un ver auto-réplicateur de la chaîne d'approvisionnement baptisé Miasma a compromis 73 dépôts répartis sur quatre organisations GitHub de Microsoft, plantant des fichiers de configuration qui dérobaient des identifiants cloud et développeur dès que les projets étaient ouverts dans des agents de codage IA comme Claude Code et Cursor.
Des chercheurs ont révélé IronWorm, un voleur d'informations auto-propagateur écrit en Rust qui a compromis 36 paquets npm, dérobant les secrets de développeurs et de pipelines CI puis republiant des paquets piégés à l'aide d'identifiants de publication npm volés.
Le 23 mai 2026, l'assureur santé numérique français Alan a alerté ses adhérents qu'une cyberattaque visant son prestataire de tiers-payant Almerys avait exposé leurs données personnelles — état civil, date de naissance, numéro de Sécurité sociale et informations de contrat — sans toucher aux données de paiement, mots de passe ni données de santé.
OpenAI a confirmé en mai 2026 que deux appareils d’employés avaient été compromis via l’attaque sur la chaîne d’approvisionnement du paquet npm TanStack, permettant l’exfiltration d’identifiants depuis des dépôts internes contenant ses certificats de signature logicielle.
Le 4 mai 2026, un hacker sous le pseudonyme Lagui a mis en ligne une base d’environ 96 000 clients de La Redoute — noms, adresses postales, téléphones, e-mails et historiques de commandes/livraisons — que l’enseigne attribue à un incident de janvier 2026 chez son partenaire logistique Relais Colis.
Le 29 avril 2026, la Ville de Saint-Étienne et Saint-Étienne Métropole ont signalé un incident de sécurité chez leur prestataire de billetterie, entraînant la désactivation préventive des mots de passe et une réinitialisation imposée aux usagers de la billetterie en ligne.
Le 19 avril 2026, la plateforme cloud Vercel (créatrice de Next.js) a confirmé un incident de sécurité lié à la compromission d'un outil tiers, exposant des variables d'environnement non sensibles et un nombre limité de comptes clients.
Le distributeur français de jouets en ligne JeuJouet.com a alerté ses clients en avril 2026 après la compromission de sa plateforme e-commerce Magento dans une campagne d'exploitation massive, exposant potentiellement noms, e-mails, identifiants de compte et commandes ; aucune donnée bancaire concernée.
Le 15 avril 2026, la Direction générale de la police nationale (DGPN) a confirmé le piratage mi-mars de sa plateforme de formation en ligne e-campus, gérée par un prestataire ; le groupe HexDex revendique 176 317 profils d'agents incluant noms, emails professionnels, localisations et historiques de connexion.
Les données de billetterie en ligne des visiteurs du Château royal de Blois / Maison de la Magie ont été exposées lors du piratage de son prestataire Vivaticket (Tickeasy), divulguant noms, adresses e-mail et postales, dates de naissance, numéros de téléphone et de fax et numéros de TVA.
En avril 2026, les anciens élèves de l'IAE Grenoble ont été exposés lors d'une fuite touchant AlumnForce, la plateforme tierce gérant son réseau alumni ; le jeu de données dérobé portait sur ~2,7 M de profils répartis sur 49 établissements français, incluant identités, coordonnées et parcours professionnels et académiques complets.
En avril 2026, le département de l’Ardèche a révélé une fuite : un attaquant a exploité une faille chez un prestataire externe et exfiltré environ 26 Go répartis sur plus de 88 000 fichiers de données de bénéficiaires du RSA couvrant 2017-2026.
En avril 2026, les données des anciens de l’Université Côte d’Azur ont été exposées dans le cadre d’une fuite de la plateforme AlumnForce, divulguant noms, coordonnées, diplômes et informations professionnelles détaillées de dizaines de milliers de diplômés, au sein d’une fuite plus large de 2,7 millions de profils sur 49 établissements.
Les données des anciens d'ENSAI Network ont été exposées lors de la fuite d'avril 2026 touchant son prestataire AlumnForce, qui a divulgué environ 2,7 millions de profils d'étudiants et de diplômés de 49 établissements français — noms, emails, numéros de téléphone, localisations, parcours professionnel et diplômes — désormais mis en vente sur des forums cybercriminels.
