Trois vols de données par jour. C’est le chiffre que le Premier ministre lui-même a fini par lâcher. Derrière le vocabulaire rassurant de la « souveraineté numérique », la France vit en réalité l’une des plus longues hémorragies de données publiques de son histoire récente, et personne, en haut, ne semble en mesure de poser un garrot.
I. Tchap, ou le symbole qui fuit
Il fallait un coupable idéal, et le hasard l’a fourni. Tchap, c’est la messagerie que l’État s’est offerte pour échapper à WhatsApp et Telegram. L’outil « souverain », chiffré de bout en bout, hébergé sur le cloud du ministère de l’Intérieur, présenté comme la preuve qu’on pouvait communiquer entre agents publics sans confier ses secrets à des serveurs américains ou russes. Une circulaire de Matignon, signée en juillet 2025, en avait même rendu l’usage obligatoire à partir de la rentrée.
Et c’est précisément cet outil-là qui se retrouve aujourd’hui au cœur d’une fuite alléguée vertigineuse : 73 467 comptes d’agents de l’État, 643 459 messages, 876 salons de discussion, 59 386 médias, soit 13,5 gigaoctets au total. Parmi eux, des documents estampillés « Diffusion Restreinte ». La mécanique de l’attaque est presque banale dans sa simplicité : un point d’accès de recherche d’annuaire mal protégé, qui permettait d’énumérer les utilisateurs à travers plusieurs partitions de la plateforme. Pas un exploit de génie. Une porte laissée entrouverte.
Trois fois la même famille de défaillance, sur l’outil censé incarner la maîtrise de l’État sur ses propres flux. Quand le symbole de la souveraineté numérique fuit avec cette régularité, ce n’est plus un incident. C’est un aveu.
Le détail qui tue : ce n’est pas la première fois. En 2019, un lanceur d’alerte mettait déjà au jour une faille de contrôle d’accès, corrigée, il est vrai, en un peu plus d’une heure. En 2024, un bug permettait à des intrus de s’inviter dans les conversations. En 2026, l’énumération d’utilisateurs.
II. Le bilan que personne ne voulait additionner
Tchap n’est que la pointe émergée. Pris isolément, chaque incident peut passer pour un accident. Mis bout à bout, ils dessinent autre chose : un effondrement systémique.
Depuis le début de l’année 2026, le compteur affole : plus de 300 services français touchés, 23 millions de comptes compromis, 250 millions de données exposées. Le seul mois d’avril a concentré une rafale d’incidents majeurs, à un rythme que l’administration n’a jamais su suivre.
État des lieux des fuites de données publiques en France
| Date | Service / organisme | Volume annoncé | Nature des données |
|---|---|---|---|
| Juin 2026 | Tchap | 73 467 agents + 643 459 messages | Messagerie interministérielle, salons publics, documents, mention « Diffusion Restreinte » |
| 15 avril 2026 | ANTS / France Titres | 18–19 millions d’identités | Cartes d’identité, passeports, permis |
| 12 avril 2026 | ÉduConnect | 3,5 M d’élèves + 7,2 M de bulletins | Données scolaires, identité (mineurs) |
| 5 avril 2026 | 8 ARS (groupe DumpSec) | 35 millions de dossiers médicaux | Dossiers patients, 130 hôpitaux, données bancaires |
| 24 avril 2026 | ASP | Non quantifié | Noms, adresses, IBAN, NIR, aides perçues |
| 24 avril 2026 | ANFR | 330 000 personnes | Identité, adresses, dates de naissance |
| 21 janvier 2026 | Ficoba | 1,2 million de comptes bancaires | RIB/IBAN, identité, identifiant fiscal |
| Janvier 2026 | Choisir le service public | 377 418 candidats | Identité, coordonnées, diplômes |
| Janvier 2026 | OFII / ANEF | 2,1 millions de lignes | Parcours, coordonnées de ressortissants étrangers |
| Novembre 2025 | Resana | Non communiqué | Données d’agents, exfiltration via compte compromis |
Derrière la froideur du tableau, mesurons ce qu’il faut bien appeler la valeur unitaire de l’humiliation. Trente-cinq millions de dossiers médicaux, soit le secret le plus intime qui soit, dispersé via les agences régionales de santé. Près de dix-neuf millions de pièces d’identité civiles, de quoi industrialiser l’usurpation. Et, plus glaçant encore, trois millions et demi d’élèves mineurs, fichés avec leurs bulletins, leurs identités, leurs résultats. L’État n’a pas seulement laissé filer des données d’adultes consentants à la vie administrative : il a exposé des enfants.
La CNIL, de son côté, tient la comptabilité du désastre. 6 167 violations enregistrées en 2025, record absolu, en hausse de 9,5 % sur un an et de 50 % sur trois ans. La moitié sont des piratages, et ils visent en priorité administrations, santé et finances. Le premier trimestre 2026 affichait déjà 2 730 violations. Le secteur public, qui pèse environ 19 % des signalements à la CNIL, monte à 40 % des incidents recensés par les observateurs indépendants, soit 225 millions de données publiques exposées sur un total estimé à 370 millions.
