Internet c’est pratique pour l’administratif mine de rien ! Plus besoin de paperasse à rallonge, de formulaires à transférer entre les services, moins de risques d’erreur liées à la recopie des papiers par les personnes en charge de remplir les dossiers, gain de temps pour remplir des formulaires etc.
Le revers de la médaille étant bien évidemment le stockage des informations sur des serveurs avec les risques de vol d’informations.
Le problème, c’est que le vol de données c’est pas simple à voir sur un serveur. Ce n’est pas comme voler chez quelqu’un, il n’y a pas forcément de trace d’effraction. Puis si la porte est laissée grande ouverte par inadvertance, personne ne peut savoir qu’il y a eu intrusion.
Évidemment, beaucoup de sites se font pirater. Certaines informations sont stockées sur des serveurs reliés à internet alors qu’ils ne devraient pas et des informations sensibles sont accessibles.
On oublie bien souvent que nos informations administratives sont également touchées par ces vols.
France Travail a été récemment touché par un acte de vol de données. Ce n’est pas la première fois et ça ne sera pas la dernière.
Cependant, ce qui me surprend toujours c’est la minimisation des risques qui entourent les données.
Je cite :
Parmi les éléments concernés, on trouverait notamment les « noms et prénoms, dates de naissance, identifiants France Travail, adresses mail et postale et numéros de téléphone ». Les données bancaires ne sont, elles, pas concernées, ajoute France Travail.
Comme si la seule donnée sensible était les données bancaires et que le reste n’avait pas vraiment d’importance.
C’est une phrase bateau qu’on retrouve souvent dans les communiqués envoyés afin de noyer le poisson et de minimiser la panique et la gravité de ces vols.
La vraie question c’est de savoir ce qu’on peut faire avec les autres données volées autres que les données bancaires !
Le risque principal reste le « phishing » ciblé.
Les pirates peuvent se servir des données volées pour envoyer des mails, SMS ou appels très crédibles, semblant venir de France Travail, d’une banque, d’un recruteur ou de tout autre organisme.
J’ai récemment été confronté à ce souci :
Je reçois un appel un jour, alors que j’étais au travail, d’un organisme disant être lié à ma mutuelle et que je devais voir avec eux pour une procédure afin de débloquer une option de remboursement sur mon compte.
Après quelques échanges, on me demande de confirmer certaines informations comme mon mail et autres, tout en me donnant des informations personnelles telle que mon organisme mutuelle, mon adresse postale, mon numéro de téléphone et d’autres infos qu’ils avaient. L’échange se poursuit un peu et on me dit qu’on va me mettre en communication avec un responsable pour la suite du dossier. On me rappelle certaines informations et on me demande finalement de « confirmer » mon RIB. La confirmation est évidemment fausse, ils voulaient que je leur donne mon RIB tout simplement.
Ce qu’on peut faire avec un RIB ? Des fraudes SEPA évidemment (des prélèvements sur votre compte sans autorisation SEPA), de l’usurpation d’identité bancaire et du phishing ciblé pour plus tard (en m’envoyant de fausses alertes en se faisant passer pour ma banque pour prélever de l’argent).
Évidemment, j’avais un doute, mais là clairement c’était du phishing. Ne jamais donner des informations personnelles de ce type par téléphone ! Je les ai bloqué et reporté en SPAM téléphonique.
J’ai attendu de voir comment l’échange allait se poursuivre en étant conscient que c’était potentiellement une arnaque car je suis méfiant et que je sais que ça existe.
Beaucoup de personne ne sont pas aussi méfiantes et peuvent clairement se faire avoir car on a l’interlocuteur met en confiance et semble de bonne foi, qu’il a réellement un dossier avec des informations qu’on a l’impression d’avoir déjà fournies, on ne se doute pas tout de suite que ça peut être une tentative d’escroquerie.
Le point d’entrée sensible : votre boîte mail
Vous n’imaginez pas à quel point votre boîte mail DOIT être très importante à sécuriser. Surtout si vous n’avez qu’une seule boîte mail.
