Les 10 plus grandes fuites de données aux États-Unis [2026]

1. Introduction : pourquoi les fuites de données sont-elles un risque pour les organisations aux États-Unis ?#

Les fuites de données aux États-Unis ont augmenté ces dernières années, devenant une préoccupation majeure pour les organisations, les particuliers et les organismes gouvernementaux. Le nombre d'incidents signalés a atteint 3 158 rien qu'en 2024, touchant plus de 1,35 milliard de personnes. Il s'agit d'une augmentation alarmante depuis 2021, année où seulement 1 862 violations avaient été enregistrées. Des secteurs tels que les services financiers, la santé et les services professionnels ont été particulièrement touchés, soulignant leur vulnérabilité et leur attrait pour les cybercriminels. Les fuites dans le domaine de la santé, en particulier, se sont avérées particulièrement graves et persistantes. En 2023, le chiffre stupéfiant de 725 fuites de données liées à la santé a exposé plus de 133 millions de dossiers, l'incident le plus important touchant à lui seul 11,3 millions de personnes. En avril 2024, seulement 54 fuites dans le secteur de la santé avaient déjà réussi à toucher plus de 15 millions de patients.

Dans cet article, nous analysons les dix fuites de données les plus importantes de l'histoire des États-Unis, en découvrant comment elles se sont produites, leurs impacts et les leçons que les organisations doivent tirer pour se prémunir contre les menaces futures.

2. Pourquoi les États-Unis sont-ils une cible de choix pour les fuites de données ?#

Étant la plus grande économie du monde, les États-Unis sont une cible de choix pour les cybercriminels en raison de quelques critères distincts :

2.1 La plus grande économie et le plus grand volume de données#

Les États-Unis sont la plus grande économie du monde et un centre mondial pour des secteurs tels que la technologie, la finance, la santé et le commerce de détail, chacun générant et stockant d'énormes quantités de données sensibles. Ces vastes référentiels de données représentent des cibles lucratives pour les attaquants à la recherche de gains financiers, de propriété intellectuelle précieuse ou d'informations personnelles à des fins d'usurpation d'identité et de fraude.

2.2 Présence de grandes entreprises et d'agences gouvernementales#

En tant que puissance économique mondiale, les États-Unis abritent de nombreuses entreprises du Fortune 500, des multinationales et des agences gouvernementales critiques chargées de l'infrastructure et de la sécurité nationale. Ces organisations gèrent des bases de données étendues contenant des données sensibles sur les clients, les employés et les opérations. La nature critique de ces informations augmente à la fois la probabilité et la gravité des fuites, amplifiant les dommages potentiels infligés par les incidents informatiques.

2.3 Mosaïque de réglementations#

Le paysage réglementaire fragmenté entre les États et les secteurs américains crée des normes de cybersécurité incohérentes, entraînant des lacunes potentielles dans la protection et l'application des données. Comparée aux pays dotés de réglementations de cybersécurité uniformes et strictes, cette approche en mosaïque abaisse les barrières pour les cybercriminels, leur facilitant l'identification et l'exploitation des vulnérabilités.

Collectivement, ces facteurs font des États-Unis un environnement particulièrement vulnérable et attrayant pour les cybermenaces, nécessitant des mesures de cybersécurité proactives.

3. Les plus grandes fuites de données aux États-Unis#

Vous trouverez ci-dessous une liste des plus grandes fuites de données aux États-Unis. Les fuites de données sont classées par nombre de comptes touchés, par ordre décroissant.

3.1 Fuite de données de Yahoo (2013–2016)#

Dans une série de cyberattaques menées entre 2013 et 2016, Yahoo a subi ce qui reste la plus grande fuite de données de l'histoire des États-Unis, compromettant environ 3 milliards de comptes utilisateurs. Les informations volées comprenaient des noms, des adresses e-mail, des numéros de téléphone, des dates de naissance, des mots de passe hachés (utilisant MD5, considéré comme non sécurisé) ainsi que des questions et réponses de sécurité non chiffrées. La violation a été liée à des acteurs parrainés par un État, les soupçons se portant sur des agents russes.