III. Deuxième sur le podium mondial, et personne n’applaudit
Il existe un classement où la France excelle, et c’est le pire qui soit. Au premier trimestre 2026, elle se hisse au deuxième rang mondial des pays les plus touchés par les fuites de données, juste derrière les États-Unis : 23,5 millions de comptes compromis, contre 60,3 millions outre-Atlantique. Ce n’est pas un accident statistique de trimestre : au deuxième trimestre 2025, la France occupait déjà la même marche du podium, devant l’Inde.
Un Français « moyen » aurait déjà vu ses données filer une dizaine de fois !
Rapporté à la population connectée, le chiffre devient personnel. Plus de 3 % des internautes français touchés au premier semestre 2025, un ratio sans commune mesure avec celui des États-Unis, où l’on compte environ huit personnes affectées pour mille. Statistiquement, un Français « moyen » aurait déjà vu ses données filer une dizaine de fois. La fuite n’est plus l’exception subie par quelques malchanceux. Elle est devenue la condition par défaut du citoyen numérisé.
Et la France ne souffre pas seule. À l’échelle européenne, les notifications de violations ont bondi de 22 % en 2025, soit 443 incidents par jour en moyenne. Les Pays-Bas en ont déclaré près de 40 000 sur l’année, l’Allemagne plus de 34 000, la Pologne 19 000. La différence, c’est que peu de ces voisins avaient fait de la souveraineté numérique un argument politique aussi central, et donc une promesse aussi exposée au démenti.
IV. Anatomie d’une défaillance ordinaire
Comment en arrive-t-on là ? La tentation serait d’imaginer des assaillants surdoués perçant des forteresses. La réalité est plus banale et plus accablante : on entre, le plus souvent, par les portes que l’administration a oublié de fermer.
Le premier vecteur, et de loin, c’est le sous-traitant. Dans 42 % des cas, l’attaque contre une administration passe par la compromission d’un prestataire, le maillon que l’on certifie au moment de signer le contrat, puis que l’on cesse d’auditer. Viennent ensuite les comptes utilisateurs compromis : téléphone perdu ou volé, identifiants récupérés, mots de passe trop faibles. Puis les failles de contrôle d’accès, ce péché récurrent de Tchap. Et, en toile de fond, ce que le ministre de l’Intérieur lui-même a fini par nommer : un « manque d’hygiène informatique ».
Le cas Tchap concentre la leçon. L’architecture décentralisée, fondée sur le protocole ouvert Matrix, n’était pas le problème en soi : l’open source n’a jamais été synonyme d’insécurité. Le problème, c’est l’endpoint d’annuaire laissé accessible, qui transformait un protocole respectable en machine à énumérer les agents de l’État. La technologie n’a pas trahi. C’est l’exploitation qui a failli.
L’ANSSI, dans sa feuille de route publiée le 9 avril 2026, ne se cache plus derrière les éléments de langage : elle reconnaît noir sur blanc la « persistance de vulnérabilités graves » dans les infrastructures de l’État. Quand l’agence chargée de la cyberdéfense décrit ainsi son propre périmètre, le débat sur la souveraineté est tranché, par défaut.
V. Les corps, pas les colonnes Excel
Il y a une obscénité à ne parler que de volumes. Derrière les millions de lignes, il y a des conséquences qui se mesurent en effractions, en chantages, en vies retournées.
Depuis la fuite Resana de novembre 2025, des agents de l’État font l’objet de campagnes de chantage en règle. Près de 60 000 gendarmes se sont retrouvés exposés après la republication de ces données ; 243 000 agents de l’Éducation nationale victimes d’une autre fuite. Et tous découvrent qu’aucune disposition ne protège ceux dont les données sont déjà volées, une fois qu’ils sont happés par l’engrenage administratif de l’usurpation d’identité.
Côté citoyens, le concret est parfois littéralement criminel. La fuite du fichier de la Fédération française de tir (un million d’adhérents) a fourni aux cambrioleurs une carte au trésor : où trouver des armes à feu, à quelle adresse. Des effractions ciblées ont suivi, à Paris, Nice, Limoges, Lyon. La donnée volée ne reste pas sur un forum du dark web ; elle redescend dans la rue, sous forme de portes fracturées.
La députée Marie-Agnès Poussier-Winsback a posé la question qui dérange : que fait l’État pour les Français dont les données sont déjà dans la nature ? Sa formule mérite d’être retenue, parce qu’elle inverse la charge : le contrat numérique entre l’État et le citoyen « ne peut pas être à sens unique ». On exige du citoyen qu’il se numérise : déclare, scanne, téléverse, identifie. On lui doit, en retour, de protéger ce qu’il confie. Pour l’heure, seule la première moitié du contrat est honorée.
VI. Ce qui devrait changer, et que tout le monde connaît déjà
Le plus désespérant, dans cette affaire, c’est qu’il n’y a aucun mystère sur les remèdes. Aucune révolution technologique à attendre. Les principes sont connus, enseignés, normalisés depuis des années. Ce qui manque, ce n’est pas le savoir : c’est la volonté de l’appliquer.
