Cyberactualité France juin juillet 2026 - Tchap piraté, Pulsy santé, fuites données voyageurs

Juin-juillet 2026 : Tchap piraté (73 000 agents de l'État), Pulsy santé (5,8M dossiers), vos données de voyage exposées – La vague estivale ne faiblit pas

L'été 2026 n'a apporté aucun répit sur le front de la cybersécurité française. Juin a frappé fort avec deux incidents d'une gravité symbolique et pratique majeure : le piratage de Tchap, la messagerie chiffrée souveraine de l'État français utilisée par 300 000 agents, et la fuite massive de données de santé chez Pulsy Grand Est, touchant potentiellement des millions de dossiers patients. Juillet enchaîne avec des fuites touchant les données de voyage (Flymoove), l'immobilier (Century 21), le secteur associatif et même le Comité Social et Économique de la RATP. La leçon de ces six premières semaines d'été est sans appel : aucun secteur, aucune organisation, aucune technologie labellisée « souveraine » n'est à l'abri. Le facteur humain – un compte compromis, un agent peu vigilant, un mot de passe réutilisé – reste le vecteur d'attaque numéro un. Tour d'horizon complet et actions prioritaires.

Tchap (messagerie État)
7 juin 2026
73 000 agents concernés, 643 000 messages revendiqués, 13,5 Go de données dont 90 docs « Diffusion restreinte »
Pulsy Grand Est (e-santé)
18 juin 2026
180 750 identités patients confirmées, jusqu'à 5,8M revendiqués. Données médicales, INS, coordonnées.
Flymoove (covoiturage)
Juillet 2026
116 000 voyageurs, 587 documents d'identité (CNI + passeports), itinéraires et dates de voyage exposés.
Century 21 France
Juin 2026
Données RH exposées : noms, e-mails, dates de naissance, fonctions, dates d'embauche de salariés.
CSE RATP
Juillet 2026
Ransomware TheGentlemen. Données membres du comité d'entreprise potentiellement compromises.
Fédération Sportive Police Nationale
22 juin 2026
224 000 personnes, 14 ans de données : grades, certificats médicaux, documents internes d'agents.

Tchap : quand la messagerie « souveraine » de l'État est compromise par un seul compte

Ce qui s'est passé le 7 juin 2026

Le 7 juin 2026, l'ANSSI a détecté une compromission du service Tchap – la messagerie instantanée chiffrée déployée dans l'ensemble des ministères français depuis septembre 2025 et utilisée par près de 300 000 agents publics. Le lendemain, la DINUM (Direction interministérielle du numérique) confirmait l'incident publiquement. Le vecteur d'attaque est aussi simple qu'édifiant : l'usurpation d'un unique compte utilisateur, apparemment lié à un environnement de l'Éducation nationale, qui a suffi à ouvrir l'accès aux espaces collaboratifs interministériels de la plateforme.

Sur un forum cybercriminel relayé par FrenchBreaches, l'attaquant a revendiqué l'accès à 73 467 comptes d'agents, 643 459 messages couvrant une période allant de juin 2023 à juin 2026, ainsi que 59 000 fichiers représentant environ 13,5 Go de données – dont des documents PDF, des fichiers bureautiques, des images et, élément particulièrement préoccupant, 90 documents portant la mention « Diffusion restreinte ». Ces chiffres émanent de l'attaquant lui-même et n'ont pas tous été confirmés officiellement ; la DINUM a en revanche reconnu l'incident sans contester les ordres de grandeur.

Point technique crucial : le chiffrement de Tchap n'a pas été brisé. Les conversations privées, chiffrées de bout en bout via le protocole Matrix/Olm, restent protégées même en cas d'usurpation de compte. Ce qui a été exposé, ce sont les salons publics de la plateforme – des espaces collaboratifs non chiffrés accessibles à tous les utilisateurs inscrits. La DINUM a rappelé dans son communiqué qu'aucune information sensible ne devrait jamais transiter par ces espaces. Une recommandation manifestement ignorée par une partie des 300 000 agents utilisateurs.