En avril 2026, Lilagora — le réseau alumni de l'Université de Lille — a vu les données de ses membres exposées lors d'une fuite chez son prestataire tiers AlumnForce, dans le cadre d'un incident plus large touchant 2,7 millions de profils sur 49 établissements français, avec noms, coordonnées et parcours professionnels divulgués.
UPPA Alumni, le réseau des anciens de l'Université de Pau et des Pays de l'Adour, a confirmé que les données de ses membres avaient été exposées lors de la fuite d'avril 2026 chez son prestataire AlumnForce : noms, coordonnées, parcours et profils professionnels détaillés.
Le groupe champenois Vranken-Pommery a révélé le 10 avril 2026 qu'une attaque par rançongiciel visant son prestataire externe de billetterie en ligne avait exposé les données personnelles des visiteurs de ses sites touristiques rémois — noms, dates de naissance, coordonnées et détails de réservation — sans toutefois toucher les données bancaires.
Le 8 avril 2026, le réseau Alumni de l'université de Strasbourg a été exposé dans le cadre d'une compromission plus large de la plateforme AlumnForce, divulguant les noms, coordonnées, parcours de formation et données professionnelles de ses membres, parmi 49 établissements français (~2,7 M de profils au total).
L'OFII a notifié les signataires du contrat d'intégration républicaine qu'une fuite survenue en janvier 2026, via un sous-traitant compromis, a exposé les noms, e-mails, numéros de téléphone et adresses postales d'environ 2,1 millions de personnes.
En avril 2026, une base d’environ 105 000 clients français de Ledger — dérobée lors de la fuite de janvier 2026 chez son prestataire e-commerce Global-e et exposant noms, adresses postales, emails et numéros de téléphone — a été remise en vente sur un forum cybercriminel.
L’OFII, l’agence française de l’immigration et de l’intégration, a confirmé en avril 2026 qu’un sous-traitant compromis avait exposé les données personnelles d’étrangers inscrits au contrat d’intégration républicaine, environ 2,1 millions d’enregistrements mis en vente sur BreachForums.
La maison de champagne Veuve Clicquot a révélé en avril 2026 qu'une attaque par rançongiciel visant son prestataire externe de réservation de visites avait exposé les données personnelles des personnes ayant réservé une visite depuis au moins juillet 2024, dont noms, dates de naissance, téléphones et emails.
Le 31 mars 2026, Homair, opérateur français de séjours en campings et villages vacances, a révélé une fuite de données liée à la compromission d'un prestataire technique tiers, exposant les nom, adresse email, numéro de téléphone et détails de réservation (destination, dates de séjour, montant payé) des clients, sans données bancaires, mots de passe ni adresses postales selon l'entreprise.
Le 31 mars 2026, le site touristique La Mine Bleue a informé ses clients que leurs données personnelles — nom, code postal/pays, e-mail et historique d'achats — avaient été exposées lors de la cyberattaque par rançongiciel de son prestataire de billetterie Vivaticket ; aucune donnée bancaire n'est concernée.
L'opérateur français de clubs de vacances Belambra a révélé en mars 2026 qu'une cyberattaque visant un prestataire de son système de réservation a exposé les données personnelles d'environ 400 000 clients : noms, e-mails, téléphones et détails de séjour, sans données bancaires ni mots de passe.
Le 25 mars 2026, le réseau de laboratoires médicaux Cerballiance a révélé une fuite provenant d'un prestataire informatique externe compromis, exposant identités, identifiants de connexion, comptes rendus d'analyses et numéros de sécurité sociale de patients.
Le 24 mars 2026, le service de streaming d'animés Crunchyroll a confirmé une fuite de données liée à la compromission d'un prestataire de support tiers (Telus), exposant les données de tickets de support — noms, e-mails, adresses IP et données bancaires partielles — un pirate revendiquant ~8 M de tickets et ~6,8 M d'adresses e-mail uniques.
