● Les Numériques Télécom 📅 10/04/2026 à 11:30

Une erreur a exposé des millions de données d'entreprises et d'organismes publics français

Cybersécurité 👤 Antoine Roche
Illustration
Une erreur a exposé des millions de données d'entreprises et d'organismes publics françaisPas mal non ? C'est français. Par Antoine Roche (@antoineroche.bsky.social) Publié le 10/04/26 à 11h30 Nos réseaux : Suivez-nous Commenter 2 © BritCats Studio/Shutterstock - 4,5 millions d'adresses email et plus de 40 millions d'enregistrements SMTP sont concernés. Généralement, pour avoir accès à des données sensibles, les personnes responsables de cyberattaques profitent d'une faiblesse humaine ou technique pour s'introduire dans un système. Mais dans le cas qui nous intéresse aujourd'hui, il n'a pas été nécessaire de se compliquer la vie. Fin février 2026, l'équipe de Cybernews a découvert qu'une société lyonnaise, Alinto, avait laissé en accès libre plus de 40 millions d'enregistrements SMTP (Simple Mail Transfer Protocol). À lire également : La récente fuite de données médicales des Français relève d'une véritable incompétence en sécurité Une erreur plutôt qu'une cyberattaqueLa société, spécialisée dans les solutions de messagerie pour les entreprises et les institutions, a ainsi laissé traîner plus de 4,5 millions d'adresses email uniques et des données liées. Si le contenu des emails n'est pas concerné, en revanche un trésor de métadonnées (emails d'expéditeurs et de destinataires, horodatages, emplacement et adresses IP relais) a potentiellement pu être récupéré. De quoi alimenter de futures campagnes de phishing, d'autant que les personnes concernées ne sont pas n'importe qui. Le fait de savoir quelles adresses communiquent entre elles et à quels moments permet de révéler des données comportementales susceptibles de faciliter de futures attaques : par exemple, en se faisant passer pour une personne avec laquelle on communique régulièrement, ou en envoyant des messages au moment prévu, comme on pourrait s'y attendre.En effet, les données exposées concernent de grosses sociétés comme L'Oréal, Renault, DHL ou encore Renault, tandis qu'au moins 14 000 adresses emails d'entités françaises officielles (branches du gouvernement, ambassades, municipalités...) sont également concernées.La "bonne" nouvelle, c'est que dès le lendemain du signalement de Cybernews à Alinto, la base de données n'était plus accessible publiquement sur le cluster Elasticsearch concerné. Le serveur hébergeant ce cluster hébergeait aussi un serveur SMTP Cleanmail.eu, service potentiellement le plus affecté par la fuite de données. Reste désormais à savoir si des cybercriminels ont eu le temps de piocher dans cette mine d'or avant que la faute ne soit corrigée. À lire également : C'est au tour de la BnF d'être victime d'une cyberattaque Suivez toute l'actualité des Numériques sur Google Actualités et sur la chaîne WhatsApp des Numériques Envie de faire encore plus d'économies ? Découvrez nos codes promo sélectionnés pour vous.
← Retour