L'impact a été majeur : la réputation de Yahoo a subi de graves dommages, et son acquisition en cours par Verizon en 2017 a été dévaluée de 350 millions de dollars US en conséquence directe. Les critiques se sont concentrées sur le retard de divulgation publique de Yahoo et sur ses pratiques de sécurité obsolètes, en particulier l'utilisation d'algorithmes de hachage de mots de passe faibles et l'échec du chiffrement correct des données de sécurité critiques.

Méthodes de prévention :

• Utiliser des normes de chiffrement plus fortes comme bcrypt pour les mots de passe et les informations sensibles
• Établir des protocoles de notification rapide des violations
• Employer l'authentification multifacteur (par ex. les clés d'accès) pour atténuer l'impact du vol d'identifiants

3.2 Fuite de National Public Data (NPD) (2024)#

En mars 2024, National Public Data (NPD), un important courtier en données, a connu l'une des plus grandes fuites de l'histoire des États-Unis, exposant les informations sensibles d'environ 1,3 milliard de personnes. Une base de données mal configurée a permis un accès non autorisé à des dossiers personnels très détaillés, comprenant les noms complets, adresses physiques, dates de naissance, numéros de sécurité sociale, numéros de téléphone et adresses e-mail. Cette fuite a entraîné la compromission de près de 2,9 milliards d'enregistrements de données au total.

Les données exposées présentaient de graves risques d'usurpation d'identité et de fraude, entraînant l'effondrement des opérations de NPD en quelques mois. Les enquêtes ont révélé que l'entreprise manquait de mesures de sécurité fondamentales telles que des contrôles d'accès appropriés aux bases de données et des évaluations régulières des vulnérabilités. L'événement a relancé le débat public sur la réglementation et la surveillance des courtiers en données qui gèrent des volumes massifs d'informations personnelles sans obligations de sécurité suffisantes.

Méthodes de prévention :

• Mettre en œuvre des contrôles d'accès stricts et des mécanismes d'authentification pour les bases de données sensibles
• Auditer et tester régulièrement les systèmes pour détecter les vulnérabilités et les mauvaises configurations
• Chiffrer les informations personnelles au repos et en transit pour minimiser le risque d'exposition

3.3 Fuite de données de Real Estate Wealth Network (2023)#

En septembre 2023, le Real Estate Wealth Network (REWN), un agrégateur de données immobilières, a subi une fuite massive en raison d'une base de données non sécurisée laissée exposée sur Internet sans authentification. Environ 1,5 milliard d'enregistrements de données ont été consultés, notamment des noms, adresses de domicile, registres de propriété, numéros de téléphone et détails sensibles liés à l'immobilier, impliquant des personnalités publiques et des célébrités connues.

La violation a attiré une attention médiatique considérable en raison de l'exposition du patrimoine immobilier d'individus très en vue, suscitant des inquiétudes quant à la sécurité personnelle et aux attaques ciblées. Les experts ont reproché à REWN de ne pas avoir mis en œuvre de protocoles de cybersécurité de base, tels que l'authentification des bases de données, le chiffrement et la journalisation des accès.

Méthodes de prévention :

• Exiger une authentification pour toutes les bases de données, même celles contenant des données de source publique
• Effectuer des tests d'intrusion et des audits de sécurité réguliers
• Surveiller en permanence les actifs exposés pour détecter rapidement les mauvaises configurations

3.4 Fuite de données de Facebook (2019/2021)#

En 2019, des cybercriminels ont exploité la fonction d'importation de contacts de Facebook pour extraire les informations personnelles d'environ 533 millions d'utilisateurs dans 106 pays. Bien que Facebook ait restreint le scraping de données de masse plus tard cette année-là, l'ensemble de données compilé a refait surface publiquement en avril 2021 lorsqu'il a été publié sur un forum de piratage en libre accès.

Contrairement à une faille traditionnelle où les attaquants accèdent directement aux systèmes internes, cet incident impliquait une collecte massive et automatisée de données utilisant les fonctionnalités disponibles de la plateforme. Le jeu de données divulgué comprenait des noms, des numéros de téléphone, des adresses e-mail et des informations de localisation, créant de graves risques d'hameçonnage (phishing), d'attaques par SIM-swapping et d'autres formes d'exploitation d'identité. Facebook a fait l'objet de nombreuses critiques pour avoir sous-estimé les implications des données extraites et pour sa lenteur à réagir à la divulgation.