En mars 2026, l'infrastructure d'hébergement web Europa.eu de la Commission européenne a été compromise via une clé AWS volée (compromission de la chaîne d'approvisionnement Trivy) ; ~91,7 Go de données concernant plus de 30 entités de l'UE — noms, e-mails, contenus de courriels et documents — ont été exfiltrés et publiés par ShinyHunters.
Le 24 mars 2026, la Métropole Aix-Marseille-Provence a révélé une fuite de données provenant d'un sous-traitant compromis, exposant potentiellement environ 19 728 comptes d'usagers, dont des adresses e-mail, noms et mots de passe.
Des clients français de la marque de vêtements de luxe Canada Goose ont été touchés par une fuite de données diffusée par le groupe d'extorsion ShinyHunters, le sous-ensemble français comptant 10 816 enregistrements au sein d'un corpus d'environ 600 000 dossiers clients attribué à un prestataire de paiement tiers.
Révélée le 18 mars 2026, la fuite touchant le Musée des Arts et Métiers découle de la cyberattaque par rançongiciel du prestataire Vivaticket, exposant les nom, adresse e-mail, informations de compte et historique de commandes des clients de la billetterie et de la boutique en ligne.
En mars 2026, une attaque par rançongiciel visant le prestataire de billetterie en ligne de la Bibliothèque Nationale de France a exposé les noms et adresses électroniques des usagers ayant réservé des événements culturels ; les données bancaires, gérées par un prestataire distinct, n'ont pas été touchées.
En mars 2026, la Région Occitanie a révélé une fuite de données touchant son dispositif Carte Jeune Région après la compromission d'un prestataire technique, exposant les données personnelles d'environ 310 000 jeunes bénéficiaires — dont quelque 270 000 photos d'identité de mineurs — mises en vente sur le darkweb par le groupe DumpSec.
Début mars 2026, le Centre des Monuments Nationaux a révélé une fuite de données provenant d'une attaque par rançongiciel contre son prestataire de billetterie en ligne, exposant les e-mails, noms, adresses postales, historiques d'achat et mots de passe chiffrés des visiteurs, mais aucune donnée bancaire.
Les données clients du Musée océanographique de Monaco ont été exposées via une attaque par rançongiciel contre son prestataire de billetterie Vivaticket (filiale Irec SAS), divulguée le 2 mars 2026 et revendiquée par RansomHouse, exposant noms, e-mails, téléphones, localisations postales et historiques de commandes/réservations.
Le 2 mars 2026, le Palais de la Porte Dorée figurait parmi plus de 40 institutions culturelles françaises touchées par une attaque par rançongiciel contre le prestataire de billetterie Vivaticket, exposant potentiellement noms, coordonnées, dates de naissance, historiques d'achat et mots de passe chiffrés.
Le 2 mars 2026, la Ville d’Orléans a alerté les acheteurs de billets que son prestataire de billetterie en ligne Vivaticket avait subi une attaque par rançongiciel de RansomHouse ; les données exposées peuvent inclure nom, e-mail, pays, code postal et historique d’achats, mais pas de données bancaires.
Le 25 février 2026, le groupe LAPSUS$ a revendiqué le piratage de NextSend, la plateforme de transfert de fichiers (éditée par Hegyd) utilisée en interne par le groupe de BTP Eiffage, publiant 77 fichiers exposant 175 942 collaborateurs et contacts externes.
La Fédération Sportive et Culturelle de France (FSCF) a vu les données personnelles d'environ 1,33 million d'adhérents exposées après la compromission d'un prestataire tiers de gestion des licences, exposant noms, dates de naissance, adresses, coordonnées et informations de licence/adhésion.
Fin février 2026, la CAF a révélé qu'environ 70 000 dossiers d'allocataires du RSA avaient été exposés après la compromission de la plateforme d'échange interadministrations HubEE, divulguant noms, numéros de sécurité sociale et coordonnées.
Révélée fin février 2026, la compromission de HubEE — la plateforme interministérielle d'échange de documents opérée par la DINUM — a exposé les données personnelles d'allocataires du RSA, environ 70 000 dossiers (près de 160 000 documents) étant concernés ; aucune donnée bancaire ni mot de passe n'a été exposé.
