Au cours des deux dernières années, les chercheurs de NordPass ont recensé près de 10 000 fuites de bases de données majeures et plus de 7,8 milliards d’adresses e-mail divulguées. L’équipe, dirigée par Mantas Sabeckis, chercheur principal en renseignements sur les menaces chez Nord Security, a utilisé la plateforme de renseignements sur les menaces NordStellar pour cette étude.
Contenu:
Les données de 2025 marquent un tournant : les divulgations publiques de fuites de bases de données ont chuté de 36,9 %, passant de 4 804 incidents en 2024 à 3 031 en 2025. Malgré ce déclin, les criminels ont divulgué plus d’un demi-milliard d’adresses e-mail rien qu’en 2025, ce qui montre bien que le nombre de fuites à lui seul ne reflète pas l’ampleur de la menace. Les attaquants privilégient actuellement la furtivité et la qualité à la quantité. Il y a moins d’incidents, mais ils concernent désormais des ensembles de données beaucoup plus importants. De plus en plus de données volées circulent sur des canaux privés ou des journaux d’infostealers (voleurs d’informations) plutôt que sur des forums publics.
Points clés
Les États-Unis (187 fuites), l’Inde (121) et la Russie (78) enregistrent le plus grand nombre d’incidents spécifiques à chaque pays, bien que 60 % des fuites soient internationales ou non attribuées.
Les secteurs de la technologie, de l’éducation et du e-commerce enregistrent les volumes de fuite les plus élevés. Les entreprises privées représentent 53 % des fuites de données confidentielles, contre 10 % pour les entités gouvernementales.
Les fuites de bases de données ont chuté de 36,9 % en 2025 (de 4 804 à 3 031), mais les divulgations restent importantes, avec plus d’un demi-milliard d’adresses e-mail divulguées.
Neuf fuites sur dix contiennent des adresses e-mail (2 724 sur 3 031) et 68 % des incidents (2 069 sur 3 031) incluent des numéros de téléphone.Les coordonnées sont donc les informations les plus fréquemment divulguées.
Près d’un tiers des fuites contient des identifiants de connexion (972 sur 3 033), tandis que 12,3 % (374 sur 3 031) contiennent des identifiants gouvernementaux, tels que des numéros de sécurité sociale ou de permis de conduire. Les données financières apparaissent dans 2,2 % des cas (66 sur 3 031).
Les divulgations de fuites issues d’attaques par ransomware ont augmenté de 45 % en 2025, atteignant 9 251 cas.Il est donc évident que l’objectif principal des attaques est l’extorsion.
Un petit nombre de fuites majeures ont chacune entraîné la divulgation de dizaines de millions de données,concentrant le risque global à des incidents de grande ampleur.
Tendance actuelle : moins de fuites, plus de données divulguées
Une transition vers les infostealers et les marchés fermés. La diminution des fuites de bases de données visibles publiquement reflète probablement un changement dans les méthodes d’attaque : les malwares de type infostealers permettent aux pirates de s’emparer d’identifiants utilisables directement à partir des systèmes des utilisateurs et d’accéder aux services sans extraire de données centralisées.
À mesure que les malfaiteurs affinent leurs méthodes, les données des infostealers sont devenues l’un des actifs les plus recherchés de l’économie clandestine. Comme l’explique Mantas Sebeckis :
CITATION : « Les données des infostealers resteront l’un des produits les plus attrayants pour les pirates. Leur simplicité, leur faible coût et le fait qu’ils ne nécessitent que peu de compétences techniques expliquent leur popularité croissante. Si les bases de données ont leur place dans le milieu clandestin, les données volées par les infostealers sont bien plus efficaces comparativement. Les attaquants n’ont pas besoin de s’appuyer sur des identifiants de connexion puisqu’ils connaissent déjà leurs cibles. Ils ont ainsi accès directement aux comptes compromis, ce qui rend leurs attaques plus rapides, plus précises et plus fructueuses. »
L’exfiltration par ransomware. Les groupes d’extorsion volent souvent des données comme moyen de pression et les revendent secrètement si les victimes refusent de payer. Il est fort possible que ces incidents n’apparaissent jamais sur les sites de fuites de données publiques.
