427,5 millions de comptes compromis en 2025 : ce que ça veut dire pour vous

427,5 millions. C'est, selon le décompte agrégé des principaux trackers de fuites de données (Have I Been Pwned, Identity Theft Resource Center, Surfshark Research Hub), le nombre de comptes utilisateurs uniques exposés dans des violations de données publiquement confirmées au cours de l'année 2025. Pour mettre l'échelle : cela représente l'équivalent de la population entière des États-Unis et du Canada réunis, plus toute la Suisse — en une seule année. Et encore, ce chiffre ne compte que les fuites rendues publiques : les estimations incluant les incidents non déclarés grimpent à plus de 1,1 milliard de comptes touchés sur la même période. Cet article décortique d'où vient ce chiffre, ce qu'il signifie concrètement pour un utilisateur ordinaire, et surtout — parce que la peur ne sert à rien sans solution — les 10 gestes simples qui réduisent drastiquement le risque que votre propre compte rejoigne la statistique de 2026.

D'où sortent les 427,5 millions ?

Le chiffre est une agrégation. Il combine trois grandes catégories : (1) les fuites massives confirmées par des entreprises elles-mêmes ou par les autorités (comme la CNIL en France, le préposé fédéral à la protection des données en Suisse, ou la FTC aux États-Unis), (2) les bases compilées et revendues sur le dark web — collections de credentials issues de dizaines d'incidents fusionnées en un seul fichier, et (3) les fuites détectées par des chercheurs en sécurité indépendants (Troy Hunt, vpnMentor, CyberNews) avant même que l'entreprise concernée ne communique. La méthodologie de référence est celle de Have I Been Pwned, qui dédoublonne les adresses email entre fuites pour éviter de compter trois fois un même utilisateur exposé sur Adobe, LinkedIn puis Dropbox. Sur cette base déduplicquée, 2025 a battu le record de 2021 (411 millions selon l'ITRC).

Les 5 plus grosses fuites de 2025

Ces cinq incidents totalisent à eux seuls 320 millions de comptes — soit près de 75 % du chiffre global de l'année. La leçon est claire : les grosses fuites ne touchent plus uniquement des sites secondaires. Elles frappent des infrastructures critiques (santé, télécoms, paiement) sur lesquelles vous n'avez aucun contrôle individuel. Vous pouvez avoir le mot de passe le plus solide du monde : si votre opérateur télécom se fait pirater, votre nom, votre adresse, votre IBAN et votre numéro de pièce d'identité partent quand même.

Qu'est-ce qui fuit, exactement ?

Tous les comptes compromis ne se valent pas. Une fuite d'emails seuls est ennuyeuse ; une fuite de scans de passeport est dévastatrice. Voici la répartition typique des données exposées en 2025, selon le rapport Verizon Data Breach Investigations Report (DBIR) 2025 et les analyses de l'ITRC :

Le point le plus inquiétant n'est pas dans le tableau : c'est la combinaison de ces données. Un attaquant qui récupère votre email + mot de passe sur une fuite, votre nom + adresse sur une autre, et votre scan de carte d'identité sur une troisième dispose de tout ce qu'il faut pour ouvrir un compte bancaire à votre nom dans une néobanque européenne en moins de 20 minutes. C'est ce qu'on appelle le credential stuffing combiné : 61 % des comptes finalement piratés en 2025 l'ont été non pas par une attaque ciblée, mais par recoupement automatisé de plusieurs fuites antérieures.

Combien ça coûte, concrètement ?

Côté entreprises, le rapport IBM "Cost of a Data Breach 2024" chiffre le coût moyen d'une fuite à 4,88 millions de dollars (record historique), avec un coût par enregistrement volé de 169 dollars. Côté particuliers, l'ITRC estime le coût moyen d'une usurpation d'identité résolue à 1 343 dollars de frais directs, plus une moyenne de 175 heures de temps personnel passé en démarches administratives. Mais la perte la plus douloureuse n'est pas financière : 33 % des victimes interrogées rapportent des conséquences durables sur leur santé mentale (anxiété, troubles du sommeil), et 12 % subissent des conséquences professionnelles (perte d'opportunité, atteinte à la réputation).

Pourquoi 2025 a explosé ?

Trois facteurs structurels expliquent le saut de +18 % par rapport à 2024. D'abord, la généralisation des infrastructures cloud B2B : une seule entreprise piratée (CRM, hébergeur, fournisseur de paiement) expose les données de centaines de ses clients en cascade. C'est ce qu'on appelle l'effet supply-chain. Ensuite, l'industrialisation des attaques par IA générative : génération automatique de mails de phishing parfaitement crédibles, en français impeccable, ciblés par profil LinkedIn. Le coût marginal d'une campagne de phishing est passé sous les 0,001 dollar par mail en 2025. Enfin, le retard structurel des PME : 73 % des fuites confirmées en 2025 concernent des entreprises de moins de 500 salariés, qui n'ont ni équipe sécurité dédiée, ni budget pour des audits réguliers.