Le 24 février 2026, un cybercriminel revendique la vente d'une base de 728 732 adhérents de la Fédération Française du Sport Automobile (FFSA), exposant noms, dates de naissance, adresses postales et e-mail, numéros de téléphone et données de licence après la compromission d'un prestataire tiers.
Le 22 février 2026, un hacker se faisant appeler « 84City » a affirmé avoir compromis MaSalleDeSport, prestataire CRM et de gestion de plus de 2 000 salles de sport françaises (Basic-Fit, Fitness Park, ON AIR Fitness, L'Orange Bleue), exposant noms, téléphones, SMS et adresses de plus d'1 million de personnes potentielles.
L'enseigne française de vêtements pour la famille Cyrillus a signalé une fuite de données clients provenant d'un de ses prestataires tiers, détectée le 13 février 2026 et confirmée d'après les éléments rendus publics ; le nombre exact de clients concernés n'a pas été divulgué.
Le 18 février 2026, Réglo Mobile — l'opérateur mobile virtuel adossé à E.Leclerc et SFR — a annoncé qu'une attaque visant l'un de ses prestataires depuis le 13 février avait exposé les données d'environ 358 000 clients : identité, coordonnées, dates de naissance, codes PUK, relevés d'appels et données bancaires partielles, la base étant mise en vente par l'acteur « 84City ».
Voyage Privé, la plateforme française de voyages en vente flash, a confirmé en février 2026 qu'un partenaire tiers compromis avait exposé des données de réservation de clients ayant des voyages à venir — noms, pays de résidence, e-mails, numéros de téléphone et, dans certains cas, numéros de passeport — alimentant une vague de phishing sur WhatsApp.
Les données clients de l'enseigne française de prêt-à-porter féminin Grain de Malice ont été exposées en février 2026 via la compromission de son prestataire omnicanal Socloz, divulguant noms, adresses e-mail et numéros de téléphone au sein d'un jeu de données pouvant atteindre ~31 millions d'enregistrements.
En février 2026, une base de données liée au groupe français d'aéronautique et de défense Safran a été diffusée sur un forum de pirates, exposant environ 718 716 enregistrements de commandes — noms, e-mails, téléphones, références ERP et données logistiques — via un prestataire tiers et non les systèmes propres de Safran.
Le 4 février 2026, le groupe français de location de matériel Loxam a révélé une fuite via un logiciel tiers de planification des livraisons exposant environ 60 Go de données logistiques — 94 735 tournées et près de 828 000 points d'arrêt géolocalisés (2020-2026), ainsi que des données clients, chauffeurs et véhicules.
La compromission d'un outil tiers de gestion des rendez-vous du service de conception de cuisines de Darty a exposé les données personnelles et de projet de 79 164 clients français — noms, adresses postales, e-mails, téléphones et budgets cuisine — sans mots de passe ni données bancaires.
Le 28 janvier 2026, une fuite de données touchant Wemind, la néo-assurance française pour indépendants et petites entreprises, a exposé les coordonnées de ses adhérents — nom, adresse postale, adresse électronique et numéro de téléphone — via son canal assureur Allianz.
Le 23 janvier 2026, la Fédération Française d'Escrime (FFE) a vu sa base de licenciés divulguée dans le cadre d'une vague d'attaques visant les fédérations sportives françaises, exposant noms, coordonnées, adresses postales, nationalité et informations de licence et de club.
Le 19 janvier 2026, l'Urssaf a révélé un accès frauduleux à son API DPAE via un compte partenaire compromis, exposant les nom, prénom, date de naissance, Siret de l'employeur et date d'embauche d'environ 12 millions de salariés embauchés depuis moins de trois ans.
Compromission du logiciel médical MonLogicielMedical (MLM) de Cegedim Santé, notifiée aux médecins concernés début janvier 2026, exposant les données administratives des patients — nom, date de naissance, adresse, régime de sécurité sociale — pour 11 à 15 millions de patients via des comptes médecins piratés.
