Searcher : un moteur de recherche expose les donnees de millions de Francais
Un simple moteur de recherche, baptise Searcher, permet depuis quelques jours d'exhumer en quelques clics des millions de donnees confidentielles appartenant a des Francais. Nom, prenom, date et lieu de naissance, adresse postale, IBAN, numero de passeport, numero de Securite sociale, plaque d'immatriculation ou encore rendez-vous medicaux : la quasi-totalite de l'identite administrative d'une personne peut etre reconstituee gratuitement, jusqu'au 15 juin, avant que l'acces ne devienne payant.
Revelee par une enquete de franceinfo, l'affaire suscite une vive inquietude chez les specialistes de la cybersecurite. Sous une interface depouillee, ce site agrege des informations issues de multiples fuites de donnees survenues ces derniers mois et les rend interrogeables comme un annuaire. Il suffit d'un nom ou d'une adresse pour voir s'afficher un profil parfois terriblement complet.
La force de l'outil, et toute sa dangerosite, tient a cette logique d'agregation. Prises separement, des donnees eparpillees sur le web ont une valeur limitee. Mais une fois recoupees et reunies au sein d'un meme moteur, elles dessinent une cartographie intime de la vie de millions de citoyens, ouvrant la voie a l'usurpation d'identite et a la fraude.
Des donnees bancaires, medicales et administratives reunies
Le catalogue des informations accessibles donne le vertige. Au-dela de l'etat civil classique, Searcher serait en mesure de devoiler l'IBAN d'un compte bancaire, le numero de Securite sociale, le numero de passeport, la plaque d'immatriculation d'un vehicule, mais aussi des elements particulierement sensibles comme le centre de soins frequente, les rendez-vous medicaux ou le nombre d'enfants d'un foyer.
Cette accumulation transforme un outil en apparence anodin en veritable arme pour les escrocs. Avec un IBAN et une identite complete, un fraudeur peut tenter de mettre en place des prelevements frauduleux ou de monter des operations d'ingenierie sociale particulierement credibles, en se faisant passer pour une banque, une administration ou un organisme de sante.
Le phenomene s'inscrit dans une annee 2026 deja marquee par une succession de fuites massives en France. Plusieurs dizaines de millions d'informations personnelles ont ete derobees en ligne, des coordonnees aux donnees financieres. Fin janvier, un acteur malveillant a pu consulter une partie du fichier national des comptes bancaires, le Ficoba, portant sur environ 1,2 million de comptes. En avril, l'extraction de donnees d'un Crous a expose les informations de quelque 774 000 etudiants.
Cette cascade d'incidents rappelle d'autres episodes recents, comme la fuite des donnees medicales de 15 millions de Francais chez Cegedim, ou encore la cyberattaque contre la CAF qui avait expose les donnees de 8 millions de personnes. A chaque fois, les donnees subtilisees finissent par alimenter des bases revendues ou agregees sur des plateformes comme Searcher.
Comment limiter les risques pour ses donnees personnelles
Face a ce type de service, les marges de manoeuvre individuelles restent limitees, puisque les donnees proviennent de fuites deja survenues et echappent au controle des victimes. Les experts recommandent neanmoins une vigilance renforcee, en particulier sur les courriels et SMS demandant des informations bancaires ou invitant a cliquer sur un lien, qui constituent la principale porte d'entree des arnaques.
Plusieurs reflexes permettent de reduire la surface d'exposition : surveiller regulierement ses releves bancaires, activer la double authentification sur les comptes sensibles, ne jamais communiquer de code recu par SMS et signaler toute operation suspecte a sa banque. En cas d'usurpation averee, un depot de plainte et un signalement sur les plateformes officielles dediees a la cybermalveillance sont vivement conseilles.
La Commission nationale de l'informatique et des libertes rappelle par ailleurs que toute personne dispose d'un droit a l'effacement et au dereferencement de ses donnees. Il est possible de demander a un site la suppression d'informations personnelles, puis, en cas de refus, de saisir l'autorite par une plainte. La conservation de captures d'ecran et d'echanges ecrits, avec leurs dates, facilite l'instruction de ces dossiers.
Reste la question de la responsabilite de telles plateformes. En centralisant et en monnayant l'acces a des donnees sensibles, ces moteurs de recherche se placent dans une zone grise, voire en infraction avec le Reglement general sur la protection des donnees. L'affaire Searcher pourrait ainsi relancer le debat sur les moyens, juridiques et techniques, dont disposent reellement les autorites pour faire fermer des sites heberges souvent hors de portee de la justice francaise.