Administrativement, même si c’est un peu en train de changer et de se sécuriser d’avantage, pour se connecter à vos comptes en lignes on peut utiliser :
- Votre adresse mail
- Votre numéro de téléphone
- Votre identifiant
Il faudra ensuite votre mot de passe. Ce mot de passe peut être modifié et récupéré via votre mail avec les options « mot de passe oublié ». Il suffira à quelqu’un d’avoir accès à votre boîte mail pour pourvoir absolument tout récupérer. C’est pour ça qu’il est important d’activer la double authentification : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/double-authentification
(ce n’est pas parfait mais c’est toujours mieux que rien !).
Si vous ne devez le faire que sur une chose, faites le pour votre boîte mail et choisissez un mot de passe fort ! (long, avec beaucoup de caractères, une phrase. C’est le nombre de caractères qui compte le plus dans la robustesse, minimum 16 caractères — https://nordpass.com/fr/blog/how-long-should-password-be/).
On m’a récemment partagé une astuce très intéressante : savez-vous que vous pouviez créer quasiment autant d’adresse mail que vous le souhaitez ? Pour cela, il faut utiliser des Alias, ce sont des dérivés de votre adresse mail qui permettent de vous inscrire facilement sur différents sites sans devoir utiliser votre adresse mail principale. Même si elle est liée à votre mail principal, quand il s’agira de données volées et réutilisées en masse, les pirates ne feront pas attention qu’il s’agit d’un alias.
L’astuce est donc de créer un alias pour chaque compte. Par exemple, pour vous inscrire sur Amazon, utilisez un alias avec le nom « amazon ».
Comme ça, si un jour vous recevez un mail de banque destiné à votre adresse mail contenant l’alias « amazon » vous saurez qu’il y a eu potentiellement une fuite de données chez Amazon et que le mail reçu est faux.
Autre risque, l’usurpation d’identité
Avec des informations comme le nom complet, l’adresse, la date de naissance et le numéro de sécurité sociale, les cybercriminels peuvent :
- Ouvrir des comptes bancaires ou des crédits à votre nom et vous endetter sans que vous ne le sachiez.
- Accéder à certains services publics ou privés à distance en se servant de vos vraies informations qui permettent de créer un compte et de récupérer ensuite de l’argent.
- Modifier des informations administratives (via des services en ligne comme Ameli, impots.gouv, etc.) et récupérer l’argent des droits.
Fraude sociale ou administrative
Les données peuvent être utilisées pour faire de fausses démarches auprès de services sociaux, comme la CAF, Pôle emploi, ou la Sécurité sociale.
L’argent sera ensuite reversé sur un compte bancaire qui n’est pas le votre.
Revente de données sur le dark web
Même si elles ne sont pas utilisées immédiatement, ces données peuvent être revendues à d’autres groupes cybercriminels.
Ces infos de masses serviront plus tard à du faux démarchages pour essayer de voler votre argent par des fausses campagnes de mail ou téléphoniques.
Le recoupement de données, la clé de voûte de toute bonne usurpation
Recouper les données c’est simplement rapprocher des données qui semblent être liées.
C’est de plus en plus simple avec la masse de données qu’on laisse sur internet, à partir d’un pseudo il est possible de retrouver une personne parfois.
Avec l’arrivée des outils d’IA ça sera encore plus simple et plus rapide de reconstituer des profils complets de personne avec des bribes d’informations disséminées de partout sur le net.
Ces informations, indépendamment les unes des autres, ne sont pas vraiment exploitables mais mises bout-à-bout permettent d’avoir la totalité des informations requises pour usurper l’identité de quelqu’un.
Un vol de données sur 2 sites internet sans aucun rapport l’un de l’autre peuvent être suffisant pour faire coïncider suffisamment d’informations.
Une minimisation des risques pour minimiser la panique
Minimiser la panique peut se comprendre, mais minimiser le risque, je ne suis pas d’accord.
Les différentes techniques employées :
- Dire qu’il ne s’agit que d’une simple « consultation » et non d’un « vol » de données :
la simple consultation par un tiers malveillant est déjà une violation grave. - Insister sur l’absence de données « sensibles » :
Cela relativise la gravité de la fuite, même si d’autres données personnelles (nom, e‑mail, date de naissance, statut professionnel) permettent déjà de mener des attaques sérieuses, comme le phishing ciblé ou l’usurpation d’identité. - Minimiser le nombre de personnes touchées :
Ils évitent parfois de rappeler que plusieurs attaques successives peuvent toucher des millions de personnes au total (ex. : France Travail en 2024 + 2025 = potentiellement plus de 43 millions cumulés). - Éviter de parler de conséquences concrètes :
Le discours officiel évite presque toujours les termes comme « usurpation d’identité », « fraude », « escroquerie », « phishing » etc.