Le 8 janvier 2026, une base de 262 925 licenciés de la Fédération Française de Bridge (FFB) a été revendiquée sur un forum pirate, exposant noms, dates de naissance, adresses postales et e-mail et numéros de téléphone, dans le cadre d'une vague d'attaques visant les fédérations françaises via un prestataire informatique commun.
Près de 600 000 licenciés de la Fédération Française de Roller et Skateboard (FFRS) ont vu leurs données personnelles exposées après la compromission de la plateforme de gestion Rolskanet, opérée par un prestataire tiers mutualisé : noms, coordonnées et informations de naissance ont fuité.
Victim
Fédération Française de Roller et Skateboard (FFRS) #2
Début janvier 2026, une base d'adhérents de la Fondation des Lions de France (Lions Clubs de France) a été publiée sur BreachForums, exposant 133 297 personnes après dédoublonnage — état civil complet, adresses postales, numéros de téléphone et photos de profil — dans une fuite attribuée à la plateforme de gestion MyAssoc.
Victim
Fondation des Lions de France (Lions Clubs de France)
Début janvier 2026, l'OFII, agence française de l'immigration et de l'intégration, a confirmé une fuite de données provenant d'un sous-traitant chargé des cours de langue du contrat d'intégration ; les attaquants ont exposé identité, coordonnées et données de séjour d'étrangers et mis en vente 2,1 millions d'enregistrements.
Victim
Office Français de l’Immigration et de l’intégration
Le 1er janvier 2026, une base d'environ 2,1 millions de lignes du portail "Étrangers en France" de l'OFII / ANEF a été mise en vente sur BreachForums, exposant l'identité, les coordonnées, la situation familiale et les données de titre de séjour d'étrangers, à la suite de la compromission d'un sous-traitant.
Victim
OFII / ANEF (Portail "Étrangers en France" – Ministère de l’Intérieur)
Le 27 décembre 2025, les données d'environ 200 adhérents du Club de natation 95 ont été exposées à la suite de la compromission de son prestataire ACRV, divulguant noms, adresses postales et e-mail, numéros de téléphone et adresses IP.
Le 16 décembre 2025, la plateforme de contenu pour adultes Pornhub a révélé le vol de données analytiques historiques de certains abonnés Premium — adresses e-mail et historique de recherche/visionnage — via le prestataire tiers Mixpanel ; ShinyHunters revendique ~200 millions d'enregistrements et réclame une rançon.
Le 10 décembre 2025, l'UFOLEP — la fédération multisports française — a révélé qu'un compte compromis chez son prestataire de gestion des licences Exalto avait exposé au moins 3 624 fiches d'adhérents, incluant identité, coordonnées et données du responsable légal.
Des adhérents de l'assureur ASAF & AFPS ont vu leurs données personnelles exposées après une fuite chez Itelis, le réseau de soins optiques qui traite leurs remboursements ; nom, date de naissance, numéro de sécurité sociale, dossiers et données de correction visuelle de 2020-2022 sont concernés.
Les données personnelles de 394 Rochelais ayant pris un rendez-vous d'état civil ont été exposées après l'exploitation d'une faille chez Synbird, le prestataire de prise de rendez-vous de la mairie, qui dessert environ 1 300 communes françaises.
Les données des patients de la maison de santé de Givors Presqu’Île ont été exposées via la cyberattaque de novembre 2025 visant son éditeur de logiciel médical Weda : identité, coordonnées et données de santé sensibles.
Révélée en novembre 2025, une cyberattaque contre Itelis — le réseau de soins optiques utilisé par l'assureur AG2R la Mondiale — a exposé les nom, date de naissance, numéro de sécurité sociale, dossiers de remboursement et données de correction visuelle de bénéficiaires couverts en optique entre 2020 et début 2022.
La Clinique du Millénaire à Montpellier a été exposée par la cyberattaque de novembre 2025 visant Weda, son éditeur de logiciel de dossiers médicaux, mettant en péril identité, coordonnées et données de santé des patients parmi les millions de dossiers gérés pour ~23 000 soignants touchés.
La MSP du Pré Vicinal, maison de santé pluridisciplinaire française, a vu des données de patients exposées via la cyberattaque de novembre 2025 contre son éditeur de logiciel médical Weda : nom, prénom, adresse postale, email, téléphone et données de santé.