Ce que cet incident révèle structurellement

L'affaire Tchap illustre une vérité que les experts en cybersécurité répètent sans relâche : un label « souverain » ou « sécurisé » ne dispense pas de vigilance humaine. Tchap était validée par l'ANSSI, opérée par la DINUM, hébergée sur le cloud du ministère de l'Intérieur, soumise à aucune réglementation étrangère. Pourtant, un identifiant légitime détourné a suffi à ouvrir les portes de l'intérieur. C'est exactement le même vecteur qui avait compromis le ministère de l'Intérieur en décembre 2025, le ministère des Sports peu après, l'ANTS en avril 2026 avec son faille IDOR, et maintenant Tchap. La chaîne de compromissions visant l'État français repose dans la quasi-totalité des cas sur des identifiants mal protégés, et non sur des exploits techniques sophistiqués.

La CNIL a été notifiée. Des investigations sont en cours pour déterminer précisément les conversations consultées. Par mesure conservatoire, le compte compromis a immédiatement été bloqué après détection. L'incident a néanmoins déclenché un rappel d'urgence à l'ensemble des utilisateurs de Tchap quant aux bonnes pratiques d'utilisation des salons publics – une mesure de prévention qui aurait dû être au cœur de la formation au déploiement de l'outil.

🔴 Si vous êtes agent public utilisateur de Tchap
Changez immédiatement votre mot de passe Tchap et activez le MFA (authentification multifacteur) si ce n'est pas déjà fait. N'échangez jamais d'informations sensibles, personnelles ou couvertes par le secret professionnel dans un salon public. Vérifiez les sessions actives sur votre compte pour détecter tout accès non autorisé. En cas de doute sur une compromission, signalez-le à votre RSSI et à l'ANSSI via le dispositif prévu à cet effet.

Pulsy Grand Est : 5,8 millions de dossiers médicaux en vente sur le dark web

L'attaque du 18 juin 2026

Le 18 juin 2026 à 6h00, Pulsy – le groupement régional d'appui au développement de la e-santé du Grand Est, créé en 2018 à l'initiative de l'ARS, de l'Assurance maladie et de la Région – a détecté un incident de sécurité. En l'espace de trois heures, des attaquants ont exfiltré des données patients à partir de comptes légitimes de professionnels de santé préalablement compromis. Pulsy a immédiatement renforcé ses mesures de sécurité, engagé des investigations, notifié la CNIL et informé le CERT Santé. Une plainte a été déposée.

Sur un forum cybercriminel, l'auteur de l'attaque a revendiqué la détention de 5,86 millions d'enregistrements pour un volume de plus de 35 Go. Pulsy conteste ce chiffre : l'organisme a officiellement confirmé l'extraction d'un fichier de 180 750 identités patients contenant noms, prénoms, dates de naissance, sexe, adresses postales, adresses électroniques, numéros de téléphone, nationalité. La différence entre les 180 000 patients confirmés et les 5,8 millions revendiqués reste à élucider par les investigations en cours.

Même dans sa version confirmée, cette fuite est particulièrement préoccupante : les données de santé sont parmi les plus sensibles qui soient. Elles permettent des arnaques ciblées d'une précision redoutable – un faux message prétendant venir de votre médecin, de l'Assurance maladie ou d'un établissement hospitalier, mentionnant votre vrai nom, votre date de naissance et votre parcours de soins, a toutes les chances de tromper même un utilisateur vigilant. Pulsy gère les flux de données de nombreux établissements hospitaliers et médico-sociaux de la région Grand Est via un data center basé à Metz.

⚠️ Si vous avez été pris en charge dans un établissement de santé du Grand Est
Vos données ont pu transiter par les systèmes Pulsy. Soyez particulièrement vigilant face aux appels téléphoniques, SMS ou e-mails sollicitant des informations médicales, administratives ou d'assurance maladie. Ne communiquez jamais vos identifiants Ameli, votre numéro de sécurité sociale ou vos coordonnées bancaires par ce biais. En cas de doute, contactez directement votre établissement de santé ou l'Assurance maladie via leurs numéros officiels.