Méthodes de prévention :

• Limiter l'exposition des données grâce à des contrôles d'accès plus stricts aux API et aux fonctionnalités
• Surveiller les comportements de scraping inhabituels à l'aide d'outils de détection automatisés
• Avertir de manière proactive les utilisateurs et les régulateurs lorsque le scraping de données à grande échelle se produit

3.5 Fuite de données de LinkedIn (2021)#

En juin 2021, LinkedIn a connu un incident majeur de scraping de données, exposant les informations d'environ 700 millions d'utilisateurs (soit environ 92 % de sa base d'utilisateurs à l'époque). Les attaquants ont exploité l'API de LinkedIn pour collecter systématiquement les informations de profil public, y compris les noms, e-mails, numéros de téléphone, données de géolocalisation et historiques professionnels. Le jeu de données extrait a ensuite été mis en vente sur un forum du dark web.

Bien que LinkedIn ait affirmé qu'aucune donnée privée n'avait été violée et que les informations étaient consultables publiquement, les experts en cybersécurité ont souligné que le volume et l'agrégation de données présentaient toujours des risques importants pour l'hameçonnage ciblé, l'ingénierie sociale et l'usurpation d'identité. L'incident a mis en évidence la frontière floue entre le scraping de données « publiques » et les violations graves de la vie privée lorsque ces données sont agrégées à grande échelle.

Méthodes de prévention :

• Mettre en place des limites de débit (rate limiting) et des protections CAPTCHA sur les API pour dissuader le scraping automatisé
• Améliorer les systèmes de détection d'anomalies pour identifier la collecte de données à grande échelle
• Sensibiliser les utilisateurs à la limitation des informations visibles publiquement sur leurs profils

3.6 Fuite de données d'Exactis (2018)#

En juin 2018, Exactis, une société américaine d'agrégation de données et de marketing, a exposé par inadvertance une base de données contenant environ 340 millions d'enregistrements d'individus et d'entreprises. La fuite a été découverte par un chercheur en sécurité qui a trouvé la base de données accessible en ligne sans aucune protection par mot de passe. Les données exposées comprenaient des noms, adresses personnelles, numéros de téléphone, adresses e-mail et des attributs personnels très détaillés tels que les centres d'intérêt, les habitudes et les informations financières.

Bien qu'il n'y ait eu aucune confirmation que des acteurs malveillants ont accédé aux données avant qu'elles ne soient sécurisées, l'étendue et la granularité des informations divulguées présentaient des risques élevés d'usurpation d'identité, d'hameçonnage et d'autres attaques ciblées. L'incident a attiré l'attention sur les pratiques largement non réglementées des courtiers en données et a alimenté les appels à une législation plus stricte sur la confidentialité des données aux États-Unis.

Méthodes de prévention :

• Exiger toujours une authentification pour l'accès aux bases de données
• Limiter la quantité d'informations personnelles sensibles collectées et stockées
• Mener des audits réguliers et des examens de sécurité pour garantir la mise en place de mesures de protection des données adéquates

3.7 Fuite de données de First American Financial Corporation (2019)#

En mai 2019, First American Financial Corporation, l'un des plus grands fournisseurs de services d'assurance de titres et de règlement aux États-Unis, a exposé environ 885 millions de dossiers sensibles en raison d'une vulnérabilité de site Web. En raison d'un contrôle d'accès inadéquat, toute personne disposant d'un lien URL valide vers un document pouvait consulter d'autres documents sans rapport en modifiant simplement les chiffres de l'URL, sans authentification.

Les documents divulgués comprenaient des informations financières et personnelles critiques, telles que des numéros de sécurité sociale, des coordonnées bancaires, des dossiers hypothécaires et des documents fiscaux, exposant les clients à un risque important de fraude et d'usurpation d'identité. La fuite était particulièrement alarmante compte tenu de la nature hautement sensible des dossiers de transactions immobilières, et elle a mis en évidence des lacunes majeures dans les pratiques de sécurité des applications Web dans le secteur de l'assurance et de la finance.