À la place, on lit souvent :
« Nous n’avons à ce jour aucune preuve d’utilisation frauduleuse des données. » (exemple concret, autre exemple).
Mais cela ne signifie pas que le risque est inexistant, seulement qu’aucune victime ne s’est encore manifestée ou que la preuve est difficile à établir. - Communiqué rassurant, médiatisation contrôlée :
« Nous avons immédiatement pris les mesures nécessaires. », « Une enquête est en cours. », « La CNIL a été informée. »
Les administrations minimisent souvent les risques réels après une fuite de données par choix stratégique : elles communiquent de manière à protéger leur image, tout en respectant formellement la loi (notamment le RGPD qui impose une information des personnes concernées).
Mais la réalité technique est souvent bien plus grave que ce que le langage officiel laisse entendre.
Enquête et sanctions CNIL
La CNIL ouvre une enquête pour déterminer si l’organisme a :
- respecté le RGPD (Règlement général sur la protection des données),
- mis en place des mesures de sécurité suffisantes et proportionnées (article 32 du RGPD),
- notifié correctement les personnes concernées.
Si des manquements sont constatés, la CNIL peut prononcer :
- un avertissement,
- une mise en demeure (corriger la sécurité, revoir la gouvernance…),
- une amende administrative.
Les personnes atteintes par le vol de données, elles, ne gagnent souvent rien.
L’usurpation d’identité peut se faire avec moins de documents que ce que beaucoup de gens imaginent
Documents ou informations souvent suffisants pour une usurpation d’identité :
- Document d’identité officiel (ou une copie numérique) : Carte nationale d’identité (CNI), Passeport. Une simple photo ou scan suffit, surtout avec les services en ligne (banques, opérateurs télécom, etc.).
- Justificatif de domicile : Facture (électricité, gaz, téléphone, etc.), Avis d’imposition, Attestation d’hébergement.
Exemples concrets de fraude avec usurpation :
1. Ouvrir un compte bancaire en ligne
De nombreuses banques en lignepermettent une ouverture de compte avec :
- une pièce d’identité scannée,
- un justificatif de domicile,
- un selfie ou une vidéo de « vérification d’identité » (facilement contournable avec de fausses images ou des IA).
2. Souscrire un crédit à la consommation ou acheter un téléphone à crédit
Un fraudeur peut :
- utiliser vos infos + un faux RIB
- passer commande à votre nom
- laisser la dette à votre charge (jusqu’à contestation)
3. Informations personnelles clés
Même sans scan de documents, certaines informations personnelles suffisent parfois à créer un faux profil “crédible”, notamment pour les services automatisés :
- Nom et prénom
- Date et lieu de naissance
- Adresse postale
- Numéro de téléphone
- Adresse e‑mail
- Numéro de sécurité sociale (NIR)
- Situation professionnelle (ex : demandeur d’emploi, salarié)
Ces données sont souvent présentes dans des bases piratées, comme celles de France Travail.
4. Créer des comptes administratifs (Ameli, impots.gouv, CAF)
- Accès à vos droits sociaux
- Détournement de prestations
- Modification d’informations personnelles
Un risque négligé : les dossiers de bailleur
Les dossiers locatifs exigés par de nombreux bailleurs (particuliers ou agences) contiennent exactement les pièces nécessaires à une usurpation d’identité complète.
➔ Ce qu’un bailleur demande souvent pour un dossier de location :
- Pièce d’identité (CNI, passeport, permis)
- Justificatif de domicile actuel
- Trois dernières fiches de paie ou attestation Pôle emploi
- Avis d’imposition
- Relevé d’identité bancaire (RIB)
- Contrat de travail ou attestation de l’employeur
- Justificatif de situation professionnelle ou de revenus (CAF, France Travail, etc.)
➔ Que peut faire un fraudeur avec ce dossier ?
Ces documents cumulés permettent de :
- Usurper complètement l’identité de la personne (nom, adresse, emploi, signature, NIR, etc.)
- Ouvrir des comptes bancaires ou souscrire à des crédits
- Déclarer de fausses situations sociales (CAF, RSA, etc.)