Flymoove, Century 21, CSE RATP, Fédération Sportive de la Police : la diversité des victimes de juillet

Flymoove : vos documents d'identité et itinéraires de voyage exposés

La plateforme française de covoiturage Flymoove a subi une fuite documentée en juillet 2026, exposant les données de 116 000 voyageurs. La particularité de cet incident : parmi les données exfiltrées figurent non seulement les informations classiques de contact (nom, prénom, e-mail, date de naissance, numéro de téléphone) mais aussi 587 documents d'identité – cartes nationales d'identité et passeports – ainsi que les itinéraires complets de voyage, dates de départ et numéros de titres de transport. La présence de documents d'identité scannés parmi les données volées est particulièrement grave : ces documents permettent des tentatives d'usurpation d'identité complètes, bien au-delà du simple phishing. Si vous avez utilisé Flymoove et transmis une copie de votre pièce d'identité, considérez votre document comme potentiellement compromis et signalez-le à votre mairie.

Century 21 France : les données RH des agences immobilières exposées

Une base de données attribuée à Century 21 France a été publiée sur un forum cybercriminel en juin 2026. Les données concernent les salariés du réseau d'agences immobilières : noms, prénoms, adresses e-mail professionnelles, dates de naissance, fonctions occupées et dates d'embauche. Si l'impact pour les clients particuliers semble limité dans l'immédiat, les données RH exposées constituent un vecteur d'attaques de spear-phishing contre les employés (faux messages RH, fausses demandes de virement de salaire) et permettent de reconstituer des organigrammes utilisables dans des attaques d'ingénierie sociale plus larges.

CSE de la RATP : ransomware TheGentlemen

Le Comité Social et Économique de la RATP a été ajouté au site de fuite du groupe ransomware TheGentlemen en juillet 2026. Ce groupe, particulièrement actif contre des cibles françaises depuis le printemps, a également revendiqué des attaques contre Vera Chimie Management, Amigest et COFAQ sur la même période. Le modèle opératoire est classique : chiffrement des données, exfiltration préalable, puis double extorsion (rançon pour le déchiffrement + rançon pour ne pas publier les données). Les membres du CE de la RATP et leurs données personnelles (identité, avantages salariaux, informations syndicales) pourraient être concernés.

Fédération Sportive de la Police Nationale : 224 000 personnes, 14 ans de données

Annoncée le 22 juin 2026, la fuite visant la Fédération Sportive de la Police Nationale expose environ 224 000 personnes sur quatorze années de données. Les informations concernées incluent des éléments particulièrement sensibles pour des agents de forces de l'ordre : grades, adresses postales, adresses e-mail, dates de naissance, certificats médicaux et documents internes. La présence de grades et d'informations professionnelles d'agents de police dans une base cybercriminelle représente un risque qui dépasse la fraude numérique classique et peut avoir des implications pour la sécurité physique des personnes concernées.

Le fil rouge : l'usurpation de compte reste le vecteur d'attaque dominant

En analysant les incidents de juin-juillet 2026, un constat s'impose avec une clarté troublante : dans la quasi-totalité des cas – Tchap, Pulsy, la Fédération Sportive de la Police Nationale – le point d'entrée de l'attaquant n'est pas une faille technique sophistiquée mais un compte légitime compromis. Un identifiant et un mot de passe volés, achetés sur le dark web à partir d'une fuite antérieure ou récupérés via phishing, suffisent à ouvrir des portes que des millions d'euros d'infrastructure sécurisée ne peuvent pas fermer de l'intérieur.

C'est précisément pour cette raison que la CNIL a appelé dans son rapport annuel 2026 à la généralisation du MFA dans toutes les administrations – une recommandation qui fait également partie du plan à 200 millions d'euros annoncé par le Premier ministre le 30 avril. Si un identifiant compromis ne permet plus d'accéder à un compte sans un deuxième facteur d'authentification, toute une classe d'attaques devient instantanément inopérante. La même logique s'applique à vous, en tant que particulier.

