Cyber Observatory CRIF
- Plus de 2 200 000 alertes ont été envoyées concernant la fuite de données sur le dark web
- L’Iran passe de la 124e à la 3e place mondiale en matière d’adresses électroniques compromises.
- L’IA améliore les attaques avec une prééminence des campagnes d’omni-phishing
- Les comptes professionnels compromis représentent +12,7%, soit près de 10% du total
Bologne, 28 mai 2026 – En 2025, l’écosystème des risques cyber a subi une profonde transformation, impulsée par de nouveaux scénarios géopolitiques, des techniques d’attaque de plus en plus automatisées et un enrichissement des données échangées sur le dark web et le web public. Par rapport à l’année précédente, le nombre d’alertes envoyées concernant des fuites de données sur le dark web a connu une hausse de 5,8%, atteignant plus de 2 200 000 cas en 2025. Sur l’open web, en revanche, le nombre d’alertes s’élevait à 55 000, en baisse de 6,6% par rapport à 2024.
Comparativement à 2024, les données trouvées sur le dark web étaient plus complètes, ce qui a conduit à une hausse de 22% de la gravité moyenne des alertes. Cette augmentation est principalement due à la détection de combinaisons plus complexes et dangereuses, associant des adresses électroniques à des mots de passe ainsi que des références précises à des comptes compromis.
Telles sont quelques-unes des conclusions de CRIF Cyber Observatory qui vise à analyser les vulnérabilités des personnes et des organisations face aux cyberattaques et à interpréter les tendances émergentes liées aux données échangées dans les environnements open web et dark web.
L’évolution du contexte géopolitique mondial se reflète également dans la montée des cybermenaces. Un cas emblématique est l’Iran, passant de la 124e place à la troisième dans le classement mondial des adresses électroniques compromises.
L’impact de l’intelligence artificielle sur la cybercriminalité
L’Observatoire confirme que les cyberattaques non seulement augmentent, mais qu’elles deviennent aussi de plus en plus difficiles à identifier et à contrer, grâce à la disponibilité d’une quantité de données sans précédent et à des techniques de compromission toujours plus sophistiquées. Parmi les menaces croissantes, nous trouvons les campagnes de smishing[1] devenues exceptionnellement crédibles en Italie: des faux messages concernant des péages autoroutiers impayés, aux messages faisant état de faux problèmes de livraison d’e-mail, tous conçus pour voler des données personnelles et des informations de paiement. Parallèlement au smishing, le phishing[2], le vishing[3] et le spear phishing[4] deviennent plus efficaces grâce à l’intelligence artificielle, capable de générer des courriels impeccables et des deepfakes audio et vidéo, privilégiant des approches structurées comme l’omni-phishing qui combine plusieurs canaux pour rendre les arnaques plus crédibles. Parallèlement, le risque de prise de contrôle de compte[5] est en pleine expansion, favorisé par la combinaison d’identifiants volés et d’ingénierie sociale hyper-personnalisée. Pour compléter le tableau, nous voyons la prolifération rapide des «stealers-as-a-service»[6] capables d’acquérir des paquets de données complets, d’une valeur inestimable pour le marché criminel, et exposant les utilisateurs à des risques importants.
Le perfectionnement des stratégies des cybercriminels, combiné à l’intelligence artificielle, favorise la circulation sur le dark web de combinaisons de données extrêmement détaillées qui incluent généralement des informations commerciales supplémentaires. En effet, bien que l’analyse quantitative des domaines associés à des comptes de messagerie exposés sur le dark web montre une nette prédominance des comptes personnels (près de 90,2% du total), les comptes d’entreprises compromis ont connu une hausse de 12,7% (9,8% du total) en 2025. Cette tendance suggère que les particuliers continuent d’accorder peu d’attention à la sécurité en ligne et qu’à l’inverse, les entreprises restent vulnérables et très ciblées tout en adoptant de plus en plus de mesures de sécurité.
Les combinaisons de données les plus exposées
Les catégories de données les plus exposées et vulnérables sur le dark web sont les mots de passe, les adresses électroniques, les noms d’utilisateur, les adresses résidentielles et les noms complets. Les données relatives aux numéros de téléphone, aux identifiants personnels et aux cartes de crédit sont également fréquemment exposées et risquent d’être compromises.
L’analyse des combinaisons de données les plus fréquemment exposées en 2025 révèle que la combinaison de numéros de carte de crédit et nom complet figure dans 94,2% de cas, ce qui est particulièrement inquiétant en raison du risque important de fraude financière. La combinaison mot de passe et adresse électronique reste extrêmement fréquente, le premier apparaissant à côté du second dans 91,5% des cas. La combinaison nom d’utilisateur et mot de passe qui représente 85,2% des cas est principalement associée aux comptes d’entreprises et met en évidence les vulnérabilités potentielles dans ces dernières. Les données confirment que le vol de compte reste un objectif primordial pour les pirates informatiques, soulignant la nécessité d’adopter des pratiques sûres en matière de gestion des mots de passe, comme l’utilisation d’un mot de passe différent pour chaque compte, le changement fréquent des mots de passe et l’utilisation d’un gestionnaire de mots de passe.
