Cyberattaques en France en 2026 : la liste complète à jour — ANTS, DGFiP, CROUS, santé et au-delà
📅 20 mai 2026⏱️ 7 min de lecture✓ Sources : ANSSI, cybermalveillance.gouv.fr, FrenchBreaches, Ministère de l'Intérieur
54 000 incidents cyber en un seul trimestre. La France est devenue l'une des cibles préférées des cybercriminels en 2026. Services publics paralysés, données de millions de citoyens sur le dark web, IBAN vendus au plus offrant — la réalité est bien plus grave que ce que les communiqués officiels laissent entendre. Voici la liste complète des cyberattaques qui ont frappé la France depuis janvier 2026, plus deux sujets brûlants qui changent le visage de la cybersécurité mondiale.
54K+
Incidents cyber en France au T1 2026
+37%
Hausse vs premier trimestre 2025
18M
Comptes ANTS potentiellement compromis
🗂️ La liste complète des cyberattaques en France en 2026
Du plus impactant au plus récent — voici tout ce qui a frappé la France depuis le début de l'année.
Avr. 2026
🚗 ANTS — Agence Nationale des Titres Sécurisés
🔴 Critique
Données : Identité, email, téléphone, date de naissance
Victimes : 11,7M confirmés / jusqu'à 18M potentiels
Un adolescent de 15 ans — "breach3d" — a exploité une faille IDOR datant de 2007 pour accéder aux comptes de millions de Français. Les permis de conduire, cartes grises, passeports et cartes d'identité — toutes les démarches administratives françaises passent par l'ANTS. Les données se retrouvent croisées avec d'autres fuites pour des arnaques ultra-personnalisées. Le gouvernement a annoncé un plan de 200M€ en réponse.
Un cybercriminel a usurpé les identifiants d'un fonctionnaire de la DGFiP pour accéder au fichier FICOBA — la base de données de TOUS les comptes bancaires français. Avec un IBAN, un escroc peut mettre en place des prélèvements automatiques frauduleux. Aucune donnée bancaire n'est sécurisée après cette fuite — et IBAN ne peut pas être changé contrairement à un mot de passe.
Même faille IDOR que l'ANTS. Le hacker a aspiré 10 ans d'historique de réservations — Centre Parcs, Maeva, Pierre & Vacances, Adagio. Si vous avez séjourné chez eux depuis 2016, votre profil complet est peut-être entre des mains criminelles. Aucune donnée bancaire exposée selon le groupe, mais les données volées suffisent pour du phishing ultra-ciblé.
Cegedim Santé fournit des logiciels à des milliers de médecins, pharmacies et hôpitaux en France. La fuite expose des dossiers médicaux complets — diagnostics, ordonnances, antécédents — de 15 millions de Français. C'est la plus grande fuite de données médicales de l'histoire française. Le risque : discrimination à l'assurance, chantage, usurpation d'identité médicale.
Victimes : Plusieurs millions d'élèves et de familles
ÉduConnect est le portail numérique de l'Éducation nationale — le compte unique de millions de familles françaises pour suivre la scolarité de leurs enfants. La brèche expose des données sur des mineurs, particulièrement sensibles selon le RGPD. Le risque combiné avec les fuites ANTS : des profils complets de familles entières sur le dark web.
Mars 2026
🎓 CROUS — Centres Régionaux des Œuvres Universitaires
Les CROUS gèrent les bourses, les résidences universitaires et la restauration des étudiants. La fuite expose des informations particulièrement sensibles : situation financière des familles, RIB pour les virements de bourses, adresses des résidences. Des arnaques ciblant les étudiants en difficulté financière ont été signalées dans les semaines suivant la fuite.
Une attaque supply chain a compromis les packages NPM et PyPI officiels de Mistral AI pendant 3 heures. Des pirates revendiquent détenir 5 Go de code source interne, mis en vente pour 25 000 dollars. Mistral confirme l'attaque mais nie toute compromission de son infrastructure principale. Vos conversations avec Le Chat ne semblent pas exposées.
Au-delà des piratages français, deux affaires internationales méritent toute votre attention car elles redéfinissent les menaces de demain.
⚠️ Supply chain npm — Axios compromis
L'attaque sur Axios ébranle la confiance dans npm — des millions de projets exposés
Axios est l'un des packages npm les plus téléchargés au monde — utilisé par des dizaines de millions d'applications Node.js pour faire des requêtes HTTP. Des versions compromises ont été publiées sur le registre npm, installant silencieusement un malware sur les serveurs de développeurs qui mettaient à jour leurs dépendances.
