1,2 milliard d'entrées, 127 sources distinctes. Rapporté à la population française, cela fait dix-sept fiches par habitant, nourrissons compris. C'est ce que revendique Searcher, un agrégateur de fuites françaises qui facturait 10 euros la semaine l'accès à son moteur de recherche (Next, 12 juin 2026). Une requête sur un nom, un email ou un numéro de téléphone et le service reconstitue en quelques clics une fiche complète : adresse, IBAN, numéro de sécurité sociale, parfois des diagnostics médicaux. La ministre déléguée au numérique Anne Le Hénanff a saisi le parquet le 12 juin via l'article 40 du code de procédure pénale. Le service sera probablement mis hors ligne. Les données, elles, ne l'ont jamais été - et ne le seront pas.
Ce que l'entrepôt contient vraiment
Les 127 sources revendiquées couvrent une décennie de fuites françaises. Parmi les plus massives : 33 millions de profils issus des opérateurs de tiers payant Viamedis et Almerys, 19,2 millions de comptes Free, 12,7 millions via l'ANTS, 10 millions de demandeurs d'emploi Pôle emploi et 1,2 million de relevés d'identité bancaire Ficoba. Et Cegedim : 15 millions de patients, dont 164 000 dossiers contenant diagnostics et pathologies. Ces informations étaient saisies dans un champ "notes administratives" dont les médecins ignoraient qu'il était partagé. Le ministère de la Santé n'a confirmé la fuite qu'en février 2026, quatre mois après l'attaque (Journal du Geek, mars 2026).
Searcher n'est pas la source de ces données. C'est le débouché commercial d'une chaîne d'approvisionnement. Le 9 juin, trois jours avant l'enquête qui a révélé Searcher au grand public, sept suspects étaient interpellés en France dans le cadre de l'affaire DumpSec : un groupe soupçonné d'avoir compromis plus de 1 500 entités (Assemblée nationale, ministère de l'Éducation, plateformes médicales) et d'avoir revendu les données exfiltrées sur des forums spécialisés (ZATAZ, 9 juin 2026). Les interpellations n'ont pas fermé Searcher. Les données circulaient déjà.
Deux réflexes qui aggravent la situation
Chercher son propre nom dans Searcher alimente la base. À chaque requête, le moteur enregistre la donnée d'entrée. De quoi prouver à un acheteur que l'information est valide et associée à une personne réelle.
Demander la suppression de sa fiche confirme exactement la même chose : les données contenues dans la fiche sont exactes et à jour. Les experts interrogés par Next convergent sur ce point, que nous détaillions déjà dans notre article sur ce service. Tant que le service tourne, la non-interaction est la seule posture défendable.
Ce qu'il est utile de faire maintenant
Surveiller ses prélèvements. La présence d'IBAN dans les données exposées rend les mandats SEPA frauduleux plus crédibles : un pirate qui connaît votre banque et votre adresse construit un faux mandat plus convaincant. Un prélèvement non autorisé peut être contesté jusqu'à treize mois après le débit, avec remboursement immédiat par la banque (articles L133-18 et L133-24 du code monétaire et financier). Vérifier ses relevés une fois par semaine est le bon rythme.
Surveiller ses remboursements de santé. Le NIR sert à monter de faux dossiers de tiers payant ou d'allocations. L'historique des remboursements est consultable depuis l'espace Ameli. Toute opération non reconnue se signale à la caisse primaire.
Renforcer la double authentification sur les comptes sensibles. Les coordonnées présentes dans Searcher permettent des attaques par SIM swapping : l'attaquant contacte l'opérateur mobile avec vos informations réelles, obtient un transfert de numéro et intercepte vos SMS de validation. Un second facteur par application (pas par SMS) coupe ce vecteur.
Signaler. Le service relève de PHAROS via internet-signalement.gouv.fr. Une fraude déjà subie se dépose sur 17Cyber.gouv.fr, la plateforme nationale. Plus le volume de signalements est élevé, plus le dossier monte en priorité côté justice.
Le seul levier durable
Searcher sera mis hors ligne. Un autre service prendra sa place. Clément Domingo, chercheur en cybersécurité connu sous le pseudonyme SaxX, le documente depuis des années : fermer un service de ce type en fait naître deux ou trois autres (ZATAZ). Les copies des bases circulent en permanence sur des serveurs hors juridiction. La régulation sanctionne le tort initial. La CNIL a infligé en janvier 2026 une amende de 42 millions d'euros au groupe Free, dont 27 millions pour Free Mobile, pour des manquements à la sécurité des données (CNIL, janvier 2026). Ces sanctions ne suppriment pas les données déjà en circulation.
La France a enregistré 6 167 violations de données déclarées à la CNIL en 2025, contre 5 630 l'année précédente. En comptant les notifications en cascade, deux attaques de prestataires ayant généré à elles seules plus de 11 000 notifications de leurs clients, ce sont 17 802 incidents qui ont été signalés en 2025 (Univers Freebox, 2026). Les trois premiers mois de 2026 comptaient déjà 2 730 violations. Ce rythme ne ralentit pas.
La seule variable encore sous votre contrôle, c'est le nombre de services qui connaissent vos données aujourd'hui. Un compte de messagerie ouvert pour un abonnement résilié il y a trois ans, un site d'e-commerce oublié depuis 2021 : chacun contient a minima votre email et souvent votre adresse. Combinés lors de la prochaine fuite, ils alimenteront le prochain agrégateur. Exercer son droit à l'effacement (article 17 du RGPD) auprès des services que vous n'utilisez plus réduit cette surface. Pas rétroactivement, mais pour les fuites à venir.
Combien de services détiennent aujourd'hui votre adresse, votre email, votre IBAN ou votre numéro de téléphone ?
Fairmi vous aide à les identifier et à en supprimer les inutilisés, avant que le prochain agrégateur ne les récupère à votre place.