EXTRAPOLATION STATISTIQUE/ENSEIGNEMENTS : Cette tendance est confirmée par l’étude de NordStellar sur les ransomwares menée en 2024-2025, qui montre que les divulgations de fuites ont augmenté de 45 % d’une année sur l’autre en 2025 (9 251 cas contre 6 395 en 2024). L’accélération a été particulièrement visible au dernier trimestre, avec 2 910 incidents (+38 % par rapport à l’année précédente), dont 1 000 victimes répertoriées publiquement pour le seul mois de décembre, soit le total mensuel le plus élevé observé en deux ans. Au-delà de leur volume, ces données révèlent une stratégie de ciblage claire : 64 % des cas enregistrés concernent des organisations basées aux États-Unis, tandis que le secteur industriel apparaît comme le secteur le plus touché, avec 1 156 incidents (19,3 % des victimes au niveau mondial). Les petites entreprises ont été touchées proportionnellement plus que les autres, en particulier celles de moins de 200 employés et dont le chiffre d’affaires est inférieur à 25 millions de dollars, ce qui souligne la préférence des pirates pour les environnements très vulnérables et dont la sécurité est relativement réduite.
Mesures de répression pénale. Plusieurs forums et marchés importants consacrés aux fuites ont été fermés en 2025, ce qui a fait migrer les activités vers des canaux privés plus petits. Les fuites sont ainsi devenues plus difficiles à détecter, sans pour autant réduire les risques pour les victimes.
Évolutions géopolitiques. Le cyberactivisme basé sur les données a connu une forte augmentation en 2024 en raison des conflits dans le monde. À la faveur de changements d’orientation politique en 2025, certains pays ont vu diminuer le nombre de divulgations publiques, tandis que l’espionnage ciblé s’est poursuivi dans l’ombre.
Moins de fuites ne signifie pas moins de risques. La grande majorité des incidents survenus en 2025 ont concerné des données susceptibles d’être rapidement utilisées à des fins malveillantes, notamment des adresses e-mail (90 %), des numéros de téléphone (68 %), des identifiants de connexion tels que des mots de passe ou des clés API (32 %) et des identifiants gouvernementaux (12,3 %). Les données financières, telles que les coordonnées bancaires ou les cryptomonnaies, n’apparaissent que dans 2,2 % des cas.
Schémas géographiques
NordStellar a identifié 1 203 fuites spécifiques à 102 pays en 2025. Les États-Unis (187 fuites), l’Inde (121) et la Russie (78) arrivent en tête de liste, reflétant l’importance de leur population et la densité de leur économie numérique. Des clusters de fuites secondaires sont apparus en Indonésie, en France, au Brésil, en Italie, en Allemagne, en Argentine et au Mexique.
Par rapport à 2024, les États-Unis ont enregistré davantage de fuites de bases de données en 2025, tandis que la Russie et plusieurs pays européens ont enregistré des baisses notables. Le scénario montre que le nombre de fuites dépend des pratiques de divulgation et des priorités des pirates. La majorité des fuites ont été mondiales ou non attribuées, ce qui montre la nature internationale des violations de données.
Analyse par secteur
Selon les données de NordStellar, les organisations spécialisées dans les technologies, l’éducation et le commerce électronique ont subi le plus grand nombre de fuites. Ces secteurs s’appuient sur des services en ligne et collectent d’importants volumes de données sur les clients, ce qui en fait des cibles lucratives.
Bien que le nombre de fuites ait diminué dans la plupart des secteurs, leur ampleur a souvent augmenté. Par exemple, les fuites touchant le secteur des technologies et du commerce électronique ont souvent entraîné la divulgation de centaines de milliers d’adresses e-mail par incident. Les fuites de données concernant le secteur financier, bien que moins nombreuses, ont eu tendance à impliquer des ensembles de données plus volumineux, ce qui amplifié leur impact.