Méthodes de prévention :

• Mettre en œuvre des contrôles d'accès robustes et des vérifications d'authentification pour les référentiels de documents
• Effectuer des tests de sécurité approfondis (par ex. des tests d'intrusion) avant de déployer publiquement des applications
• Surveiller et auditer les modèles d'accès aux applications pour détecter rapidement les comportements anormaux

3.8 Fuite de données de Ticketmaster (2024)#

En mai 2024, Ticketmaster, l'une des plus grandes sociétés de billetterie au monde, a subi une fuite de données massive touchant environ 560 millions de clients dans le monde, dont une proportion importante aux États-Unis. Des attaquants auraient obtenu un accès non autorisé via un environnement de stockage cloud tiers compromis, exposant les noms des clients, les adresses de domicile et e-mail, les numéros de téléphone et, dans certains cas, des détails partiels de cartes de paiement.

La violation a relancé les inquiétudes concernant les risques liés aux fournisseurs tiers et la sécurité du cloud, en particulier pour les plateformes grand public à grande échelle gérant des transactions financières. Elle a également soulevé des questions sur la conformité de l'entreprise avec les normes modernes de protection des données telles que PCI DSS et le RGPD. Ticketmaster a fait face à de multiples recours collectifs et à des enquêtes réglementaires à la suite de l'incident.

Méthodes de prévention :

• Renforcer la gestion des risques liés aux fournisseurs et auditer régulièrement les fournisseurs tiers
• Chiffrer toutes les informations client stockées, en particulier les données liées au paiement
• Mettre en œuvre des modèles d'accès Zero Trust pour les environnements cloud afin de limiter la surface d'attaque

3.9 Fuite de données de MySpace (2016)#

En mai 2016, un pirate informatique connu sous le nom de « Peace » a mis en vente une grande quantité de données d'utilisateurs de MySpace sur le dark web, comprenant environ 427 millions de comptes. Bien que les données semblaient provenir d'une faille survenue en ou avant 2013, elle n'a été découverte que des années plus tard. Les dossiers exposés comprenaient des noms d'utilisateur, des adresses e-mail et des mots de passe qui étaient faiblement protégés avec un hachage SHA-1 sans sel, ce qui les rendait très vulnérables au piratage.

Bien que la popularité de MySpace ait déjà décliné au moment où la faille a fait surface, l'incident présentait tout de même des risques car de nombreux utilisateurs recyclaient leurs mots de passe sur plusieurs plateformes. Par conséquent, les identifiants de la fuite de MySpace pouvaient être utilisés pour des attaques par bourrage d'identifiants (credential stuffing) sur d'autres services. L'événement a souligné le besoin critique de pratiques de hachage de mots de passe solides et d'une détection rapide des failles.

Méthodes de prévention :

• Utiliser des algorithmes de hachage de mots de passe modernes et sécurisés comme bcrypt ou Argon2
• Renouveler régulièrement les pratiques cryptographiques et abandonner les algorithmes obsolètes
• Surveiller les fuites d'identifiants et alerter les utilisateurs pour qu'ils réinitialisent rapidement leurs mots de passe après les violations

3.10 Fuite de données de JPMorgan Chase (2014)#

En 2014, JPMorgan Chase a révélé l'une des failles les plus importantes à avoir jamais frappé le secteur financier américain, touchant environ 76 millions de foyers et 7 millions de petites entreprises. Les attaquants ont obtenu l'accès via le compte d'un employé compromis, exploitant les faiblesses de l'infrastructure réseau de la banque. Bien qu'aucune information financière telle que des numéros de compte, des mots de passe ou des numéros de sécurité sociale n'ait été volée, les attaquants ont obtenu des noms, adresses, adresses e-mail et numéros de téléphone.

La faille a attiré une attention majeure en raison du rôle critique de la banque dans l'économie américaine et a déclenché des alarmes dans l'ensemble du secteur des services financiers concernant la préparation à la cybersécurité. Elle a conduit à un renforcement de la surveillance réglementaire et a incité de nombreuses institutions financières à réévaluer leurs cadres de cybersécurité, en particulier en ce qui concerne les protections des comptes d'employés et la segmentation du réseau.

