Sécurité des données
Fuites de données et DAC8
Pourquoi DAC8 ajoute une base crypto sensible à un environnement déjà marqué par les fuites massives, les erreurs de configuration et la corruption interne.
Mis à jour le
Réponse courte
Le débat DAC8 ne peut pas supposer que les bases publiques ou parapubliques restent parfaitement protégées. Aucune grande base de données ne doit être traitée comme définitivement sûre : administrations, prestataires, éditeurs de logiciels et agents internes créent tous des points d’accès. L’histoire récente montre le contraire : fuites massives, prestataires compromis, accès internes détournés.
DAC8 est particulièrement sensible parce qu’il combine identité civile, activité crypto et valeur économique. Une seule fuite peut suffire à transformer une base déclarative fiscale en outil de ciblage criminel. En 18 mois, plus de 100 millions de dossiers de citoyens français ont été compromis depuis des bases gérées par l’État ou ses prestataires, et le lien entre fuites et violences est désormais affirmé par les autorités : le piratage de Waltio a directement servi à au moins trois enlèvements.
Faits clés
8 613
notifications de violations à la CNIL en 12 mois (+45 %)
24 / jour
soit environ une fuite par heure
12,2 M
personnes concernées (+53 %)
Forum Incyber / Hexatrust / CNIL, Baromètre 2026 des fuites de données personnelles (sept. 2024 à sept. 2025).
Une base à très haute valeur
Une base DAC8 contient des données d’identité et des données crypto. Ce mélange est plus sensible qu’une simple liste fiscale : il croise identité civile, activité crypto et valeur économique.
Pour un attaquant, il peut permettre de prioriser des victimes, de préparer des pressions, ou d’enrichir des données déjà disponibles ailleurs.
Les fuites étatiques massives en France (2024-2026)
| Date | Organisme | Victimes | Données exposées |
|---|---|---|---|
| Jan. 2024 | Viamedis + Almerys | 33 M | NIR + identité |
| Mars 2024 | France Travail | 43 M | NIR, adresse, téléphone, email |
| Fin 2025 | Cegedim Santé | 15 M | Identité + 169 000 dossiers médicaux |
| Jan. 2026 | FICOBA (DGFiP) | 1,2 M | RIB, IBAN, identité du titulaire |
| Avril 2026 | Méga-fuite gouvernementale | 19 M | Adresses, emails, téléphones |
| Mai 2026 | Almerys (nouveau) | 15,4 M | NIR, contrats, assureurs |
| Mai 2026 | DGSE (vol physique) | n.d. | Plans de commissariats + accès vidéoprotection Paris |
Le problème du maillon faible
DAC8 repose sur des administrations, systèmes, prestataires et agents différents. La sécurité de l’ensemble dépend de la résistance du maillon le plus faible. La vraie question n’est pas de savoir si les administrations ont l’intention de protéger les données, mais si chaque système connecté, chaque prestataire et chaque point d’accès humain tiendra dans la durée.
Une seule fuite peut suffire à transformer une obligation déclarative en outil d’identification criminelle.
Les accès internes comptent autant que le piratage
Le risque n’est pas limité à un hacker externe. Une base administrative peut être exposée par un accès interne abusif, une mauvaise configuration, un prestataire compromis ou une extraction illégitime.
Plus une base est partagée, plus elle crée de points d’accès humains et techniques. DAC8 et CARF multiplient les endroits où des données sensibles peuvent circuler, et augmentent donc cette surface d’exposition.
Quand la fuite crée l’attaque : le pattern documenté
Cas FFTir (octobre 2025). 250 000 tireurs sportifs et 750 000 anciens licenciés exposés sur le dark web. Le Parquet de Paris a confirmé que « ces données ont été utilisées pour commettre des vols par effraction ou par usage de fausse qualité » : entre 20 et 30 cambriolages / home-jackings en quelques semaines.
Cas Waltio (janvier 2026). Plateforme française de calcul fiscal crypto : ~50 000 utilisateurs exposés (emails, gains/pertes, indicateurs de valeur, identité). Les hackers ont revendiqué que ces données ont servi à au moins 3 enlèvements, totalisant plus de 17 M$ extorqués. Le Parquet de Paris a ouvert une enquête.
La corruption interne et les précédents étatiques
- Ghalia C. (DGFiP, janv. 2026) : une agente de la DIRCOFI de Bobigny écrouée pour avoir consulté et transmis des adresses et profils fiscaux à des malfaiteurs, en ciblant spécifiquement les investisseurs en cryptomonnaie. Le mode opératoire DAC8 reproduit exactement les conditions exploitées, mais au niveau européen.
- Equalize (Italie, 2024-2026) : des policiers ripoux ont accédé aux bases du fisc, de la police et des banques pour exfiltrer plus d’un million de dossiers, revendus ou utilisés pour du chantage. DAC8 multiplie par 27 les points d’entrée de ce type.
- NRA Bulgarie (2019) : les données fiscales de 5 à 7 millions de citoyens, la quasi-totalité de la population adulte, exfiltrées via des techniques « basiques ». Il suffit qu’une seule des 27 administrations soit le maillon faible.
Le Parisien, 26 nov. 2025 (FFTir) et janv. 2026 (Ghalia C.) · Cybernews, 9 fév. 2026 et Forbes, 14 fév. 2026 (Waltio) · Reuters / Euronews (Equalize) · Wikipedia & Reuters, 16 juillet 2019 (NRA Bulgarie).
La spécificité crypto
Une donnée crypto fuitée peut rester utile longtemps. Une adresse publique peut continuer à révéler des mouvements futurs si l’utilisateur ne parvient pas à compartimenter ou migrer proprement ses fonds.
La fuite ne se limite donc pas au passé : elle peut créer une surveillance permanente. Pour les données crypto, la conséquence peut aller au-delà du vol d’identité : elle peut permettre un ciblage physique.