L’authentification multifacteur devrait être imposée, pas suggérée : rendue systématique pour tout accès administratif, conditionnée au risque (lieu, appareil, horaire), et le mot de passe seul banni des comptes critiques. L’architecture devrait basculer vers le « zéro confiance » : vérification continue, micro-segmentation isolant les services les plus sensibles (ANTS, Ficoba, ARS) et défense en profondeur, en couches indépendantes, pour qu’une brèche n’ouvre pas tout le bâtiment. Le moindre privilège devrait être la règle : aucun compte ne détient tous les droits, les élévations sont temporaires et accordées à la demande, et aucun utilisateur unique ne contrôle l’ensemble d’un flux.
Vient ensuite ce qui aurait dû exister avant même les fuites : une journalisation centralisée de tous les accès, transferts et modifications ; une analyse en temps réel capable de repérer l’anomalie comportementale ; et, pour le cas Tchap précisément, la détection et le blocage des endpoints d’énumération non autorisés. Quand l’incident survient malgré tout, c’est la réponse qui distingue l’État sérieux de l’État dépassé : des playbooks prédéfinis par type de fuite, une notification des victimes sous 72 heures, un confinement automatique des systèmes compromis, et une analyse de cause post-incident débouchant sur une correction systémique, pas un communiqué.
Tout cela suppose enfin une hygiène opérationnelle qui ne soit pas un slogan : formation continue de chaque agent et de chaque sous-traitant, tests d’intrusion au moins deux fois par an, audits tiers indépendants, et un contrôle réel des prestataires, celui-là même qui,
dans 42 % des cas, sert de porte d’entrée.
Reste l’arme réglementaire. La CNIL annonce pour 2026 consacrer la moitié de ses contrôles et de son action répressive à la sécurité des données, après 486,8 millions d’euros de sanctions prononcées en 2025. Des sanctions plus lourdes, une pression accrue sur tous ceux qui stockent de l’information. C’est nécessaire. Mais frapper au portefeuille les organismes négligents ne rendra pas leur intimité aux 35 millions de patients déjà exposés, ni leur tranquillité aux gendarmes faisant l’objet de chantage. La sanction punit. Elle ne répare pas.
Épilogue : la souveraineté n’est pas un logo
On peut héberger ses serveurs en France, choisir un protocole ouvert, signer des circulaires impératives et baptiser son application d’un nom qui claque. Rien de tout cela ne fabrique de la sécurité. La souveraineté numérique n’est pas une étiquette que l’on colle sur une infrastructure ; c’est une discipline quotidienne, ennuyeuse, coûteuse, faite de mises à jour, d’audits et de portes fermées à clé. La France a voulu la souveraineté comme un emblème. Elle découvre, fuite après fuite, qu’elle se gagne comme une corvée. Trois vols de données par jour : c’est le prix, chiffré, d’une promesse qu’on a faite avec les mots, et qu’on n’a jamais tenue avec les actes.
Sources
- Fuite de données Tchap, 73 467 clients exposés, frenchbreaches.com/alertes/tchap-mq4aeab2jsbmxt87pgb
- Alerte : la messagerie gouvernementale Tchap serait visée, x.com/seblatombe/status/2063849753448784267
- Alleged Exposure of Tchap Government Messaging Platform Data, x.com/DailyDarkWeb/status/2063907120110526945
- Sénat, bilan début 2026 (300+ services, 23 M comptes), senat.fr/leg/ppr25-595.pdf
- Le Monde, « Le contrat numérique entre l’État et le citoyen ne peut pas être à sens unique », lemonde.fr (28 mai 2026)
- Banque des Territoires, « Choisir le service public » et Ficoba victimes de fuites, banquedesterritoires.fr
- Infinity Area, Piratage OFII 2026, 2,1 millions de données, infinity-area.com
- Numerama, Chantage sur des agents de l’État, données Resana exfiltrées, numerama.com/cyberguerre
- 01net, Fuite de données ASP, 01net.com
- Assemblée nationale, 6 167 violations CNIL 2025, record absolu, questions.assemblee-nationale.fr/q17/17-15645QE.htm
- CFDT-UFETAM / Admisconcours, rapport CNIL 2025, +9,5 %, admisconcours.fr
- DailyTrend, Cybersécurité État 2026, 230 incidents, 370 M données, dailytrend.fr
- BDM, France 2e pays le plus ciblé (Surfshark Q2 2025), blogdumoderateur.com
- DailyDigital, Violations de données 2026, top pays victimes, dailydigital.fr
- InformatiqueNews, France pays européen le plus touché en 2025, informatiquenews.fr
- Le Monde, Les ministères devront adopter Tchap dès la rentrée 2025, lemonde.fr/pixels
- Challenges, Tchap avait un bug permettant à des intrus d’y pénétrer, challenges.fr
- Futura Sciences, Tchap, déjà une faille de sécurité en 2019, futura-sciences.com
- IT-Connect, ANSSI, feuille de route 2026-2027, vulnérabilités graves, it-connect.fr
Les liens ci-dessus ont servi de sources lors de la rédaction de cet article. Leur disponibilité dans le temps n’est pas garantie : si un lien figure ici, c’est qu’il existait et a contribué à notre travail au moment de la publication.