Cette faille critique de janvier 2026 expose vos mots de passe… et vous ne le savez pas

Entre le 4 et le 9 janvier, vos données personnelles ont peut-être été exposées sans que personne ne vous prévienne. Identifiants de connexion, pièces justificatives, informations bancaires : une faille chez un sous-traitant de Service-public.fr a ouvert vos comptes aux hackers. Et ce n’est que le début d’une série noire pour l’État français.

Comment cette faille permet aux hackers d’accéder à vos comptes

Le scénario est glaçant de simplicité. Un sous-traitant de Service-public.fr a laissé filtrer des informations de connexion entre début et mi-janvier.

Résultat : si vous avez utilisé la plateforme durant cette période, vos identifiants circulent potentiellement sur le dark web.

Le 9 janvier, HubEE, le portail d’échange de données administratives, subit une intrusion massive. Des dizaines de milliers de dossiers s’envolent : actes de naissance, justificatifs de domicile, documents fiscaux. La Dinum coupe les services en urgence. Ils ne reprennent que le 12 janvier.

Pendant ce temps, la plateforme GAEL de l’Éducation nationale tombe elle aussi. La cause ? Des identifiants sans authentification multifacteurs. Une négligence qui rappelle la cyberattaque de novembre contre la police nationale, où des mots de passe circulaient en clair par email.

Les 3 signes qui prouvent que vos données sont déjà compromises

Vous pensez être épargné ? Vérifiez ces trois alertes :

• Vous recevez des emails de réinitialisation de mot de passe que vous n’avez pas demandés
• Vos comptes administratifs affichent des connexions depuis des localisations inhabituelles
• Des tentatives d’accès échouées apparaissent dans votre historique Service-public.fr

Ces signaux faibles trahissent souvent une compromission en cours. Les hackers testent vos identifiants avant de frapper plus fort : ouverture de comptes frauduleux, demandes d’aides sociales détournées, usurpation d’identité administrative.

L’ANSSI le confirme : la grande majorité des intrusions proviennent d’un vol de mots de passe sans authentification renforcée. Exactement ce qui s’est passé sur HubEE et GAEL.

La manipulation simple qui bloque immédiatement les pirates

Première action : activez l’authentification à deux facteurs sur tous vos comptes administratifs. Service-public.fr, impots.gouv.fr, Ameli : aucune exception.

Cette double vérification stoppe net la quasi-totalité des tentatives d’intrusion, même avec des identifiants volés.

Changez ensuite vos mots de passe. Pas un simple 2025 transformé en 2026. Un mot de passe unique par service, d’au moins 12 caractères. Utilisez un gestionnaire de mots de passe si vous craignez de les oublier.

Surveillez vos comptes bancaires et vos relevés d’opérations administratives. La moindre anomalie doit déclencher une alerte immédiate auprès de la plateforme concernée. Pour protéger ses mots de passe efficacement, adoptez une veille mensuelle de vos accès.

Dernière précaution : méfiez-vous des emails prétendant venir de l’administration. Les hackers exploitent ces fuites pour lancer des campagnes de phishing ultra-ciblées. Ils connaissent votre nom, votre adresse, vos démarches en cours.

Ne cliquez jamais sur un lien suspect, même s’il semble légitime.

La prochaine faille est peut-être déjà en cours. Votre seule défense : agir maintenant, avant que vos données ne deviennent monnaie d’échange.