Secteur public vs secteur privé
Sur les 3 031 fuites analysées en 2025, 53 % ont été reliées à des entreprises privées et 10 % à des entités publiques, les 37 % restants n’ayant pas été attribués en raison de métadonnées insuffisantes. Dans le secteur privé, les fuites sont non seulement plus fréquentes, mais aussi plus fournies en données. Une fuite de données moyenne contient environ 126 000 adresses e-mail dans le secteur privé, contre environ 79 000 dans le secteur public. Cette disparité reflète à la fois la plus grande surface d’attaque des organisations privées et le potentiel de monétisation plus élevé des données commerciales. Les fuites de données des administrations publiques ont toujours une incidence importante, même si elles sont moins nombreuses, car les informations personnelles sensibles et les informations relatives à la sécurité nationale peuvent être exploitées à des fins d’espionnage ou politiques.
Top 5 des fuites de données en 2025
Si des milliers de fuites de données ont été enregistrées en 2025, un petit nombre d’incidents très médiatisés ont représenté une part disproportionnée du risque. Le tableau ci-dessous résume les cinq principales fuites de données identifiées par NordStellar et fournit des preuves provenant de rapports indépendants :
| Organisation et date | Preuve de la fuite de données | Données divulguées |
|---|---|---|
| Under Armour (novembre 2025) | Malwarebytes a signalé que le gang de ransomwares Everest a publié un ensemble de données de 191 Go contenant 191,6 millions d’éléments et 72,7 millions d’adresses e-mail uniques. Infosecurity Magazine a confirmé que Have I Been Pwned (HIBP) a ajouté 72 millions d’adresses e-mail à sa base de données | Dates de naissance, sexes, noms, adresses e-mail, données de géolocalisation, historique des achats |
| Prosper Marketplace (septembre 2025) | SecurityWeek, citant HIBP, rapporte qu’une requête non autorisée des bases de données de Prosper a divulgué 17,6 millions de comptes, contenant noms, adresses, adresses IP, dates de naissance, identifiants gouvernementaux, statuts d’emploi et niveaux de revenus. | Dates de naissance, situation professionnelle, données sur les revenus, noms, informations sur la solvabilité, adresses e-mail, identifiants gouvernementaux, adresses IP, adresses postales, données de l’agent utilisateur du navigateur |
| Vietnam Airlines (juin 2025) | Une analyse d’Outpost24 a révélé que les pirates ont publié un ensemble de données de 64 Go contenant plus de 7,3 millions d’adresses e-mail uniques. HIBP a signalé que Vietnam Airlines avait été victime d’une fuite de données affectant 7,3 millions de comptes. | Adresses physiques, adresses e-mail, numéros de téléphone, dates de naissance, sexes, noms, nationalités, noms d’utilisateur |
| Le programme Pass’Sport (décembre 2025) | Les données de HIBP montrent que la fuite du programme Pass'Sport en France a impliqué 6,5 millions d’adresses e-mail uniques et environ 3,5 millions de foyers. L’alerte de HookPhish confirme ces chiffres et précise que les données contenaient noms, sexes, numéros de téléphone et adresses postales. | Adresses e-mail, noms, sexes, numéros de téléphone, adresses postales |
| Bouygues Telecom (août 2025) | Bouygues a annoncé que des pirates étaient parvenus à accéder aux informations personnelles de 6,4 millions de clients. HIBP note que 5,7 millions d’adresses e-mail uniques ont été divulguées. | Adresses postales, dates de naissance, adresses e-mail, noms, numéros de téléphone |
Ces incidents illustrent la grande diversité des victimes (des vêtements de sport aux entreprises de fintech, en passant par les compagnies aériennes et les services publics) et soulignent que les fuites actuelles divulguent souvent bien plus que des adresses e-mail.
Perspectives d’avenir : ce qui nous attend en 2026
Les risques associés aux fuites de données vont évoluer, et non disparaître. Les criminels continueront sans doute à recourir aux malwares infostealers, au phishing et aux ransomwares pour obtenir et monétiser des identifiants de connexion.