Méthodes de prévention :

• Appliquer l'authentification multifacteur (MFA) pour tous les comptes internes et externes
• Mettre en œuvre une segmentation réseau robuste pour limiter les déplacements latéraux en cas de compromission
• Tester et mettre à jour régulièrement les protocoles de sécurité pour la gestion de l'accès des employés

4. Tendances dans les fuites de données aux États-Unis#

Après avoir examiné les plus grandes fuites de données survenues aux États-Unis jusqu'en 2025, nous remarquons quelques observations récurrentes à travers ces violations :

4.1 Les mauvaises configurations de base sont aussi problématiques que les cyberattaques sophistiquées#

Un point commun à de nombreuses grandes fuites de données est qu'elles ne résultent pas d'attaques hautement sophistiquées, mais plutôt de mauvaises configurations de base et de vulnérabilités négligées. Des bases de données ouvertes sans protection par mot de passe, des contrôles d'accès faibles et des API mal sécurisées ont permis à maintes reprises aux attaquants d'y entrer facilement. Dans des cas comme les failles de National Public Data et de Real Estate Wealth Network, un simple balayage d'Internet à la recherche de systèmes non sécurisés suffisait pour accéder à des milliards de dossiers. Cela souligne qu'investir dans une hygiène de cybersécurité de base, comme les contrôles d'accès, le chiffrement approprié et le renforcement des systèmes, aurait permis d'éviter nombre de ces incidents.

4.2 Les informations personnelles sont la cible principale#

Une autre tendance notable est le ciblage et l'exposition constants des informations personnelles sensibles. Dans pratiquement toutes les failles, les ensembles de données comprenaient des noms, adresses, dates de naissance, adresses e-mail, numéros de téléphone et, dans les cas les plus dommageables, des numéros de sécurité sociale. L'étendue des détails personnels exposés augmente considérablement le risque d'usurpation d'identité, d'attaques par hameçonnage et de fraude financière. Par exemple, la mise en place de politiques de mots de passe fortes et de contrôles d'accès est cruciale pour la prévention de la fraude dans les associations. Les organisations, même celles qui n'appartiennent pas à des secteurs réglementés comme la finance ou la santé, doivent traiter toute collecte de données personnelles avec les normes de sécurité les plus élevées, car leur valeur pour les attaquants reste constamment élevée.

4.3 Protection des mots de passe et cryptographie faibles#

De mauvaises pratiques de gestion des mots de passe et des protections cryptographiques obsolètes ont encore aggravé les conséquences de plusieurs violations. Dans des incidents tels que ceux de Yahoo et MySpace, les mots de passe ont été soit stockés en utilisant des algorithmes de hachage faibles comme MD5 et SHA-1, soit insuffisamment salés, les rendant facilement déchiffrables une fois volés. Cela a considérablement étendu l'impact en permettant aux attaquants de réutiliser des mots de passe sur d'autres services via le bourrage d'identifiants (credential stuffing). Même lorsque les mots de passe sont volés, des méthodes de chiffrement robustes et des normes cryptographiques modernes peuvent grandement limiter le risque en aval pour les utilisateurs et les entreprises.

4.4 Exploitation d'API et scraping de données de masse#

Une évolution importante des tactiques de violation est le recours croissant à l'exploitation des API et au scraping de données plutôt qu'aux techniques de piratage traditionnelles. Les fuites comme celles de LinkedIn et Facebook ont démontré que les attaquants tirent de plus en plus parti des API mal sécurisées ou des fonctionnalités accessibles au public pour récolter de gros volumes de données utilisateurs. Alors que les entreprises minimisent souvent le scraping en soulignant la nature publique des données, l'agrégation et la combinaison d'informations extraites peuvent créer des bases de données puissantes et dangereuses. Cette tendance souligne la nécessité pour les organisations d'appliquer une limitation de débit stricte, une surveillance et des contrôles d'authentification sur toutes les API et interfaces publiques, en les traitant avec la même rigueur que les systèmes back-end.

