Si vous avez vu les mots fuite de données, data breach ou piraté dans l'actualité récemment, vous n'êtes pas seul — les annonces de fuites sont devenues quasi hebdomadaires, et les recherches Google le reflètent. Ce guide explique ce qu'est vraiment une fuite, pourquoi cela continue, ce qui est volé, ce que vous pouvez faire et une réponse structurelle dont on ne parle pas assez : les applis qui n'envoient pas vos données quelque part ne peuvent pas les laisser fuiter.
Ce qu'est vraiment une fuite de données
Une fuite de données est un incident où des informations stockées par une organisation sont consultées, copiées ou divulguées par quelqu'un qui n'avait pas l'autorisation de les voir. L'information peut être des dossiers clients, des fichiers de paie, des numéros de carte bancaire, des hash de mots de passe, des documents internes ou des données personnelles sensibles comme des dossiers médicaux et des adresses.
Le mécanisme technique varie — un mot de passe volé, un serveur non patché, un bucket cloud mal configuré, un employé malveillant, un email de phishing donnant aux attaquants une porte d'entrée. La définition légale varie selon la juridiction (RGPD, CCPA, HIPAA tracent la ligne différemment). Mais le sens courant est le même : des données censées rester privées ne le sont plus.
Pourquoi les fuites continuent
Le nombre de fuites par an a augmenté presque chaque année depuis dix ans. Les raisons structurelles ne sont pas glamour :
- Tout est stocké dans le cloud désormais. Les entreprises qui conservaient les dossiers clients en local les conservent maintenant dans des buckets S3, des bases gérées et des dashboards SaaS. La surface d'attaque grandit à chaque intégration.
- Les identifiants sont le maillon faible. La plupart des fuites commencent par un seul mot de passe compromis. L'authentification multifacteur aide, mais l'adoption est inégale et la 2FA par SMS est elle-même attaquable.
- Fournisseurs et chaîne de sous-traitance. Vos données sont à risque non seulement chez l'entreprise où vous vous êtes inscrit, mais chez chaque prestataire avec qui elle les partage — plateformes d'analytique, processeurs de paiement, outils support, partenaires pub. Chacun est un vecteur de fuite.
- La détection prend des mois. La moyenne du secteur entre compromission initiale et détection tourne autour de 200 jours. Six mois pendant lesquels un attaquant exfiltre tranquillement les données avant que quelqu'un s'en aperçoive.
- Les amendes sont souvent inférieures à la valeur des données. Une fuite coûte en moyenne 4-5 M USD en nettoyage et amendes. La valeur à vie des données, surtout si elles sont réutilisées pour de la fraude, est souvent supérieure. L'économie ne décourage pas assez fortement la mauvaise sécurité.
Quels types de données sont volés
Toutes les données volées ne sont pas aussi nuisibles. Approximativement par ordre de problèmes qu'un enregistrement fuité peut vous causer :
| Type de données | Pourquoi c'est grave si ça fuite |
|---|---|
| Documents d'identité | Passeport, CNI, numéro de permis. Utilisés pour usurpation. Les plus durs à changer. |
| Données financières | Numéros de carte, coordonnées bancaires, historique de transactions. Généralement directement monétisables. |
| Mots de passe (hashés ou en clair) | Réutilisés entre sites. Un mot de passe fuité → attaques de credential stuffing sur tous les autres comptes l'utilisant. |
| Coordonnées personnelles | Combinaisons email + téléphone + nom + adresse. Utilisées pour phishing, fraude SMS, doxxing. |
| Dossiers médicaux / santé | Sensibles et durables — votre historique médical ne change pas. Utilisés pour fraude à l'assurance et arnaques ciblées. |
| Données comportementales | Historique de navigation, traces de localisation, usage d'apps. Utilisées pour construire des profils pour ciblage publicitaire, arnaques ou harcèlement. |
Ce que vous pouvez réellement faire
La plupart des conseils sur ce sujet sont soit inutiles ("ne vous faites pas hacker") soit écrasants ("changez tous vos mots de passe demain"). La liste pragmatique :
- Utilisez un gestionnaire de mots de passe. Un mot de passe fort et unique par site, généré et mémorisé par le gestionnaire. Cette seule étape neutralise la plupart des attaques de credential stuffing. 1Password, Bitwarden et KeePass sont solides.