Les adhérents d'APRS ont été touchés par la fuite de novembre 2025 chez Itelis, la plateforme de soins optiques tierce d'AXA, après qu'un attaquant s'est fait passer pour un opticien partenaire ; les données exposées comprenaient nom, date de naissance, numéro de sécurité sociale, dossiers de remboursement optique et données de correction visuelle.
Les données personnelles des habitants ayant pris rendez-vous pour une pièce d'identité via la plateforme RDV360 ont été exposées lors de la compromission de ce prestataire tiers fin 2025, touchant la Mairie de Chatou parmi environ 1 300 communes françaises.
En novembre 2025, la ville de Quimper a été touchée par une fuite de données via son prestataire de prise de rendez-vous RDV360, exposant environ 12 000 fiches de contact (nom, code postal, email, téléphone) d'usagers ayant demandé un renouvellement de carte d'identité ou de passeport depuis avril 2024.
La mairie de Saint-Aubin d'Aubigné a annoncé le 24 novembre 2025 que les coordonnées de ses administrés avaient été exposées via son prestataire de prise de rendez-vous RDV360, l'une des ~1 300 communes françaises touchées par une fuite chez ce tiers.
En novembre 2025, la plateforme de soins optiques Itelis a été compromise via l'usurpation de l'identité d'un opticien partenaire, exposant des données de santé et d'identité d'adhérents Malakoff Humanis (et AXA) issues de remboursements optiques traités entre 2020 et 2022.
Suzuki France a révélé qu'une cyberattaque visant le système d'un de ses partenaires tiers a exposé un fichier client contenant noms, adresses email, adresses postales et numéros de téléphone ; aucune donnée financière ni mot de passe n'était concerné.
Le 19 nov. 2025, la mairie d’Alfortville a averti ses administrés que leurs coordonnées avaient été exposées dans une fuite de son prestataire de rendez-vous RDV360, attaque de la chaîne d’approvisionnement touchant ~1 300 communes et ~14 M de données.
En novembre 2025, Synbird — le prestataire SaaS gérant la prise de rendez-vous en ligne pour environ 1 300 communes françaises — a révélé une fuite : un attaquant a exploité un export PDF mal sécurisé pour exfiltrer les coordonnées et les rendez-vous des administrés.
Environ 50 000 habitants ayant pris rendez-vous pour une carte d'identité ou un passeport à Brest ont vu leurs coordonnées exposées après une attaque par rebond visant la plateforme de prise de rendez-vous RDV360 utilisée par la mairie.
En octobre 2025, le détaillant de mode espagnol Mango a révélé qu'un prestataire marketing externe avait été compromis, exposant les prénom, pays, code postal, adresse e-mail et numéro de téléphone de clients ; aucun mot de passe ni donnée bancaire n'était concerné.
Le 4 octobre 2025, Discord a révélé une fuite chez un prestataire tiers de support client, exposant des données de tickets de support et environ 70 000 photos de pièces d’identité (envoyées pour des recours de vérification d’âge), ainsi que noms, e-mails, adresses IP et informations de paiement partielles.
En septembre 2025, la banque coopérative éthique française La Nef a alerté ses sociétaires sur l'exposition de leurs adresses email à la suite d'une cyberattaque visant le prestataire de vote SLIB ; seules des adresses email ont été touchées, sans données bancaires, pièces d'identité ni mots de passe.
Le 23 septembre 2025, le groupe de laboratoires Inovie Labosud a révélé une fuite exposant les données administratives et médicales d'environ 3,2 millions de patients, après le vol des identifiants d'un prestataire externe.
En août 2025, le système d'emailing Sendinblue/Brevo du cybermarchand français de cycles et de sport Alltricks a été compromis ; les pirates ont envoyé aux clients des e-mails de phishing depuis l'infrastructure de la marque, exposant noms, adresses e-mail et historique d'achat.
En août 2025, Air France-KLM a révélé que des attaquants avaient accédé à des données clients — nom, prénom, coordonnées, numéro et statut Flying Blue, et objet des demandes au service client — via une plateforme de service client tierce compromise.