- Accéder à des services publics (Ameli, FranceConnect, etc.)
- Créer de fausses sociétés ou déclarations d’auto-entrepreneurs
- Faire du blanchiment d’argent ou sous-louer illégalement un logement en se faisant passer pour le locataire
Votre fiche de paie contient énormément d’informations personnelles telles que votre numéro de sécurité sociale, votre adresse, vos noms et prénoms.
Le problème : l’envoi de ces dossiers n’est pas encadré ni sécurisé
- Beaucoup de locataires envoient leur dossier par e-mail, via des plateformes peu fiables, ou à des inconnus sur des sites d’annonces (ex : LeBonCoin, PAP, Facebook).
- Il n’est pas rare que de faux bailleurs publient de fausses annonces uniquement pour collecter des dizaines de dossiers contenant des pièces sensibles.
- Il n’y a aucune obligation légale pour le bailleur de prouver son identité ou son intention réelle de louer.
Une personne voit une annonce d’un logement intéressant, contact l’annonceur qui lui demande d’envoyer un dossier complet afin de faire sa sélection avant que la personne ne puisse voir le logement. La personne se sent obligée de fournir l’ensemble des documents pour attester sa bonne foi en voulant maximiser les chances d’avoir le logement et fait donc la démarche comme c’est souvent demandé et se fait voler son identité.
J’avais contacté la Banque de France il y a quelques années pour justement avoir des informations sur cette pratique, mon interlocuteur m’avait dit qu’il y avait énormément de fraudes et de cas de vols de données suite à ce genre de pratique.
Ce n’est malheureusement pas illégal de demander autant d’informations pour un bailleur. Par contre il existe des techniques pour se protéger.
Principes de base pour sécuriser vos documents
| Bonne pratique | Détail |
|---|---|
| Floutez les données non nécessaires | Gardez seulement ce qui est strictement demandé |
| Ajoutez un filigrane ou une mention | Ex : « Transmis uniquement pour location – Nom du destinataire – Date » |
| Envoyez via un lien sécurisé ou PDF protégé ou via un lien temporaire avec expiration | Évitez les pièces jointes brutes en e-mail |
| Ne transmettez jamais tout le dossier d’un coup | Demandez d’abord des preuves de légitimité du demandeur |
Ce que vous pouvez masquer légalement (ou restreindre)
| Document | Ce que vous pouvez masquer sans que ce soit illégal |
|---|---|
| Carte d’identité / passeport | Numéro du document, date d’expiration, lieu de délivrance |
| Avis d’imposition | Numéro fiscal, revenu global, nombre de parts, NIR |
| Fiche de paie | Numéro de sécurité sociale, SIRET de l’entreprise, montant exact du salaire si le bailleur demande juste une estimation |
| RIB | Code IBAN partiellement masqué (derniers chiffres floutés) |
| Justificatif de domicile | Numéro client, référence de contrat, QR code (électricité, téléphone) |
| Attestation Pôle emploi / CAF | Numéro allocataire, montant exact des aides, code d’accès personnel |
| Contrat de travail | SIRET, coordonnées RH, clauses sensibles ou confidentielles |
Vous devez laisser visibles les éléments qui prouvent la cohérence de votre situation (nom, adresse, employeur, date), mais vous pouvez masquer toute donnée numérique pouvant être utilisée pour une fraude.
L’apposition d’un filigrane peut également être un atout même s’ils sont de plus en plus simples à enlever avec les IA. Si jamais, un outil du gouvernement existe : https://filigrane.beta.gouv.fr/
Il est possible de le faire vous-même avec un logiciel pour PDF ou d’images.
Demandez la légitimité du destinataire
Avant d’envoyer quoi que ce soit, vous avez le droit d’exiger :
- Une copie de la pièce d’identité du bailleur
- Un titre de propriété ou taxe foncière
- Un RIB du bailleur à son nom
- Un mandat de gestion (si c’est une agence)
Si la personne refuse de vous fournir ces preuves mais exige vos documents complets, c’est un signal d’alerte fort.
Vous pouvez également vérifier si des comptes à votre nom ne sont pas ouverts via le fichier FICOBA (Fichier des Comptes Bancaires) : https://www.cnil.fr/fr/saisir-la-cnil/ficoba-fichier-national-des-comptes-bancaires-et-assimiles
