Passeports, cartes d’identité, comptes bancaires : les données des Français vendues pour 5 dollars

Les essentiels de cette actualité

Deux cents gigaoctets. C’est le volume de données sensibles concernant des citoyens français actuellement proposé à la vente sur les circuits obscurs du cybercrime. Cartes nationales d’identité, passeports, coordonnées bancaires, documents KYC, ces dossiers complets qui permettent de vérifier une identité en ligne, circulent aujourd’hui librement, à cinq dollars pièce. Cinq dollars pour s’approprier l’identité d’un Français. Le prix d’un café.

Ce chiffre dit tout sur l’état de la protection des données personnelles en France. Non pas parce qu’il révèle un piratage spectaculaire, une attaque sophistiquée revendiquée par un groupe structuré, mais précisément parce qu’il n’y a rien de tel ici. Le vendeur n’est pas l’auteur des compromissions initiales. Il est simplement un maillon dans une chaîne déjà bien rodée : quelqu’un qui agrège, trie, reconditionne et revend des données déjà volées ailleurs, par d’autres, à d’autres moments. C’est cette banalité qui est alarmante.

🚨🇫🇷💸 ALERTE - Plus de 200 Go de documents sensibles français sont proposés à la vente, incluant CNI, passeports, IBAN et KYC. Une nouvelle illustration d’un phénomène massif de données compromises en France. pic.twitter.com/rngy8G2LKd

— Actu en Vif (@actuenvif) April 5, 2026

Un marché structuré, pas une anomalie

Ce que décrit cette mise en vente, c’est moins un incident qu’une infrastructure. Les données personnelles des Français ne sont plus simplement volées : elles sont industrialisées. Triées par type, conditionnées en lots, tarifiées selon leur utilité opérationnelle. Les documents d’identité combinés à des selfies de vérification KYC constituent le nec plus ultra de ce marché, parce qu’ils permettent de contourner les systèmes de validation de quasiment tous les services financiers numériques, néobanques, plateformes de cryptomonnaies, services de paiement en ligne.

Derrière chaque dossier vendu cinq dollars, il y a un citoyen ordinaire qui, à un moment donné, a confié ses documents à une plateforme, un prestataire ou un service administratif. Il pensait se soumettre à une obligation légale ou à une vérification légitime. Il ignorait qu’il alimentait, sans le savoir, un stock de données qui finirait, après plusieurs mains, dans une base de 200 Go proposée sur un forum spécialisé.

« Contrairement à un mot de passe, une pièce d’identité ne peut pas être changée facilement. L’impact peut donc durer plusieurs années ».

Cette observation, aussi sobre soit-elle, résume un drame silencieux. L’usurpation d’identité n’est pas une fraude dont on se remet en quelques semaines. C’est une contamination administrative qui peut s’étirer sur des années : crédits souscrits sous votre nom, comptes bancaires ouverts à votre insu, difficultés à prouver votre propre identité face à des administrations ou des créanciers. La victime, dans ce schéma, est doublement spoliée, d’abord de ses données, ensuite de son temps et de son énergie pour démêler les conséquences.

Ce qui aggrave la situation, c’est la nature même de l’écosystème dans lequel ces données circulent. Chaque fuite, même mineure, ne disparaît pas. Elle s’agrège à d’autres, grossit les bases existantes et accroît leur utilité ainsi que leur valeur pour des acteurs malveillants. C’est un effet boule de neige dont la dynamique échappe largement aux victimes comme aux autorités : on ne sait jamais exactement à quel moment, dans quel service, la fuite initiale s’est produite. La chaîne de compromission est, par construction, invisible.

La fragilité systémique d’une société numérisée sans garde-fous suffisants

La multiplication de ces incidents en France depuis plusieurs mois n’est pas le fruit du hasard. Elle révèle une fragilité structurelle dans la manière dont les données sensibles sont collectées, stockées et protégées par les acteurs privés comme publics. Des centaines de services compromis, des millions d’informations en circulation : ce n’est plus une question d’incidents ponctuels à traiter au cas par cas. C’est un problème systémique qui appelle une réponse à la hauteur.

Or, la réponse institutionnelle reste, pour l’heure, très insuffisante. On exige toujours plus de données aux citoyens, les procédures KYC se sont généralisées, imposées notamment par des réglementations européennes en matière de lutte contre le blanchiment, mais sans que les obligations de sécurité imposées aux collecteurs de ces données soient réellement à la hauteur des risques. On demande aux Français de prouver qui ils sont sans leur garantir que ces preuves resteront en sécurité.

La question n’est pas de refuser la numérisation des services ou de rejeter toute vérification d’identité en ligne. Elle est de s’interroger sur la disproportion entre l’appétit des acteurs privés et publics pour les données personnelles et les moyens réellement déployés pour les protéger. Combien de prestataires KYC sous-traitants, souvent domiciliés hors de France, opèrent avec des niveaux de sécurité insuffisants ? Combien d’entreprises collectent des passeports et des selfies sans que personne ne soit en mesure d’auditer sérieusement leurs pratiques de stockage ?

Ce n’est pas une question abstraite. C’est, très concrètement, ce qui explique que 200 Go de documents français se retrouvent aujourd’hui sur un forum de revente à cinq dollars le dossier. La souveraineté sur les données personnelles des citoyens, c’est aussi cela : savoir qui les collecte, dans quelles conditions, avec quelles garanties, et être capable de rendre des comptes lorsque la chaîne se rompt. Sur ce terrain, il reste beaucoup à construire.