Un numéro qui s'affiche sur l'écran, celui de votre conseiller bancaire. La voix au bout du fil connaît votre nom, votre IBAN, parfois le solde de votre compte. Vous décrochez. C'est exactement le scénario que Cybermalveillance.gouv.fr a vu exploser en 2025 : le spoofing de numéro de téléphone a bondi de 517 % en un an, alimenté par les fuites de données et la spécialisation des arnaqueurs.
Le dispositif public d'assistance aux victimes de cybermalveillance vient de publier son rapport d'activité 2025. Plus de 500 000 personnes y ont été accompagnées sur l'année, soit 20 % de plus qu'en 2024. La plateforme a dépassé 5 millions de visiteurs pour la deuxième année consécutive et 22 millions cumulés depuis sa création en 2017. Ces chiffres ne décrivent pas une mode passagère : ils décrivent un quotidien.
Une nouvelle économie du pire
Quand on regarde plus en détail ce qui a augmenté en 2025, un fil rouge apparaît :
-
Phishing en hausse de 70 %,
-
violations de données en hausse de 107 %,
-
faux conseillers bancaires en hausse de 159 %,
-
fausses propositions d'investissement en hausse de 277 %,
-
faux ordres de virement en hausse de 170 %,
-
harcèlement en ligne en hausse de 138 %.
Les particuliers et les entreprises sont touchés, parfois par les mêmes campagnes.
Cybermalveillance.gouv.fr décrit dans son rapport un écosystème criminel qui ressemble de plus en plus à une économie : « plateformes dédiées, kits de phishing, call centers ». Autrement dit, un fraudeur qui veut lancer une campagne d'arnaque au faux support technique ou au faux conseiller bancaire ne part plus de zéro. Il achète une base de données fraîche, loue un kit de phishing prêt à l'emploi et sous-traite parfois les appels à un centre dédié.
Cette industrialisation change la donne pour le citoyen. Les arnaques d'avant étaient maladroites, truffées de fautes, souvent évidentes. Celles d'aujourd'hui s'appuient sur des données précises (votre banque, votre numéro de client, votre dernière commande Amazon) parce que ces données sont disponibles à l'achat sur des plateformes spécialisées.
D'où viennent les données qui servent à vous arnaquer ?
Tout démarre avec une fuite de données. Vous recevez un e-mail où on vous annonce la nouvelle. Plus rien d’extraordinaire, cela arrive maintenant très régulièrement. Quelques mois plus tard : les fichiers circulent sur des forums spécialisés, agrégés avec d'autres fuites pour produire des profils complets : nom, adresse, téléphone, email, banque, employeur, parfois mot de passe en clair ou hashé.
Cybermalveillance constate une hausse de 107 % des violations de données traitées en 2025. France Titres en mai 2025, Free, Boulanger, Cultura, SFR, Auchan, MGEN ces dernières années : à chaque fois, des millions d'enregistrements partis dans la nature. Quand un fraudeur prépare une campagne de faux conseiller bancaire ciblant les clients d'une grande banque française, il croise simplement ces fichiers pour obtenir les coordonnées de personnes qui sont effectivement clientes de cette banque.
Le rapport souligne que les principales menaces visant les particuliers en 2025 sont l'hameçonnage, les fausses propositions d'investissement et le harcèlement en ligne. Toutes les trois reposent sur la même matière première : des données personnelles précises et récentes.
Le rôle des courtiers en données dans la chaîne
Les médias se concentrent généralement sur les fuites accidentelles, beaucoup moins sur le marché parfaitement légal des données personnelles. Pourtant, des centaines de courtiers en données (data brokers) collectent en permanence vos informations à partir de sources ouvertes, d'achats croisés et de partenariats commerciaux. Ces fichiers sont vendus à des entreprises pour faire du marketing ciblé. Quand une de ces entreprises subit une fuite ou quand une base est revendue à des acteurs moins regardants, les données basculent du légal vers le gris, puis le noir.
Le RGPD donne au citoyen plusieurs leviers face à ces traitements. Le droit d'opposition à la prospection commerciale est de droit : il suffit de le demander pour qu'une entreprise cesse d'utiliser vos données à des fins marketing (article 21 du RGPD). Pour les autres traitements (intérêt légitime invoqué par l'entreprise, mission d'intérêt public), l'opposition doit être motivée et peut être refusée si l'entreprise prouve un motif impérieux. Le droit à l'effacement (article 17) suit la même logique : il s'applique notamment lorsque le consentement a été retiré ou que les données ne sont plus nécessaires. Il reste limité par certaines obligations légales de conservation. En pratique, peu de gens activent ces droits, parce qu'il faut identifier les entreprises concernées, écrire à chacune, suivre les délais légaux et relancer en cas de silence. C'est précisément ce que le rapport Cybermalveillance ne dit pas frontalement : moins vos données circulent, moins vous êtes ciblable.
Ce que ça change pour vous concrètement
Le rapport rappelle que 70 % des incidents traités impliquent des données personnelles déjà connues du fraudeur. La protection technique (mot de passe fort, double authentification, antivirus) reste indispensable. Elle ne suffit plus quand l'attaquant connaît déjà votre nom, votre numéro de téléphone et votre banque. La défense la plus efficace est en amont : limiter au maximum les endroits où ces informations sont stockées.
Cela passe par des gestes simples qui ne coûtent rien. Supprimer les comptes inactifs (anciens services, vieilles inscriptions oubliées) ferme autant de portes potentielles vers une future fuite. Refuser les cookies publicitaires et les partages aux partenaires sur les sites visités stoppe l'alimentation continue du marché des données. Et exercer son droit RGPD auprès des courtiers qui profilent à votre insu remonte plus haut dans la chaîne.
C'est exactement le travail que Fairmi automatise. Le service identifie les entreprises et organismes qui détiennent vos données, génère les courriers de demande de suppression conformes au RGPD et suit les réponses. Pas pour vous rendre invisible, ce serait illusoire, simplement pour réduire la surface d'attaque que les fraudeurs exploitent chaque jour.
Un signal politique aussi
Au-delà des conseils pratiques, ce rapport pose une question que les pouvoirs publics esquivent encore. Une augmentation de 517 % du spoofing téléphonique en un an n'est pas un problème d'éducation des utilisateurs. C'est un problème d'infrastructure téléphonique qui permet techniquement à n'importe qui d'usurper n'importe quel numéro. C'est aussi un problème de contrôle insuffisant sur le marché secondaire des données personnelles. La France et l'Europe disposent du cadre juridique (RGPD, directive ePrivacy transposée dans la loi Informatique et Libertés) et des autorités de contrôle compétentes (CNIL, ARCEP). L'application reste molle face à des opérateurs et des plateformes qui ferment les yeux.
En attendant que la réglementation se durcisse, la responsabilité reste largement individuelle. Reprendre la main sur ses données ne réglera pas le problème systémique. Cela réduit concrètement les chances de figurer dans la prochaine campagne d'arnaque.
Consulter le rapport complet (PDF, 3 Mo) et l'infographie 2025.