Alinto : une fuite massive de 40 millions d’emails touche les entreprises du CAC40
Le prestataire français de sécurité email Alinto a laissé un cluster Elasticsearch non sécurisé exposant plus de 40 millions d’enregistrements SMTP (environ 4,5 millions d’adresses uniques) — métadonnées d’emails de L’Oréal, Renault, Carrefour, DHL et 14 000 comptes de l’État français.
- Victime
- Alinto
- données
- 40.0M
Le 8 avril 2026, Alinto — fournisseur français de solutions email et de sécurité messagerie basé à Lyon, qui traite près de 100 millions de messages par jour — a été signalé comme ayant exposé plus de 40 millions d’enregistrements de trafic email à la suite d’une mauvaise configuration. L’équipe de recherche de Cybernews a découvert un cluster Elasticsearch accessible publiquement sans aucune authentification, hébergé sur le même serveur qu’une instance SMTP liée à Cleanmail, la solution relais antispam d’Alinto.
La base exposée contenait des journaux de relais SMTP et non le contenu des messages. Sur les 40 millions d’enregistrements, les chercheurs ont identifié au moins 4,5 millions d’adresses email uniques. Comme Alinto achemine le courrier pour le compte de nombreuses organisations clientes, la fuite a divulgué des métadonnées de communication appartenant à de grandes entreprises françaises et à des organismes publics — dont des noms du CAC40 comme L’Oréal, Renault, Carrefour et Hermès, le groupe logistique DHL, ainsi qu’au moins 14 000 adresses de l’État français issues d’ambassades, de collectivités locales et de services publics.
Les données exposées comprenaient :
- Les adresses email des expéditeurs et des destinataires
- Les horodatages précis des messages
- Les adresses IP des relais SMTP et les données de localisation associées
Aucun contenu de message n’a été exposé, mais ces métadonnées suffisent à cartographier les relations de communication des entreprises et des administrations et à concevoir des campagnes ciblées de phishing et d’ingénierie sociale. Cybernews a découvert le cluster ouvert le 24 février 2026 et l’a signalé ; bien qu’Alinto n’ait pas répondu, la base a été sécurisée le 26 février, la couverture médiatique plus large de l’incident étant intervenue en avril 2026.
Sources
- cyberattaque.orghttps://www.cyberattaque.org/alinto-une-fuite-massive-de-40-millions-demails-touche-les-entreprises-du-cac40/
- cybernews.comhttps://cybernews.com/security/alinto-email-data-leak-exposes-traffic/
- techradar.comhttps://www.techradar.com/pro/security/french-email-provider-accidentally-leaked-40-million-records-loreal-renault-french-government-data-exposed