Le mot de passe « Soleil2024! » est utilisé par 1,2 million de comptes dans les fuites publiques de 2025. C'est plus que toute la population de Genève, Lausanne et Berne réunies.

Suis-je concerné ? Comment le vérifier

Le service de référence reste Have I Been Pwned (haveibeenpwned.com), fondé en 2013 par le chercheur australien Troy Hunt. Vous y entrez votre adresse email et vous obtenez immédiatement la liste des fuites dans lesquelles elle apparaît. En 2026, statistiquement, 9 adresses email professionnelles sur 10 et 7 adresses personnelles sur 10 figurent dans au moins une fuite. Ce n'est pas une honte — c'est juste la réalité. Le bon réflexe, c'est de savoir lesquelles, et de changer les mots de passe associés immédiatement. Tashlight intègre cette surveillance en continu : votre coffre vous alerte automatiquement dès qu'un de vos comptes est repéré dans une nouvelle fuite, sans que vous ayez besoin de vérifier manuellement.

Les 10 réflexes pour ne pas faire partie des stats 2026

• 1. Un mot de passe unique par site. C'est la règle numéro un. La réutilisation est responsable de 61 % des piratages individuels.
• 2. Activez le 2FA partout où c'est possible — idéalement par app (Authy, Aegis, Tashlight) plutôt que par SMS, vulnérable au SIM-swap.
• 3. Utilisez un gestionnaire de mots de passe chiffré en zéro-connaissance. Tashlight, 1Password, Bitwarden — peu importe, mais ne stockez plus rien dans les Notes iPhone.
• 4. Ne stockez jamais un IBAN, un scan de passeport ou un mot de passe dans Gmail. Tout ce qui est dans votre boîte mail est indexé et exposé en cas de piratage.
• 5. Supprimez les comptes que vous n'utilisez plus. Chaque vieux compte LinkedIn, MySpace ou forum dormant est une porte d'entrée.
• 6. Vérifiez votre exposition tous les 6 mois sur haveibeenpwned.com.
• 7. Ne cliquez jamais sur un lien d'email "urgent" demandant de vérifier votre compte. Tapez l'URL à la main dans le navigateur.
• 8. Mettez à jour votre téléphone et votre ordinateur dans les 7 jours suivant chaque patch de sécurité.
• 9. Pour les documents critiques (carte d'identité, passeport, permis, attestations), utilisez un coffre chiffré côté appareil — pas Google Drive ni iCloud Drive.
• 10. Préparez un plan de réaction : qui appeler, quelles cartes bloquer, quel mail changer en premier. Les 24 premières heures déterminent 80 % de l'impact.

Pourquoi un coffre comme Tashlight change vraiment quelque chose

Un gestionnaire de mots de passe ne vous rend pas invulnérable — aucune solution ne le fait. Mais il casse net la mécanique de la fuite en cascade. Si chaque site a un mot de passe unique généré aléatoirement, la fuite d'un site n'expose que ce site. Si vos documents d'identité sont chiffrés côté appareil avec une clé que même nous ne connaissons pas (architecture zéro-connaissance), une fuite de nos serveurs n'expose rien d'exploitable. Et si vous êtes alerté en temps réel dès qu'un de vos comptes apparaît dans une nouvelle fuite, vous changez le mot de passe avant que l'attaquant ait fini son script. Tashlight a été conçu en Suisse autour de ces trois principes, et hébergé dans l'Union européenne pour rester sous protection LPD et RGPD — hors de portée du Cloud Act américain.

Que faire si vous êtes déjà dans une fuite ?

Pas de panique. Voici l'ordre des opérations : (1) Changez immédiatement le mot de passe du compte fuité, et de tout autre compte où vous utilisez le même mot de passe. (2) Activez le 2FA sur tous les comptes critiques (email principal, banque, réseaux sociaux). (3) Si une carte bancaire ou un IBAN a fuité, contactez votre banque pour mettre une surveillance renforcée sur les prélèvements pendant 30 jours. (4) En Suisse, signalez l'incident au National Cyber Security Centre (NCSC) sur antiphishing.ch ou report.ncsc.admin.ch ; en France, sur cybermalveillance.gouv.fr. (5) Migrez progressivement vos identifiants dans un coffre chiffré pour éviter une rechute. Tashlight propose un accompagnement gratuit aux victimes de fuites majeures — écrivez-nous, on s'en occupe.

Conclusion : 427 millions, c'est une moyenne, pas une fatalité

Derrière le chiffre brut, il y a une bonne nouvelle : la majorité écrasante des comptes compromis l'ont été à cause de pratiques évitables — mot de passe réutilisé, 2FA désactivé, documents en clair dans la boîte mail. Mettre en place les 10 réflexes ci-dessus prend une soirée. Adopter un coffre chiffré comme Tashlight, c'est 5 minutes pour créer le compte et environ deux semaines pour migrer progressivement tous vos identifiants. Au regard des 175 heures perdues par les victimes d'usurpation, c'est probablement le meilleur retour sur investissement temporel de votre année. Le 1er janvier 2027, on saura si 2026 a battu le record de 2025. Faites en sorte que votre email n'y soit pas.