Cette évolution va certainement s’accélérer à mesure que les entreprises criminelles gagneront en maturité et que de nouveaux outils deviendront plus largement et plus facilement accessibles. Comme le dit Karolis Arbačiauskas, chef de produit chez NordPass, la trajectoire est plutôt claire :
CITATION : « Les risques de fuite de données continueront d’évoluer à mesure que les entreprises criminelles prolifèreront. L’essor des LLM va encore accélérer ce phénomène, comme dans d’autres domaines. Les pirates utiliseront des outils basés sur l’IA pour améliorer leurs e-mails de phishing, créer des malwares, utiliser des logiciels agentiques ou trouver plus rapidement les vulnérabilités.
Les entreprises et les particuliers doivent rester vigilants et mettre à jour leurs pratiques de sécurité. Des politiques strictes de mots de passe et des mises à jour régulières des logiciels doivent rester les principaux moyens de défense contre ces menaces. »
Comment vous protéger ?
Les résultats de l’étude montrent que les divulgations sont concentrées sur les secteurs très numériques, les grandes organisations du secteur privé et les pays dotés d’écosystèmes en ligne denses. Pour réduire l’impact, les organisations et les individus doivent agir.
Pour les organisations :
Réduire le volume de données personnelles stockées et segmenter les systèmes critiques pour limiter l’ampleur des fuites de données.
Renforcer la protection des identifiants grâce à une authentification matérielle et protéger les terminaux contre les malwares de type infostealers.
Détecter les fuites d’identifiants de connexion et agir rapidement pour circonscrire les incidents avant qu’ils ne prennent de l’ampleur.
Pour les particuliers :
Utiliser un gestionnaire de mots de passe, créer des mots de passe uniques et activer l’authentification multifacteur pour empêcher la réutilisation des identifiants volés sur différents services.
Après l’annonce de fuites de données importantes, rester vigilant face au phishing et aux escroqueries ciblées.
En cas d’activité suspecte, réinitialiser immédiatement les identifiants de connexion et vérifier les comptes connectés.
Dernières réflexions
La diminution des fuites de bases de données divulguées publiquement en 2025 reflète davantage l’évolution des tactiques que l’amélioration de la sécurité sur Internet. Les criminels collectent de plus en plus d’identifiants de connexion par le biais d’infostealers, de campagnes d’extorsion et d’échanges de données confidentielles, en utilisant des méthodes de plus en plus sophistiquées pour atteindre leurs objectifs.
En 2026, le défi majeur sera la gestion de l’identité à grande échelle. Les organisations qui réduisent la centralisation des données, renforcent les contrôles d’accès et raccourcissent les délais de détection et d’intervention seront mieux placées pour limiter les conséquences en cas d’incidents. C’est désormais l’aptitude à limiter l’exposition aux risques, et non plus seulement à les prévenir, qui définira la résilience.
Méthodologie
Notre ensemble de données comprend toutes les bases de données publiquement disponibles qui ont fait l’objet d’une fuite et qui ont été détectées par NordStellar entre 2023 et 2025. Chaque élément a été traité à l’aide d’un processus de classification assisté par l’IA (nexos.ai), qui a analysé les métadonnées disponibles sur les fuites, notamment les domaines d’origine, les domaines de premier niveau, les descriptions, les organisations référencées et le contenu des ensembles de données, afin de déterminer le secteur, la localisation géographique et le type d’organisation (publique ou privée).
Les fuites ont été classées comme « spécifiques à un pays » lorsque les métadonnées disponibles indiquaient un lien principal avec un pays. Dans le cas contraire, elles ont été marquées comme internationales ou inconnues.
Sur les 3 031 fuites enregistrées en 2025, NordStellar a extrait le nombre d’e-mails signalés et enregistré la présence d’autres types de données, notamment des numéros de téléphone, des identifiants de connexion (mots de passe en clair ou hachés, clés API), des identifiants gouvernementaux et des dossiers financiers. Le nombre total d’e-mails reflète les données agrégées des comptes et peut comprendre différents types de comptes (par exemple, comptes clients, employés, administratifs ou utilisateurs), car il n’était pas possible d’établir une distinction précise.