Skip to content
Ressources

Sécurité des données

Fuites de données et DAC8

Pourquoi DAC8 ajoute une base crypto sensible à un environnement déjà marqué par les fuites massives, les erreurs de configuration et la corruption interne.

Mis à jour le

Réponse courte

Le débat DAC8 ne peut pas supposer que les bases publiques ou parapubliques restent parfaitement protégées. Aucune grande base de données ne doit être traitée comme définitivement sûre : administrations, prestataires, éditeurs de logiciels et agents internes créent tous des points d’accès. L’histoire récente montre le contraire : fuites massives, prestataires compromis, accès internes détournés.

DAC8 est particulièrement sensible parce qu’il combine identité civile, activité crypto et valeur économique. Une seule fuite peut suffire à transformer une base déclarative fiscale en outil de ciblage criminel. En 18 mois, plus de 100 millions de dossiers de citoyens français ont été compromis depuis des bases gérées par l’État ou ses prestataires, et le lien entre fuites et violences est désormais affirmé par les autorités : le piratage de Waltio a directement servi à au moins trois enlèvements.

Faits clés

8 613

notifications de violations à la CNIL en 12 mois (+45 %)

24 / jour

soit environ une fuite par heure

12,2 M

personnes concernées (+53 %)

Forum Incyber / Hexatrust / CNIL, Baromètre 2026 des fuites de données personnelles (sept. 2024 à sept. 2025).

Une base à très haute valeur

Une base DAC8 contient des données d’identité et des données crypto. Ce mélange est plus sensible qu’une simple liste fiscale : il croise identité civile, activité crypto et valeur économique.

Pour un attaquant, il peut permettre de prioriser des victimes, de préparer des pressions, ou d’enrichir des données déjà disponibles ailleurs.

Les fuites étatiques massives en France (2024-2026)

DateOrganismeVictimesDonnées exposées
Jan. 2024Viamedis + Almerys33 MNIR + identité
Mars 2024France Travail43 MNIR, adresse, téléphone, email
Fin 2025Cegedim Santé15 MIdentité + 169 000 dossiers médicaux
Jan. 2026FICOBA (DGFiP)1,2 MRIB, IBAN, identité du titulaire
Avril 2026Méga-fuite gouvernementale19 MAdresses, emails, téléphones
Mai 2026Almerys (nouveau)15,4 MNIR, contrats, assureurs
Mai 2026DGSE (vol physique)n.d.Plans de commissariats + accès vidéoprotection Paris

Le problème du maillon faible

DAC8 repose sur des administrations, systèmes, prestataires et agents différents. La sécurité de l’ensemble dépend de la résistance du maillon le plus faible. La vraie question n’est pas de savoir si les administrations ont l’intention de protéger les données, mais si chaque système connecté, chaque prestataire et chaque point d’accès humain tiendra dans la durée.

Une seule fuite peut suffire à transformer une obligation déclarative en outil d’identification criminelle.

Les accès internes comptent autant que le piratage

Le risque n’est pas limité à un hacker externe. Une base administrative peut être exposée par un accès interne abusif, une mauvaise configuration, un prestataire compromis ou une extraction illégitime.

Plus une base est partagée, plus elle crée de points d’accès humains et techniques. DAC8 et CARF multiplient les endroits où des données sensibles peuvent circuler, et augmentent donc cette surface d’exposition.

Quand la fuite crée l’attaque : le pattern documenté

Cas FFTir (octobre 2025). 250 000 tireurs sportifs et 750 000 anciens licenciés exposés sur le dark web. Le Parquet de Paris a confirmé que « ces données ont été utilisées pour commettre des vols par effraction ou par usage de fausse qualité » : entre 20 et 30 cambriolages / home-jackings en quelques semaines.

Cas Waltio (janvier 2026). Plateforme française de calcul fiscal crypto : ~50 000 utilisateurs exposés (emails, gains/pertes, indicateurs de valeur, identité). Les hackers ont revendiqué que ces données ont servi à au moins 3 enlèvements, totalisant plus de 17 M$ extorqués. Le Parquet de Paris a ouvert une enquête.

La corruption interne et les précédents étatiques

  • Ghalia C. (DGFiP, janv. 2026) : une agente de la DIRCOFI de Bobigny écrouée pour avoir consulté et transmis des adresses et profils fiscaux à des malfaiteurs, en ciblant spécifiquement les investisseurs en cryptomonnaie. Le mode opératoire DAC8 reproduit exactement les conditions exploitées, mais au niveau européen.
  • Equalize (Italie, 2024-2026) : des policiers ripoux ont accédé aux bases du fisc, de la police et des banques pour exfiltrer plus d’un million de dossiers, revendus ou utilisés pour du chantage. DAC8 multiplie par 27 les points d’entrée de ce type.
  • NRA Bulgarie (2019) : les données fiscales de 5 à 7 millions de citoyens, la quasi-totalité de la population adulte, exfiltrées via des techniques « basiques ». Il suffit qu’une seule des 27 administrations soit le maillon faible.

Le Parisien, 26 nov. 2025 (FFTir) et janv. 2026 (Ghalia C.) · Cybernews, 9 fév. 2026 et Forbes, 14 fév. 2026 (Waltio) · Reuters / Euronews (Equalize) · Wikipedia & Reuters, 16 juillet 2019 (NRA Bulgarie).

La spécificité crypto

Une donnée crypto fuitée peut rester utile longtemps. Une adresse publique peut continuer à révéler des mouvements futurs si l’utilisateur ne parvient pas à compartimenter ou migrer proprement ses fonds.

La fuite ne se limite donc pas au passé : elle peut créer une surveillance permanente. Pour les données crypto, la conséquence peut aller au-delà du vol d’identité : elle peut permettre un ciblage physique.

Pages liées