En août 2025, le bijoutier danois Pandora a révélé une compromission d'une plateforme CRM tierce (Salesforce) au cours de laquelle des attaquants ont dérobé des données de contact clients — noms, adresses email et dates de naissance — sans accès, selon l'entreprise, aux mots de passe ni aux données bancaires.
France Travail a révélé le 22 juillet 2025 qu'une intrusion via sa plateforme Kairos avait exposé les données personnelles d'environ 340 000 demandeurs d'emploi, dont noms, adresses postale et email, numéros de téléphone, identifiants France Travail et statut ; mots de passe et coordonnées bancaires n'ont pas été touchés.
En avril 2025, l'enseigne française d'optique et d'audition Alain Afflelou a révélé une fuite causée par une vulnérabilité chez un prestataire CRM tiers, exposant les données personnelles et commerciales de milliers de clients et prospects.
Le 15 avril 2025, le loueur de voitures Hertz a révélé une fuite de données provenant de l'exploitation fin 2024, par le groupe CL0P, de failles zero-day du logiciel de transfert de fichiers Cleo, exposant noms, coordonnées, dates de naissance, permis de conduire, données bancaires et passeports de clients.
Une attaque par rançongiciel contre l'éditeur français de logiciels de gestion de patrimoine Harvest (groupe Run Some Wares, détectée le 27 février 2025) a exposé des données personnelles et financières de clients de l'assureur MAIF et du groupe bancaire BPCE (Banque Populaire / Caisse d'Épargne), via une attaque sur la chaîne d'approvisionnement.
En mars 2025, l'assureur direct Direct Assurance (filiale d'AXA) a subi une fuite via son partenaire Run Assurance : les attaquants ont exploité une faille dans les échanges de données entre les deux entreprises pour accéder aux données personnelles de clients, exposant à l'usurpation d'identité et au phishing.
Les opérateurs de Lazarus ont substitué le contrat d'implémentation lors d'une transaction multisig Safe de routine, siphonnant ~1,5 milliard de dollars en ETH et en dérivés d'ETH stakés depuis le portefeuille froid Ethereum de Bybit — le plus grand vol de cryptomonnaie en une seule fois de l'histoire.
Début février 2025, la communauté de recettes Thermomix Espace-Recettes.fr (Rezeptwelt) de Vorwerk a été compromise via un serveur tiers, exposant noms, adresses postales, emails, numéros de téléphone, dates de naissance et préférences culinaires d'environ 3,3 millions d'utilisateurs dans plusieurs pays.
Le 20 janvier 2025, la Fédération Française de Tir à l'Arc (FFTA) a révélé une fuite due à une faille chez son prestataire mutualisé de gestion des licences ; un jeu de 625 434 comptes (noms, dates de naissance, adresses postales, téléphones, emails, photos de profil) a été mis en vente en ligne.
En janvier 2025, la Fédération Française de Force (FFForce) a vu les données personnelles de 64 512 adhérents exposées via un prestataire informatique de gestion des licences sportives compromis ; les fichiers (noms, dates de naissance, e-mails, adresses postales, téléphones) ont ensuite été vendus sur BreachForums.
En janvier 2025, la Fédération Française de Roller et Skateboard a vu les données personnelles d'environ 577 000 licenciés exposées après la compromission d'un prestataire informatique mutualisé entre fédérations sportives ; noms, dates de naissance, adresses e-mail/postales et numéros de téléphone ont fuité.
Le 25 déc. 2024, l'extension Chrome de l'éditeur de sécurité Cyberhaven a été détournée via un hameçonnage et a diffusé une mise à jour malveillante qui a exfiltré cookies et jetons de session d'environ 400 000 utilisateurs sur 24 heures.
Le 18 novembre 2024, l'hebdomadaire Le Point a révélé une fuite imputée à un sous-traitant de gestion des abonnés compromis, exposant les noms, adresses postales et e-mail ainsi que les numéros de téléphone d'environ 900 000 lecteurs actuels et anciens.