5. Conclusion#

Les plus grandes fuites de données de l'histoire des États-Unis révèlent un schéma clair et cohérent : la plupart des incidents étaient évitables. Plutôt que d'être le résultat de cyberattaques hautement avancées, de nombreuses failles ont pour origine des erreurs de base : bases de données non sécurisées, normes cryptographiques obsolètes, protections d'API insuffisantes et sous-estimation de la valeur des informations personnelles. Ces défaillances ont permis aux attaquants d'accéder relativement facilement à des volumes massifs de données sensibles, exposant les individus à des risques tels que l'usurpation d'identité, la fraude financière et les attaques ciblées.

Pour les organisations de toutes tailles et de tous secteurs, les leçons à retenir, à savoir que les fondamentaux de la cybersécurité ne peuvent être négligés, sont claires. La sécurisation des données personnelles exige non seulement des mesures techniques solides, mais également une approche proactive de la configuration des systèmes, des normes cryptographiques, de la gestion des risques des fournisseurs et de la détection des failles. À mesure que la quantité de données collectées croît de manière exponentielle, la responsabilité de les protéger grandit également.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire aux questions#

Pourquoi les pratiques de sécurité de Yahoo ont-elles été jugées inadéquates lors de sa fuite de données de 2013-2016 ?#

Yahoo stockait les mots de passe en utilisant MD5, un algorithme cryptographiquement faible, et gardait les questions et réponses de sécurité entièrement non chiffrées. La fuite a été liée à des acteurs parrainés par un État, soupçonnés d'être des agents russes. Yahoo a fait l'objet de vives critiques pour avoir retardé la divulgation publique, ne révélant toute l'ampleur du problème qu'en 2016 malgré des violations survenues des années plus tôt.

Comment la violation de National Public Data a-elle exposé des milliards d'enregistrements sans cyberattaque sophistiquée ?#

Une base de données mal configurée chez National Public Data a permis un accès non autorisé sans aucune authentification en mars 2024. L'entreprise manquait de mesures de sécurité fondamentales, notamment de contrôles d'accès appropriés aux bases de données et d'évaluations régulières des vulnérabilités. La violation a entraîné la compromission de près de 2,9 milliards d'enregistrements de données et a directement conduit à l'effondrement opérationnel de NPD en quelques mois.

Pourquoi le scraping d'API est-il considéré comme un risque grave de fuite de données même lorsque les données extraites sont techniquement publiques ?#

Les attaquants exploitent des API mal sécurisées pour collecter des données à grande échelle, comme l'ont démontré les fuites de LinkedIn (700 millions d'utilisateurs, soit environ 92 % de sa base d'utilisateurs) et de Facebook (533 millions d'utilisateurs). L'agrégation de points de données individuellement publics crée des profils personnels détaillés permettant l'hameçonnage, le SIM-swapping et l'usurpation d'identité à grande échelle.

Quelles défaillances de hachage des mots de passe ont aggravé l'impact en aval des fuites de Yahoo et MySpace ?#

Yahoo a utilisé le hachage MD5 et MySpace a utilisé le SHA-1 sans sel, tous deux étant des standards cryptographiquement faibles. Ces méthodes ont rendu les identifiants volés facilement déchiffrables, permettant aux attaquants de mener des attaques par bourrage d'identifiants (credential stuffing) sur d'autres plateformes où les utilisateurs recyclaient leurs mots de passe. Des algorithmes modernes comme bcrypt ou Argon2 réduiraient considérablement ce risque en aval.

Comment le paysage réglementaire fragmenté des États-Unis augmente-t-il la vulnérabilité des organisations aux fuites de données ?#

La mosaïque de réglementations américaines au niveau des États et des secteurs crée des normes de cybersécurité incohérentes, laissant des failles dans la protection des données et son application. Par rapport aux pays dotés de réglementations uniformes et strictes, cette approche abaisse les barrières pour les cybercriminels souhaitant identifier et exploiter des vulnérabilités. Des courtiers en données comme NPD et Exactis opéraient avec des obligations de sécurité minimales malgré la détention de milliards de dossiers personnels sensibles.