Un nouveau danger plane sur les automobilistes français. L’un des piliers du contrôle technique s’effondre sous une cyberattaque aussi invisible que redoutable. Mais qu’est-ce qui a été dérobé ?
Cybersécurité : Autosur ciblé, les plaques d’immatriculation vendues sur le darknet
Par
Publié le 1 avril 2025 à 6h00
5000 DOLLARSLEs données volées chezAutosur seraient en vente pour 5000 dollars.
Le 26 mars 2025, la cybersécurité en France a essuyé un nouveau revers spectaculaire. Autosur, géant du diagnostic routier, a confirmé avoir été la cible d’un piratage d’ampleur, exposant les données personnelles de près de quatre millions de conducteurs. Un épisode inquiétant, révélateur de la fragilité persistante des infrastructures numériques, malgré les alertes répétées des autorités en charge du piratage informatique.
Autosur : Un piratage qui a de quoi fortement inquiéter les automobilistes
Quand un simple centre de contrôle devient le terrain d’un pillage informatique massif, une question s’impose : qui protège encore les données les plus banales ? Autosur, pourtant figure installée de la filière, a révélé que des « informations de contact limitées » ont été dérobées, soit les noms, prénoms, adresses postales, emails, téléphones et plaques d’immatriculation de millions de clients.
Mais la version officielle, relayée dans un communiqué du 28 mars 2025, est aussitôt contredite par les informations de Zataz qui évoque un butin autrement plus étoffé : plus de 12,3 millions de lignes de données contenant également des mots de passe, des numéros de série de véhicules, et même des éléments commerciaux et internes.
Le pirate aurait mis en vente l’ensemble de ces données sur le darknet pour une somme comprise entre 5 000 et 7 500 dollars en cryptomonnaie. Une broutille pour des cybercriminels aguerris ; un gouffre de risques pour les consommateurs.
Piratage, plaques d’immatriculation et arnaques ciblées
Les dangers ? Réels, nombreux, concrets. Selon Autosur, aucune donnée bancaire n’a été compromise. Une précision censée rassurer. Mais est-ce suffisant ? Certainement pas. Car avec une plaque et une adresse, les escrocs peuvent simuler des infractions, envoyer de faux PV, ou pire, revendre l’identité numérique du véhicule pour des fraudes à l’assurance.
La plateforme Cybermalveillance.gouv.fr a immédiatement mis en garde contre des risques accrus de phishing, d’usurpation d’identité et de fraudes documentaires. Et l’entreprise ne nie pas. « Nos clients ont été informés en conséquence. La protection des données est une priorité absolue pour notre entreprise et nous prenons cet incident très au sérieux », a déclaré une porte-parole d’Autosur auprès de BFM TV.
CNIL, ANSSI, justice : Autosur s’active pour limiter les dégâts
Dans l’urgence, Autosur a déposé plainte et déclenché un audit interne avec l’appui de spécialistes référencés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). La CNIL (Commission nationale de l’informatique et des libertés) a également été saisie, conformément au RGPD.
Selon les premières hypothèses, la faille proviendrait d’un service applicatif mal sécurisé, peut-être un serveur FTP obsolète. Mais rien n’est confirmé. Ce que l’on sait, en revanche, c’est que la base aurait été extraite en plusieurs fichiers CSV compressés, désormais disséminés sur des forums spécialisés. Une source directe de fuites documentaires.
Pendant ce temps, la société invite les usagers à la plus grande vigilance : ne pas répondre aux courriels suspects, ne jamais fournir ses informations personnelles par téléphone, et surveiller les messages évoquant le contrôle technique ou un prétendu rendez-vous manqué.
Une répétition inquiétante dans le paysage du piratage français
Ce piratage massif s’inscrit dans une série noire préoccupante. Intersport, Chronopost, Kiabi, Banque Populaire, Maif… toutes ces structures ont vu leurs bases compromises depuis janvier 2025. Le groupement d’intérêt public Action contre la cybermalveillance le résume ainsi, le 27 mars 2025 : « Les piratages ciblant les identifiants et mots de passe ont triplé entre 2023 et 2024 ».
Le problème n’est donc pas isolé. Il est structurel. Il interroge la capacité des entreprises à investir durablement dans la cybersécurité, et celle de l’État à faire appliquer les obligations de prévention en matière de données personnelles. Pendant ce temps, les clients trinquent, leurs identifiants circulant librement à l’insu de leur plein gré.