Fuites de données : Vos vieux comptes servent les pirates aujourd’hui

Les violations de données ne sont plus de simples incidents techniques isolés, mais le carburant principal d’une criminalité en pleine mutation. Alors que 2025 s’annonce comme une année record avec des centaines de millions de dossiers déjà exposés, la menace s’est déplacée. Il ne s’agit plus seulement de perdre un mot de passe, mais de voir des fragments d’identité, volés il y a parfois plus de dix ans, être réassemblés pour lancer des attaques dévastatrices contre des cibles qui se croyaient protégées.

L’effet domino des fuites de données du passé

La véritable dangerosité des fuites actuelles réside dans le croisement des bases de données. Les cybercriminels n’ont souvent même pas besoin de vos mots de passe actuels ; ils exploitent la persistance de vos informations personnelles. Une experte en cybersécurité de la firme Silobreaker explique que les attaquants utilisent des données « zombies » pour intercepter les codes de sécurité. C’est le cas du « SIM swapping« , une technique où les escrocs trompent un opérateur mobile pour transférer le numéro de la victime sur une nouvelle carte SIM.

L’impact de cette méthode est redoutablement efficace et immédiat. Une victime a raconté à la BBC comment, après la prise de contrôle de son compte Gmail et le verrouillage de ses accès bancaires, les malfaiteurs ont pénétré son WhatsApp. Ils ne se sont pas contentés de voler de l’argent ; ils ont envoyé des messages terrifiants à son groupe d’équitation, avertissant que des individus étaient en route pour « poignarder les chevaux ». L’analyse a révélé que ses données provenaient de brèches anciennes, datant de 2010 sur une plateforme de jeux (PaddyPower) et de 2019 sur un outil de validation d’e-mails.

Même les profils professionnels sécurisés ne sont pas à l’abri de ce recyclage de données. Une entrepreneuse utilisant les publicités Facebook a été ciblée via une technique de croisement entre son e-mail privé volé (issu d’une fuite Gravatar de 2020) et son numéro professionnel public. Après avoir cliqué sur un lien frauduleux promettant un remboursement, les pirates ont contourné sa double authentification. Pour bloquer définitivement son accès, ils ont publié des vidéos d’abus sexuels sur mineurs sous son nom, tout en dépensant des centaines de livres en publicités frauduleuses avant qu’elle ne puisse récupérer son compte.

Des entreprises qui fuient les risques

Alors que certaines attaques cherchent à tout détruire, d’autres préfèrent opérer sans se faire remarquer. Le cofondateur de la société de sécurité Hudson Rock souligne qu’il existe un immense marché pour les comptes « crackés », transformant une fuite unique en abus continu. Une utilisatrice brésilienne a ainsi découvert qu’un tiers s’était greffé sur son abonnement Netflix. L’indice n’était pas un vol massif, mais une augmentation discrète de sa facture mensuelle de 9,90 dollars, le pirate ayant « upgradé » l’abonnement pour y ajouter son propre profil.

Face à cette recrudescence, les grandes entreprises semblent désormais fuir les risques. Alors que Ticketmaster proposait encore l’an dernier une surveillance de crédit gratuite après une attaque massive, la tendance s’inverse. Des sociétés comme Marks and Spencer ou Qantas n’ont pas offert ces services cette année. Les recours collectifs restent difficiles à gagner, car il est complexe de prouver le préjudice individuel, bien que T-Mobile ait accepté de verser 350 millions de dollars suite à une brèche en 2021, avec des indemnisations allant de 50 à 300 dollars par client.

En somme, la protection des données n’est plus uniquement une question de bonnes pratiques de cybersécurité immédiate, mais de gestion du passif. Les informations exposées lors de piratages vieux de plusieurs années restent des armes actives, prêtes à être réutilisées pour du vol d’identité, du parasitisme de services ou des campagnes de harcèlement ciblées.