Ce que ça signifie pour vous : Même si vous n'êtes pas développeur, les applications que vous utilisez au quotidien — sites web, apps mobiles, services en ligne — sont probablement construites sur ce type de bibliothèques. Une seule dépendance compromise peut infecter des milliers d'applications en cascade. C'est exactement ce qui s'est passé avec Mistral AI via TanStack.
Le chiffre qui fait froid dans le dos : npm compte plus de 2,5 millions de packages. Des chercheurs estiment que moins de 15% des packages très populaires ont des processus de publication sécurisés. C'est une bombe à retardement.
🤖 IA vs IA — La première cyberattaque entre intelligences artificielles
Un agent IA a piraté l'IA de McKinsey, accédant à sa mémoire interne
Des chercheurs en red team ont réalisé quelque chose d'inédit : ils ont déployé un agent IA dont le seul objectif était d'attaquer une autre IA — en l'occurrence, un assistant IA utilisé en interne par McKinsey & Company. Résultat : l'agent attaquant a réussi à accéder à la mémoire interne de l'IA cible via des injections de prompt sophistiquées.
Comment ça marche : L'agent attaquant envoie des instructions déguisées en contenu légitime. L'IA cible, ne pouvant pas distinguer une instruction de son opérateur d'une injection malveillante, exécute les commandes. C'est l'équivalent d'un social engineering appliqué aux intelligences artificielles.
Pourquoi c'est révolutionnaire et terrifiant : Les entreprises déploient massivement des agents IA avec accès à des données confidentielles — emails, documents RH, données clients, stratégies. Si ces agents peuvent être manipulés par d'autres IA, c'est un nouveau vecteur d'attaque sans précédent dont personne ne sait encore comment se défendre.
Ce que ça annonce : La prochaine génération de cyberattaques ne sera pas conduite par des humains devant des claviers, mais par des IA autonomes qui s'attaquent à d'autres IA 24h/24, à une vitesse impossible à suivre pour les défenseurs humains.
🔗 Le cocktail explosif — quand toutes les fuites se croisent
Ce qui rend 2026 particulièrement dangereux, ce n'est pas chaque fuite individuellement — c'est leur combinaison. Un cybercriminel motivé peut aujourd'hui construire sur vous un profil d'une précision terrifiante :
🚨 Ce qu'un pirate sait peut-être déjà sur vous
ANTS → votre nom, prénom, email, téléphone, date de naissance
FICOBA → votre IBAN, votre banque, votre adresse
Cegedim → vos antécédents médicaux, vos ordonnances
ÉduConnect → l'école de vos enfants, leurs résultats
CROUS → la situation financière de votre famille, le RIB de vos étudiants
Pierre & Vacances → quand et où vous partez en vacances
Résultat : un profil complet sur vous, votre famille, vos finances et votre vie privée
✅ Ce que vous pouvez faire maintenant
Changez vos mots de passe FranceConnect, impôts.gouv.fr et espace santé
Activez la double authentification sur tous vos comptes importants
Vérifiez vos relevés bancaires chaque semaine — alertes SMS activées
Méfiez-vous de tout message qui utilise votre vrai nom et cite des informations précises sur vous
Consultez haveibeenpwned.com avec votre email pour savoir si vous êtes dans des fuites connues
Signalez tout contact suspect sur cybermalveillance.gouv.fr
❓ Questions fréquentes
Plus de 54 000 incidents cyber ont été recensés au premier trimestre 2026, soit une hausse de 37% par rapport à la même période en 2025. Parmi eux, plusieurs touchent directement des millions de Français via des services publics : ANTS, DGFiP FICOBA, CROUS, Éducation nationale et des plateformes de santé.
Si vous avez un compte ANTS (permis, carte grise, passeport), un compte bancaire en France (FICOBA), un compte CROUS, un espace impots.gouv.fr ou un dossier médical numérique, vos données sont potentiellement concernées. Vérifiez haveibeenpwned.com et changez vos mots de passe.
Une attaque supply chain npm consiste à compromettre un package (bibliothèque de code) très utilisé par les développeurs. Quand ils mettent à jour le package, ils installent sans le savoir un malware. C'est ce qui s'est passé avec Axios — un des packages npm les plus téléchargés au monde avec des centaines de millions d'installations.
Oui. Des chercheurs de red team ont démontré qu'un agent IA peut manipuler une autre IA via des injections de prompt — en lui faisant croire que des instructions malveillantes viennent de son opérateur légitime. C'est ce qui s'est passé avec l'IA de McKinsey. C'est un nouveau vecteur d'attaque dont les défenses n'existent pas encore.