Une autre information précieuse pour les cybercriminels est l’intégralité de l’adresse résidentielle, associée à des numéros de téléphone dans 44,5% des cas. De plus, la forte incidence de la combinaison de numéros de passeport avec le prénom et le nom (64,6%), et, bien que moins fréquemment, le numéro de passeport et l’adresse résidentielle complète (57,5%), augmente le risque de vol d’identité, d’usurpation d’identité et de profilage avancé.
|
Meilleures combinaisons de données |
|
2025 |
% vs 2024 |
|
N° de carte de crédit + prénom et nom |
|
94,2% |
+100,0% |
|
E-mail + mot de passe |
|
91,5% |
+2,2% |
|
Nom d’utilisateur + mot de passe |
|
85,2% |
-2,6% |
|
N° de passeport + prénom et nom |
|
64,6% |
+100,0% |
|
N° de passeport + adresse de résidence complète |
|
57,5% |
+100,0% |
|
Adresse résidentielle complète + n° de téléphone |
|
44,5% |
-32,1% |
|
N° de téléphone + prénom et nom |
|
44,8% |
-15,2% |
Fournisseur de données: CRIF Cyber Observatory
Comptes les plus fréquemment trouvés sur le dark web
Une analyse qualitative des contextes dans lesquels les données circulent a montré que, hormis les services de messagerie électronique, les noms d’utilisateur trouvés sur le dark web sont principalement associés à des services en ligne (53,7%), suivis par des comptes liés à des réseaux sociaux populaires (15%) et à des sites web (10,4%). En quatrième position, nous trouvons le vol de comptes associé aux jeux vidéo (5,9%), en augmentation de 22,9%, suivi par les services gouvernementaux (5,2%), tandis que les plateformes de commerce électronique occupent la 6e position (5%).
|
|
Comptes les plus souvent trouvés |
|
2025 |
Variation en % vs 2024 |
|
1 |
Services en ligne |
|
53,7% |
+56,6% |
|
2 |
Réseaux sociaux |
|
15,0% |
-37,2% |
|
3 |
Sites web |
|
10,4% |
+4,0% |
|
4 |
Jeux vidéo |
|
5,9% |
+22,9% |
|
5 |
Services gouvernementaux |
|
5,2% |
-24,6% |
|
6 |
Plateformes de e-commerce |
|
5,0% |
-35,1% |
|
7 |
Services financiers |
|
4,7% |
+9,3% |
Fournisseur de données: CRIF Cyber Observatory
Les identifiants volés peuvent être utilisés pour toute une série d’activités, notamment l’accès aux comptes des victimes, l’utilisation abusive de services, l’envoi de messages demandant de l’argent ou contenant des liens de phishing, la distribution de logiciels malveillants ou de rançongiciels, et plus généralement l’extorsion ou le vol d’argent. Pour ce type de vol de données, le «facteur humain» joue un rôle important. La négligence de l’utilisateur est l’une des causes les plus fréquentes, tout comme les mots de passe faibles ou utilisés pour plusieurs comptes.
En plus de cette dynamique, les attaques par prise de contrôle de compte (ATO) se développent, touchant non seulement les comptes traditionnels, mais aussi les services de messagerie tels que WhatsApp. Un autre point commun à certains types de comptes (réseaux sociaux, plateformes de streaming et de jeux vidéo) est la disposition des utilisateurs à communiquer leurs identifiants à des services en apparence innocents qui proposent des cadeaux ou des fonctionnalités supplémentaires, alors qu’en réalité, il s’agit souvent d’un simple outil de collecte d’identifiants.
Suisse
Si l'on examine les mots de passe les plus courants en Suisse qui ont été découverts sur le Dark Web, on constate que les premiers de la liste sont « newsletter », des suites de chiffres simples comme « 123456789 » et « password ».
CRIF Cyber Observatory
CRIF Cyber Observatory étudie la vulnérabilité des individus et des entreprises aux cyber-attaques sur l’open web et le dark web et identifie les données les plus exposées, les informations disponibles sur le web ainsi que les zones de concentration du trafic de données. Cette enquête a été réalisée pour l'année 2025.
[1] Smishing: cyberfraude par SMS ou applications de messagerie telles que WhatsApp.
[2] Phishing: cyberfraude qui vise à voler des informations personnelles par le biais de courriels frauduleux.
[3] Vishing: cyberfraude qui utilise des appels téléphoniques ou des messages vocaux pour voler des données à des victimes spécifiques.
[4] Spear phishing: cyberfraude qui utilise des messages personnalisés pour voler des données à des victimes spécifiques
[5] Prise de contrôle du compte: connexion non autorisée à un compte numérique pour en prendre le contrôle ou voler des données.
[6] Stealer-as-a-service: logiciel malveillant utilisé pour voler des informations, telles que des identifiants et des données financières.