Le bilan de la vague cyber française au 11 juillet 2026
Depuis janvier 2026, 549 fuites documentées ont été identifiées par Orange Cyberdefense entre le 1er janvier et le 24 avril, et la cadence n'a pas ralenti en mai-juillet. La France reste le pays le plus attaqué d'Europe, avec des secteurs aussi variés que la santé, l'immobilier, les transports, les forces de l'ordre, le jeu vidéo et maintenant la messagerie souveraine de l'État. Vos données personnelles circulent vraisemblablement dans plusieurs de ces bases – la question n'est plus si vous avez été exposé, mais combien de fois et par quels vecteurs vos informations peuvent être exploitées.

Actions prioritaires : ce que vous devez faire maintenant

  1. Si vous avez utilisé Flymoove et transmis une pièce d'identité : signalez la situation à votre mairie pour être informé des démarches en cas d'usurpation d'identité. Surveillez attentivement toute ouverture de compte bancaire ou souscription de crédit à votre nom. Consultez votre dossier de crédit sur les plateformes dédiées (FICP, FNCI) pour détecter tout mouvement suspect.
  2. Activez le MFA sur absolument tous vos comptes : c'est la leçon centrale de juin-juillet 2026. Tchap a été compromise par un identifiant volé – avec le MFA activé, cela n'aurait pas suffi. Priorité : messagerie principale, banque, impôts.gouv.fr, Ameli, réseaux sociaux. Notre guide 2FA vs Passkeys en 2026 vous détaille les options.
  3. Ne réutilisez aucun mot de passe : la quasi-totalité des compromissions de comptes en 2026 repose sur la réutilisation de mots de passe issus de fuites antérieures. Un mot de passe unique par service – généré via notre générateur de mot de passe sécurisé – rend le credential stuffing totalement inopérant. Si c'est trop difficile à gérer manuellement, adoptez un gestionnaire de mots de passe (notre article dédié).
  4. Vérifiez vos expositions sur Have I Been Pwned : avec 549+ fuites documentées depuis janvier 2026, les probabilités que votre adresse e-mail principale figure dans au moins une base compromise sont élevées. Testez toutes vos adresses sur haveibeenpwned.com et activez les alertes automatiques.
  5. Méfiez-vous particulièrement des messages liés à la santé cet été : après la fuite Pulsy, des vagues de phishing imitant l'Assurance maladie, des établissements hospitaliers ou des médecins vont circuler en exploitant de vraies données médicales. Ne cliquez jamais sur un lien dans ce type de message – accédez directement à ameli.fr depuis votre navigateur.
  6. Vérifiez les sessions actives sur vos comptes professionnels : si vous êtes agent public, salarié d'une grande entreprise ou d'une collectivité, vérifiez les accès actifs sur vos outils collaboratifs (messagerie, drive, outils métier). Un accès non reconnu doit être immédiatement signalé à votre service informatique.
  7. Signalez tout message suspect : SMS au 33700, sites frauduleux sur Pharos (internet-signalement.gouv.fr), escroqueries en ligne sur THESEE, assistance personnalisée sur 17Cyber (17cyber.gouv.fr).

Conclusion : l'été 2026 confirme que la menace est permanente – et humaine avant d'être technique

Tchap piraté par un compte compromis. Pulsy exfiltré via des identifiants de professionnels de santé volés. La Fédération Sportive de la Police Nationale victime d'une intrusion exploitant des accès légitimes. Le fil conducteur de juin-juillet 2026 est d'une cohérence brutale : la technologie la plus sécurisée du monde ne peut rien contre un identifiant faible ou réutilisé entre les mains d'un attaquant.

La bonne nouvelle, si on peut l'appeler ainsi, est que la parade est à portée de tous : un mot de passe fort et unique par service, le MFA activé partout, un gestionnaire de mots de passe pour gérer tout cela sans effort, et une vigilance permanente face aux messages inattendus. Ces quatre habitudes, prises ensemble, éliminent la grande majorité des vecteurs d'attaque documentés en 2026.

Prenez dix minutes maintenant. Vérifiez vos adresses e-mail sur Have I Been Pwned, générez un nouveau mot de passe fort pour votre messagerie principale via notre générateur de mot de passe sécurisé, et activez la 2FA sur votre banque si ce n'est pas déjà fait. Ces dix minutes peuvent faire la différence entre une tentative de piratage qui échoue et une qui vous coûte des semaines de démarches.

Retour au blog