Chaque semaine, nos experts vous proposent une newsletter résumant les événements liés au cybercrime ayant impacté la France ces sept derniers jours. Les informations sont issues des sondes de notre plateforme de surveillance STEALINT et de notre veille constante du clear et dark web. Vous souhaitez avoir accès à ces données en temps réel ?

Fuites de données

• 2026-01-23 : Une base de données issues du domaine FMFA7.fr (Fédération Montpelliéraine de Football à 7) a été diffusée sur Telegram. L'exfiltration aurait eu lieu le 15 janvier 2026.
• 2026-01-25 : Un pirate du nom de ARPANET744 annonce vendre une base de données de 40Go appartenant à EURONATURE (école de naturopathie). Elle contiendrait les informations personnelles des étudiants ainsi que 10,000 documents dont des pièces d'identité, passeports, IBAN, et les cours de l'école. La fourchette de prix affichée pour ces données est $850-1250.
• 2026-01-25 : Le groupe de pirates français X-VDP-X publie les données de MAIRIE-VENOY.fr : noms, prénoms, emails, adresses, date de naissance, mots de passe hashés.
• 2026-01-26 : Le pirate Shenron publie les données de 1,213 informations personnelles appartenant à l'AAIHP (Association Amicale des Anciens Internes en Médecine des Hôpitaux de Paris - www.aaihp.fr).
• 2026-01-26 : Des données de la société de téléexpertise en ophtalmologie Lyleoo ont été mises en vente par le groupe DumpSec. Il s'agirait d'environ 900,000 lignes exposant les informations : noms et prénoms, emails, date de naissance, numéros de téléphone, adresses.
• 2026-01-27 : L'utilisateur Wadjet prétend avoir piraté TECHNI-CONTACT.com (marketplace pour les entreprises et les collectivités) et met en vente les 1,2 million de lignes collectées. La base contient les informations suivantes :

"civilite","prenom","nom","nom_prenom","adresse1","adresse2","ville","cp","pays","jour","mois","annee","telephone","commentaire","email","mdp","actif","web","fidelite","num_carte","prise_rdv","recevoir_email","recevoir_sms","recevoir_courrier","coiffure","esthetique","enquete_client","id_indicatif","id_pays","id_enseigne"

• 2026-01-27 : Le domaine interne vwf.vwfs-ad de Volkswagen Financial Services (VWFS) en allemagne aurait été compromis. Le pirate hooters_69 annonce vendre les données issues de la machine fs01.vwf.vwfs-ad, qui contiendraient notamment des fichiers appartenant à la filiale française de VWFS.

NoxHunt a pu retrouver la trace de nombreuses infections par infostealer de victimes ayant accès à ce domaine. Un administrateur, semblant être un prestataire de service informatique coréen, ayant accès au domaine et à la machine fs01, a été infecté le 17 novembre 2025 par le stealer Lumma. Ces informations ont pu causer ou faciliter l'intrusion dans cette structure.

• 2026-01-27 : Le groupe de pirates HawkSec annonce avoir compromis le CNAM (Conservatoire national des arts et métiers) et être en discussion avec leur victime pour un arrangement financier. Pour prouver leurs dires, ils publient un échantillon de données de la base complète qui contiendrait les informations personnelles de plus de 10,000 employés.
• 2026-01-27 : Plus de 50,000 informations personnelles d'abonnées au média LEPOINT.fr datant de 8 octobre 2025 ont été publiées par l'utilisateur oef50655.
• 2026-01-27 : Le pirate nebulapwned prétend avoir compromis AXA-ASSURANCE et publie 798 fichiers. L'intérêt de ces fichiers semble discutable d'après les réactions à cette publication. Le pirate joint l'avertissement suivant à la fin de son message :

• 2026-01-27 : O'TACOS victime d'un piratage : l'utilisateur marak met en vente plus de 10 millions de données de clients de l'enseigne O'TACOS. Les données exposées sont de la forme :

{"data":{"code":"","points":"","user":{"language":null,"deviceInfo":{"lastAppVisit":"","platform":"","versionPlatform":"","versionApp":"","tokenEmail":null,"adjustADID":""},"email":null,"firstName":"","lastName":"","languageId":"","loyaltyCardId":"","loyaltyCard":null,"advancedProfile":null,"isAdvanced":false,"acceptPushNotifications":true,"isFacebook":false,"friendLoyaltyCardId":"","friendLoyaltyCode":null,"guid":"","oldId":null,"isPreview":false,"isSilent":false,"isEmailConfirmed":false,"isTwoFactorEnabled":false,"isBanned":false,"registerOrigin":"App","countryId":"","userPsps":null,"id":"","creationDate":"","lastModificationDate":""},"rankingPoints":"","preGenerated":false,"id":"","creationDate":"","lastModificationDate":""}

• 2026-01-27 : L'utilisateur azerty93200 aurait compromis le compte d'un professeur de l'association sportive Saint-Joseph de l'UGSEL (fédération sportive éducative de l'Enseignement catholique) et obtenu les données personnelles de 600 licenciés par scraping, qu'il propose au téléchargement.
• 2026-01-28 : Ce même utilisateur publie 29,000 lignes issues de ecolesaintvincent.fr. Les informations contiennent les noms, prénoms, adresses, emails, numéros de téléphone...
• 2026-01-28 : Le pirate HexDex2 aurait compromis 11 agences immobilières françaises (SCI Fonciere de la tourelle, Aix La Duranner Immo, MARTEAU IMMOBILIER, Orpi AFG IMMOBILIER, OC INVESTISSEMENT, TRENTA IMMOBILIER, BLG PATRIMOINE, SB IMMOBILIER, SUN IMMOBILIA, IMMOVALIE, SAS IMMO) et vend plus de 500Go de données (plus d'1 million de documents) de façon exclusive.
• 2026-01-28 : Une base de données provenant de reseau.site (plateforme sécurisée pour acheter et vendre des produits uniques en ligne) de plus de 73,000 noms, mails, et numéros de téléphone des utilisateurs a été publiée par l'utilisateur Sorb. Le piratage daterait du 28 janvier.