- Activez le 2FA, préférez l'app. Les codes d'app authentificatrice (TOTP) ou les clés de sécurité physiques battent largement le SMS. Le SMS vaut mieux que rien, mais les attaques de SIM-swap le contournent.
- Utilisez Have I Been Pwned. Service gratuit qui vous dit dans quelles fuites votre email est apparu. Inscrivez-vous aux alertes ; changez les mots de passe affectés.
- Réduisez le nombre de comptes que vous avez. Chaque compte est un vecteur de fuite. Supprimez ceux que vous n'utilisez plus. Ne vous inscrivez pas juste pour lire un article.
- Préférez les outils offline quand vous pouvez. Si une tâche peut se faire sans envoyer de données à un service cloud, faites comme ça. C'est le correctif structurel — voir section suivante.
La réponse structurelle : applis offline-first
La plupart des données personnelles finissent dans une fuite parce qu'elles ont d'abord été envoyées à un serveur. Un éditeur photo qui charge vos photos pour les "améliorer". Une appli calculatrice qui envoie de l'analytique d'usage. Un traducteur qui logge chaque mot recherché. Un dictionnaire qui exige un compte.
La réponse structurelle est d'utiliser des applis qui n'envoient pas vos données quelque part. Calculs, recherches dans le dictionnaire, édition PDF, verrouillage d'écran, enregistrement vocal — tout peut se faire entièrement sur votre appareil. Si l'appli n'a jamais vos données, la prochaine fuite ne peut pas les contenir.
C'est le principe derrière chaque appli du catalogue NDT Studio. Nos 45 dictionnaires offline ne demandent pas de compte. Notre calculateur IMC, nos outils PDF et nos applis utilitaires fonctionnent sans connexion internet et ne synchronisent pas vos données vers un serveur. Pas par principe extraordinaire, mais parce que l'architecture est la plus simple : pas de serveur, pas de fuite.
Voir les applis offline
Nous maintenons 61 applis offline gratuites pour Android et iOS — couvrant plus de 45 langues, plus des utilitaires. Aucune ne demande de compte ; aucune n'envoie votre usage. Voir le catalogue complet pour découvrir des remplacements aux versions cloud-dépendantes que vous utilisez peut-être.
Voir toutes les applis NDT Studio →FAQ rapide
Comment savoir si mes données étaient dans une fuite ?
L'outil le plus simple est Have I Been Pwned (haveibeenpwned.com). Vous entrez votre email ; le service le croise avec les bases connues d'identifiants fuités. Inscrivez-vous au service de notification par email pour être alerté quand de futures fuites vous incluent. Géré par Troy Hunt, gratuit pour de vrai.
Si une entreprise a mes données et se fait pirater, ai-je droit à quelque chose ?
Cela dépend entièrement de votre juridiction et de la taille de la fuite. Aux États-Unis, les recours collectifs versent parfois 5-200 USD par personne affectée, généralement après un an de paperasse. Dans l'UE, le RGPD oblige l'entreprise à vous notifier sous 72 heures et peut vous donner des protections supplémentaires, mais les versements en cash aux particuliers sont rares. L'attente réaliste : on peut vous offrir un an de surveillance de crédit gratuite. La vraie valeur, c'est de changer les mots de passe utilisés sur le service compromis.
Utiliser des applis offline est-il vraiment plus sûr ou c'est juste du marketing ?
C'est vraiment plus sûr pour le risque spécifique des fuites de données. Une appli offline ne peut pas laisser fuiter des données qu'elle n'a pas. Cela dit, les applis offline peuvent avoir d'autres vulnérabilités — elles peuvent être backdoorées par le développeur, contenir des bibliothèques infectées, ou collecter des données et les téléverser plus tard. Le bon test n'est pas "est-ce offline" mais "transmet-elle des données personnelles". Vérifiez la politique de confidentialité et les permissions réseau avant d'installer.
Les fuites continueront — les causes structurelles ne s'améliorent pas. La stratégie réaliste est de réduire la surface : moins de comptes, des mots de passe plus forts, 2FA partout où possible et préférence pour des outils fonctionnant sans téléverser votre info. Les applis offline-first sont la version la plus simple de ce principe, et il se trouve que c'est tout ce qu'on fait chez NDT Studio.