Le 12 septembre 2024, le revendeur informatique français Cybertek a révélé une fuite de données clients liée à un prestataire informatique commun compromis, exposant noms, adresses e-mail et postales et numéros de téléphone ; mots de passe et données bancaires non touchés.
Le 10 septembre 2024, l'enseigne française de produits culturels Cultura a révélé qu'une intrusion chez un prestataire informatique tiers commun avait exposé les données personnelles d'environ 1,5 million de clients (nom, coordonnées, historique des commandes) ; mots de passe et données bancaires non touchés.
Dans la nuit du 6 au 7 septembre 2024, l'enseigne française d'électronique Boulanger a subi une fuite de données liée à un prestataire tiers de livraison/informatique commun, exposant les nom, adresse postale, e-mail et numéro de téléphone de plusieurs centaines de milliers de clients ; aucune donnée bancaire n'était concernée.
En 2024, le géant de la billetterie Ticketmaster (Live Nation) a subi la compromission d'une base de données cloud tierce hébergée chez Snowflake ; les données d'environ 560 millions de clients — noms, coordonnées, historique des commandes et données de carte partielles — ont été volées et mises en vente par ShinyHunters.
Une campagne d'ingénierie sociale pluriannuelle menée par un personnage de mainteneur nommé « Jia Tan » a implanté une porte dérobée SSH dissimulée dans la bibliothèque de compression XZ Utils (liblzma) versions 5.6.0 et 5.6.1, notée CVSS 10,0 — découverte par hasard quelques jours avant qu'elle ne puisse atteindre les versions stables de Linux dans le monde entier.
Des acteurs liés à la Corée du Nord ont trojanisé le client softphone 3CXDesktopApp, diffusant le maliciel SmoothOperator via une mise à jour signée légitimement à une base de plus de 600 000 organisations clientes — la première compromission en cascade documentée de la chaîne d'approvisionnement logicielle, elle-même rendue possible par une compromission antérieure du logiciel de trading X_TRADER.
Une cyberattaque contre le sous-traitant Supeo l'a contraint à arrêter ses serveurs, désactivant une application mobile dont les conducteurs de train dépendent pour leurs données opérationnelles et immobilisant tous les trains DSB à travers le Danemark pendant plusieurs heures — une perturbation de la chaîne d'approvisionnement de manuel touchant un transport critique.
L'attaque par rançongiciel de REvil contre Kaseya VSA s'est propagée via un prestataire informatique jusqu'aux systèmes de caisse de Coop Suède, forçant la coopérative de supermarchés à fermer environ 800 magasins dans tout le pays.
Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.
Victim
Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
Une compromission de la chaîne d'approvisionnement du fournisseur informatique aéronautique SITA a exposé les données d'environ 4,5 millions de passagers d'Air India : noms, informations de passeport, données de billetterie, numéros de fidélité et informations de cartes de paiement collectées sur près d'une décennie de réservations.
Malaysia Airlines a révélé un incident de sécurité des données s'étalant sur neuf ans chez un prestataire informatique tiers gérant son programme de fidélité Enrich, exposant les noms des membres, leurs coordonnées, dates de naissance et données de grand voyageur.
Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.
Victim
SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Les opérateurs de Magecart ont injecté un JavaScript de vol de données de cartes dans la page de paiement de British Airways, dérobant les détails de cartes sur 380 000 transactions en 15 jours. L'ICO britannique a d'abord proposé une amende RGPD de 183,4 M£ — ramenée ensuite à 20 M£ après des arguments d'atténuation liés à l'impact du Covid.
Les attaquants ont pénétré chez Target grâce à des identifiants dérobés à un sous-traitant en CVC, ont pivoté vers le réseau de paiement et ont volé les données de piste magnétique de 40 millions de cartes de crédit et de débit ainsi que les données personnelles de 70 millions de clients.
Des pirates exploitant un canal de mise à jour logicielle empoisonné ont volé les données personnelles d'environ 35 millions d'utilisateurs de Nate et Cyworld — noms, numéros d'enregistrement de résident, numéros de téléphone et mots de passe chiffrés — dans ce qui était alors la plus grande violation de données de Corée du Sud.