NoxHunt a pu retrouver des identifiants pour le CRM de reseau.site volés par infostealer, qui pourraient constituer la source de cette intrusion.

• 2026-01-28 : Le pirate near publie une base de données issues du média LEPOINT.fr. Si la veille une base similaire de 50,000 entrées avait déjà été rendue publique, il s'agirait là d'une base plus complète de 966,999 utilisateurs.
• 2026-01-28 : 900,000 données personnelles appartenant à VERYCHIC.fr (hotels de luxe) ont été mises en vente par l'utilisateur marak, qui précise :

This catalase (sic) contains a lot of information on different profiles: members of the government, well-known public figures or even rich people.

• 2026-01-30 : Ce même utilisateur publie une base de données de l'ANPS (Association Nationale des Premiers Secours). Celle-ci contiendrait 1Go de données sur les membres de l'association mais aussi des dossiers de victimes et d'interventions médicales. La légitimité des données reste à confirmer.
• 2026-01-30 : Le groupe X-VDP-X revendique le piratage de la FFCAM (Fédération française des clubs alpins et de montagne) et publie les données de cs-ffcam.fr.
• 2026-01-30 : Le groupe LAPSUS est parvenu à exfiltrer 420Go de données de la société OSAC.AERO (Organisme pour la Sécurité de l'Aviation Civile), un fabricant de composants pour l'industrie aéronautique et aérospatiale qui travaille notamment pour la DGAC. Le groupe a publié les données sur son site.
• 2026-01-31 : Les données du site VANDB.fr (cave et bar) compromises : l'utilisateur Paulogo33600 publie 552,000 lignes de données clients (emails, noms et prénoms, numéros de téléphone, mot de passé hashé).
• 2026-01-31 : L'utilisateur DBHunter a mis en ligne des données de auvergne-rhone-alpes.ars.sante.fr : 3824 entrées qui semblent contenir des informations de contact des CPTS (communautés professionnelles territoriales de santé).
• 2026-02-01 : Le groupe HawkSec revendique une attaque sur InfoLegale.fr (annuaire d'entreprises) et publie les 2,000 premières lignes d'un total de 14 millions. Les données sont de type : SIRET, raisons sociales, adresses des entreprises, noms, prénoms, dates de naissance des dirigeants...
• 2026-01-31 : Le hacker connu sous le pseudo Angel_Batista annonce avoir accès à un panel de defense.gouv.fr et diffuse 2971 fichiers de classification "Diffusion Restreinte". Il aurait exfiltré plus de 4Go de documents.
• 2026-01-31 : Du même auteur : la publication de 3,500 entrées appartenant à osmose.numerique.gouv.fr (outil communautaire et collaboratif des agents de l’État et de ses établissements publics). Cette plateforme avait été décommissionnée au printemps 2025.
• 2026-01-31 : Le pirate HexDex2 continue à être très prolifique : il met en ligne 23,535 informations personnelles de "médecins remplaçants" sans indiquer la source des données.
• 2026-01-31 : Il publie aussi plus de 21,000 données issues de l'INRIA.
• 2026-02-01 : Enfin, il met en vente 79,164 entrées provenant d'un système de gestion de rendez-vous clients de Darty. On y trouve notamment les noms et prénoms des clients, leur adresse et numéro de téléphone.

Accès

Les comptes admins wordpress des sites ci-dessous ont été mis en vente :

• www.relaisdelamalle.fr
• www.reiki-casa.fr
• transitworld.fr
• resurrectionrp.fr
• tom-pizza.fr
• www.reselform.fr
• selleracademy.fr
• www.ressourcesetassurances.fr
• www.digitaladn.fr

En outre, un administrateur d'un clone de BreachForums annonce vendre un accès à un panel appartenant à Orange permettant, selon le pirate d'interroger des numéros de téléphone et d'avoir accès à des informations d'utilisateurs. Bien que le panel ciblé soit inconnu, on y distingue le texte suivant : "Tools > Care @ Contact Center"

Ransomware

• 2026-01-27 : Le groupe d'attaquants TENGU annonce avoir compromis la Compagnie Forestière Parisienne.
• 2026-01-31 : Le groupe COINBASE CARTEL ajoute le groupe PELLENC (Fabricant de matériel pour l'oléiculture et l'arboriculture fruitière) à sa liste de victimes.
• Top des groupes les plus prolifiques ces sept derniers jours :
  • 🥇 0apt (91 victimes)
  • 🥈 Clop (44 victimes)
  • 🥉 Qilin (22 victimes)

Infostealers

7334 victimes françaises ont été recensées ces sept derniers jours.