● 01net 📅 10/04/2026 à 09:00

4,5 millions d’adresses e-mail exposées : une fuite massive frappe la France, des ministères et des ambassades touchés

Cybersécurité 👤 Florian Bayard
Illustration
© Unsplash Une erreur vient d’exposer 4,5 millions d’adresses e-mail appartenant à de grandes entreprises françaises, comme Renault ou Carrefour, et à des institutions du gouvernement. Laissée en accès libre sur Internet, une base de données a divulgué une montagne de données sensibles. Fin février 2026, les chercheurs de Cybernews ont fait une découverte alarmante sur Internet. Comme ça arrive trop souvent, les chercheurs ont mis la main sur une base de données accessible sans aucune protection, sans aucune demande de mot de passe, et sans authentification. N’importe quel internaute pouvait pénétrer dans le répertoire pour y piocher des données. Dans la base, les chercheurs ont trouvé plus de 40 millions d’enregistrements SMTP (Simple Mail Transfer Protocol), relatifs au protocole qui permet à un domaine d’envoyer et de recevoir des e-mails de façon sécurisée. Après enquête, le média spécialisé est parvenu à remonter jusqu’au propriétaire du répertoire. Il s’agit d’Alinto, une entreprise lyonnaise spécialisée dans les solutions de messagerie pour les entreprises et les institutions. Le serveur vulnérable hébergeait notamment Cleanmail.eu, le service de relais sécurisé de messagerie d’Alinto. À lire aussi : Fuite de données – la CNIL dévoile les cibles de ses prochains contrôles Renault, DHL, des ministères… une longue liste de victimes françaises Dans la base de données, les chercheurs ont débusqué des informations sur une longue liste d’organisations françaises. Le rapport du média explique avoir déniché les métadonnées des échanges par mail de L’Oréal, Renault, Carrefour, Hermès et DHL. Tous ces groupes s’appuient sur les solutions d’Alinto pour gérer tout ou partie de leur messagerie professionnelle. Au sein du répertoire, les experts ont aussi découvert au moins 14 000 adresses e-mail uniques appartenant à des institutions de l’État français. Des ministères, des communes, des collectivités locales, et des ambassades de France réparties dans le monde entier sont répertoriées. Au total, ce sont 4,5 millions d’adresses e-mail uniques, à la fois professionelles et personnelles, qui ont été recensées par les chercheurs. Les documents exposés, « provenant des secteurs public et privé, faisaient référence à des courriels accessibles au public ainsi qu’à des courriels liés à des employés spécifiques », souligne l’enquête. À lire aussi : Nouvelle fuite de données en France – la plateforme de vérification d’identité Sumsub a été piratée Quelles données ont été exposées ? Parmi les données accessibles dans les enregistrements SMTP, on trouvait l’adresse e-mail de l’expéditeur et du destinataire (et les éventuels destinataires en copie), la date et l’heure exacte d’envoi, l’objet du message, l’itinéraire des serveurs par lesquels le message est passé, avec horodatage à chaque étape, et l’adresse IP. Les chercheurs soulignent cependant que le contenu des e-mails n’a pas été exposé. Néanmoins, la base de données reste une mine d’or pour les cybercriminels qui voudraient orchestrer des cyberattaques. Comme l’expliquent les chercheurs à l’origine de l’enquête, « connaître les adresses qui communiquent entre elles et à quels moments révèle des données comportementales susceptibles de faciliter d’autres attaques ». En exploitant les données, il est possible d’usurper « l’identité d’un contact habituel, ou envoyer des communications au moment précis où elles sont attendues ». En analysant qui envoie des messages à qui, à quelle fréquence et à quel moment de l’année, un attaquant peut aussi reconstituer l’organigramme d’une entreprise, identifier les décideurs clés, anticiper des lancements de produits ou détecter des partenariats encore confidentiels. Les métadonnées peuvent donc servir à des opérations d’espionnage industriel. « Parce qu’Alinto fournit des solutions de gestion de messagerie, l’exposition du trafic e-mail de ses entreprises clientes élargit considérablement la surface d’attaque potentielle — ne serait-ce qu’en raison du nombre de clients concernés — par rapport à une fuite qui n’affecterait que quelques entreprises échangeant entre elles », explique CyberNews. Le lendemain de la découverte de CyberNews, Alinto a corrigé le tir. La base de données n’est désormais plus accessible à n’importe quel internaute. L’enquête ne précise pas si les données ont pu être récupérées par des cybercriminels. Cependant, on ignore pendant combien de temps cette base de données est restée accessible à n’importe qui sur Internet, ni ce qui a pu se passer durant ce laps de temps. Il n’est pas impossible que les informations aient été collectées par des tiers avant qu’Alinto ne sécurise le serveur. Cette fuite accidentelle contribue néanmoins à accroître la menace qui plane sur les institutions et les entreprises françaises, déjà dans le colimateur des pirates depuis des mois. C’est loin d’être la première fois que CyberNews débusque une base de données laissée en accès libre sur Internet. Ces derniers mois, le média spécialisé a déjà mis la main sur une base de données appartenant à IDMerit, spécialiste de la vérification d’identité (KYC), ainsi que sur un répertoire de 150 Go contenant 3 milliards d’adresses e-mail uniques. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. Source : CyberNews fuite d'informationsfuite de donnéesFuite de donnees personnelles Florian Bayard Sur le même sujet Fuite de données : la CNIL dévoile les cibles de ses prochains contrôles Une fuite de données frappe KFC France, les informations des clients ont été compromises Les données de 60 000 armes à feu ont été dérobées en France, quels sont les risques ? La Commission européenne a été piratée : c’est déjà la 2ᵉ cyberattaque de 2026 Meilleur antivirus 2026 : quel est le meilleur choix ? Quel est le meilleur VPN ? Comparatif des meilleurs stockages cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes Meilleur gestionnaire de mots de passe : le guide en avril 2026 Meilleur VPN gratuit : 7 services à choisir et 2 à fuir Les dernières actualités 4,5 millions d’adresses e-mail exposées : une fuite massive frappe la France, des ministères et des ambassades touchés Souveraineté numérique : l’État français veut abandonner Windows pour Linux L’alternative à Starlink d’Amazon approche, mais le chemin est encore long ChatGPT Pro : voici ce que propose le nouveau forfait à 103 €/mois Test Marshall Bromley 450 : quand un ampli de guitare s’invite à la soirée Votre prochain Uber sera-t-il un Volkswagen ID. Buzz sans chauffeur ? Les tests débutent avec une technologie bluffante Avec son prochain Galaxy Unpacked, Samsung voudrait couper l’herbe sous le pied de l’iPhone pliant Le Pentagone développe un outil surprenant pour que ses soldats ne répètent plus les mêmes erreurs au combat Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour