Cybersécurité & Numérique · 18/07/2026

Fuite SFR : 2,1 millions de fiches clients fibre revendiquées via un outil interne — pourquoi foyers et PME des Hauts-de-France doivent se préparer à la vague d'arnaques au faux technicien

Une base de 2,1 millions de lignes clients fibre SFR a été revendiquée le 17 juillet 2026, extraite via l'outil interne NOVA. Adresses au niveau de l'étage, numéros de série des box, topologie fibre : de quoi alimenter des arnaques au faux technicien très crédibles. Ce qu'il faut vérifier — et les réflexes à adopter, chez soi comme en entreprise.

Fuite SFR : 2,1 millions de fiches clients fibre revendiquées via un outil interne — pourquoi foyers et PME des Hauts-de-France doivent se préparer à la vague d'arnaques au faux technicien
Cybersécurité & Numérique
Une fuite de données attribuée à SFR a été revendiquée le 17 juillet 2026 sur les canaux cybercriminels : l'auteur affirme avoir accédé à un outil interne de l'opérateur baptisé NOVA et en avoir extrait une base partielle de 2 104 093 lignes, concernant principalement des clients fibre. Selon l'observatoire Cyberattaque.org, qui a documenté la revendication, l'extraction aurait débuté le 30 juin avant d'être détectée et interrompue par les systèmes de surveillance de l'opérateur. Au moment où nous publions, SFR n'a pas confirmé publiquement l'incident : le volume annoncé et l'authenticité complète des données restent à vérifier. Mais l'échantillon diffusé suffit à prendre la menace au sérieux : identité, adresse postale complète — jusqu'à l'étage, l'escalier et le bâtiment —, numéros fixe et mobile, offre souscrite, modèle et numéro de série de la box, et même les références techniques du raccordement fibre. Autrement dit, tout ce qu'il faut pour monter des arnaques « au faux technicien » d'une crédibilité redoutable. Dans une région aussi densément fibrée que les Hauts-de-France, où l'habitat collectif de la métropole lilloise se prête particulièrement à ce type de fraude à domicile, foyers comme TPE-PME ont intérêt à relever leur niveau de vigilance dès maintenant. C'est aussi le troisième épisode de fuite de données touchant SFR en moins de deux ans — et le deuxième via un outil interne — dans un été où les revendications s'enchaînent à un rythme inédit contre les entreprises et organisations françaises.

Ce que contient la base revendiquée : bien plus qu'un fichier clients

D'après l'analyse de l'échantillon publiée par Cyberattaque.org, les fiches relient l'identité d'un abonné à l'ensemble des caractéristiques de sa ligne. On y trouverait trois familles de données. D'abord, les données personnelles classiques : nom, prénom, civilité, adresse postale complète avec complément (bâtiment, escalier, étage), numéros de téléphone fixe et mobile, identifiants clients, offre Internet souscrite, statut de la ligne et dates de dernière activité. Ensuite, des données techniques d'équipement rarement présentes dans les fuites grand public : adresses IPv4 et préfixes IPv6, adresses MAC, numéros de série de la box et de l'ONT fibre, version logicielle, puissance optique, débit, état de la téléphonie VoIP. Enfin — et c'est le plus inhabituel — la topologie du raccordement : point de mutualisation, point de branchement optique, OLT, carte, port, références de câbles, couleurs de fibres, opérateur d'immeuble et gestionnaire du bâtiment, avec des coordonnées géographiques précises. Cette cartographie intéresse moins les escrocs que les acteurs capables de cibler l'infrastructure elle-même : sa diffusion constituerait aussi un risque pour l'opérateur et ses partenaires de réseau. Point notable : aucun mot de passe, numéro de carte bancaire ou IBAN n'apparaît dans l'échantillon diffusé. Mais l'expérience des fuites récentes montre que l'ingénierie sociale n'a pas besoin de données bancaires : la combinaison identité + adresse précise + détails techniques de la ligne suffit à rendre un faux appel « SFR » quasi indétectable pour une victime non préparée.

Une revendication sérieuse, mais pas encore confirmée

Rappelons la prudence méthodologique qui s'impose : à ce stade, il s'agit d'une revendication cybercriminelle, documentée par un observatoire spécialisé et reprise par la presse professionnelle, mais non confirmée officiellement par SFR. Le chiffre de 2 104 093 lignes correspond à l'extraction partielle revendiquée — l'auteur affirme que l'environnement accessible contenait des données sur bien davantage de clients — et ne permet pas de déterminer le nombre de clients uniques réellement concernés, plusieurs lignes pouvant renvoyer au même foyer. Si l'incident est confirmé, l'opérateur devra notifier la CNIL sous 72 heures et, en cas de risque élevé pour les personnes, informer individuellement les abonnés concernés, conformément au RGPD. Un précédent pèse lourd dans la filière : le 13 janvier 2026, la CNIL a infligé 42 millions d'euros d'amende à Free et Free Mobile (27 et 15 millions respectivement) pour la fuite d'octobre 2024 ayant exposé 24 millions de contrats d'abonnés, IBAN compris — en retenant des manquements à la sécurité des traitements (article 32) et à l'information des personnes (article 34).

SFR, troisième alerte en moins de deux ans — et toute la filière fibre est visée

Pour SFR, la répétition interpelle. En septembre 2024, l'opérateur avait reconnu un « accès externe non autorisé » ayant exposé les données d'environ 50 000 clients, coordonnées bancaires comprises, avant qu'une base présentée comme contenant 3,6 millions de fiches ne soit mise en vente sur le dark web. En décembre 2025, rebelote : des pirates ont ciblé un outil utilisé par les techniciens du réseau fixe pour gérer les interventions de raccordement, dérobant les données de plusieurs millions de clients selon la revendication — sans coordonnées bancaires. La fuite revendiquée ce 17 juillet, via l'outil interne NOVA, suivrait donc le même mode opératoire : compromettre les applications métiers des techniciens, là où se concentrent les fiches les plus détaillées. Le problème dépasse SFR. En mai 2026, une base attribuée à Bouygues Telecom et présentée comme couvrant 4,1 millions de clients fibre a été mise en vente. Le 14 juillet, c'est l'opérateur d'infrastructure Kosc Telecom qui voyait revendiquer près de 4 000 diagnostics et accès fibre. Les outils de gestion des interventions fibre — massivement sous-traitées — sont devenus une cible de choix : ils concentrent exactement les données qui rendent les fraudes crédibles, et leur surface d'accès (techniciens, prestataires, comptes partagés) est difficile à verrouiller.

Une semaine noire pour les données des Français

La revendication SFR clôt une séquence particulièrement chargée : entre le 14 et le 17 juillet, une série de fuites a été revendiquée contre des organisations françaises de toutes tailles — Kosc Telecom, le groupe hôtelier Accor, la plateforme d'esport en réalité virtuelle EVA.gg (plus de 70 000 comptes et 119 000 réservations revendiqués), ou encore un organisme de colonies de vacances dont les dossiers contiendraient numéros de Sécurité sociale et copies de passeports. Ce rythme confirme la tendance documentée par l'ANSSI dans son Panorama de la cybermenace : 1 366 incidents traités en 2025, avec les PME, TPE et ETI en première ligne des victimes. Autre signal préoccupant de la même semaine, côté équipements : le 15 juillet, le CERT-FR a publié l'alerte CERTFR-2026-ALE-006 sur deux vulnérabilités des boîtiers SonicWall Secure Mobile Access 1000, dont une faille critique (CVE-2026-15409) permettant une falsification de requêtes côté serveur sans authentification — des failles « activement exploitées » selon l'éditeur. Pour les entreprises équipées, le correctif ne suffit pas en cas d'indicateur de compromission : SonicWall recommande alors réinstallation complète et changement de tous les mots de passe. Un rappel que la sécurité des données clients se joue autant dans les outils internes des grands opérateurs que dans les équipements de bordure des PME.

Pourquoi les Hauts-de-France doivent se sentir concernés

Aucun élément ne permet d'affirmer que la base revendiquée viserait spécifiquement la région — elle serait nationale. Mais trois facteurs rendent le risque particulièrement concret dans les Hauts-de-France. Un : la région est l'une des plus densément raccordées à la fibre, avec un parc important d'abonnés fixes SFR et un habitat collectif étendu dans la métropole lilloise et les grandes agglomérations — or les fiches revendiquées détaillent précisément bâtiment, escalier, étage et emplacement de la prise, le scénario idéal pour la fraude « au faux technicien fibre » qui sévit déjà partout en France, opérateurs et forces de l'ordre alertant régulièrement sur ces visites frauduleuses qui servent au vol, voire au repérage avant cambriolage. Deux : les TPE et PME régionales sont des cibles de choix. Une fiche qui relie une entreprise à son offre, son débit, son matériel et son gestionnaire d'immeuble permet des appels « support » ultra-crédibles visant le standard ou l'accueil — première porte d'entrée de la plupart des compromissions. Comme le montrait l'étude Kéa–OpinionWay que nous avons analysée, 75 % des entreprises françaises n'ont personne pour piloter leurs risques numériques et IA — et la culture de vérification systématique fait souvent défaut. Trois : le contexte réglementaire se durcit précisément sur ce point. Les opérateurs télécoms figurent parmi les entités essentielles du périmètre NIS2, dont la transposition française vaut désormais à Paris une saisine de la CJUE — et quelque 15 000 entités françaises, jusqu'aux PME régionales de nombreux secteurs, seront soumises à des obligations de sécurité et de notification d'incident. La leçon de l'été est limpide : les données fuient par les outils internes et les prestataires, exactement les maillons que NIS2 oblige à sécuriser.

Les chiffres clés

  • 2 104 093 lignes : le volume de la base partielle revendiquée le 17 juillet 2026 (extraction entamée le 30 juin, détectée et interrompue — revendication non confirmée par SFR).
  • 3 incidents en moins de 2 ans pour SFR : septembre 2024 (~50 000 clients, IBAN), décembre 2025 (millions de fiches via un outil techniciens), juillet 2026 (outil NOVA).
  • 42 M€ : l'amende record infligée par la CNIL à Free et Free Mobile en janvier 2026 pour la fuite de 24 millions de contrats (oct. 2024) — le précédent qui pèse sur toute la filière.
  • 4 fuites revendiquées en 4 jours (14-17 juillet) contre des acteurs français : Kosc Telecom, Accor, EVA.gg, SFR.
  • 1 366 incidents traités par l'ANSSI en 2025 (Panorama de la cybermenace), PME/TPE/ETI en première ligne.
  • CVE-2026-15409 : faille critique SonicWall SMA 1000 activement exploitée, alerte CERT-FR du 15 juillet (CERTFR-2026-ALE-006).

Les réflexes à adopter dès maintenant, chez soi comme en entreprise

Que la fuite soit confirmée ou non, les données télécoms des Français circulent déjà largement (Free, Bouygues, La Poste Mobile, SFR 2024 et 2025…). Les bons réflexes valent donc pour tous, clients SFR ou non :
  • Aucun opérateur n'envoie de technicien sans rendez-vous confirmé par SMS ou e-mail, et ne facture d'intervention en espèces ou par carte à domicile : refusez toute visite imprévue, même si la personne connaît votre adresse, votre box et votre offre.
  • Ne communiquez jamais un code reçu par SMS, un mot de passe ou un RIB à un interlocuteur qui vous appelle — même « SFR », même avec vos informations exactes sous les yeux : ces détails peuvent précisément provenir d'une fuite.
  • En cas de doute, raccrochez et rappelez vous-même le service client via le numéro officiel de l'opérateur ou l'application, jamais via un numéro fourni par l'appelant.
  • Signalez : appels et SMS frauduleux au 33700, tentatives d'hameçonnage sur Signal Spam et cybermalveillance.gouv.fr, qui propose des fiches réflexes à jour ; en cas de préjudice, plainte au commissariat ou en gendarmerie.
  • Surveillez vos comptes : méfiance renforcée sur les e-mails/SMS « SFR » à venir (fausse facture, faux remboursement, fausse migration de box), qui exploitent souvent les fuites dans les semaines qui suivent.
  • Côté PME : sensibilisez standard et accueil à la fraude au faux support, imposez une procédure de vérification systématique avant tout accès ou paiement, activez l'authentification multifacteur — et si vous utilisez des boîtiers SonicWall SMA, appliquez l'alerte CERT-FR sans attendre. Les mêmes principes de moindre privilège valent pour vos outils internes et vos agents IA : la fuite SFR démontre ce que coûte un compte interne trop puissant.
Pour aller plus loin en vidéo, ces deux formats pédagogiques résument bien la mécanique — comment les fuites alimentent les arnaques, et les réflexes qui protègent :

« Fuites de données : 10 réflexes pour ne plus être une cible facile » — Christophe Boutry.

« La faille débile qui a fait fuiter 1 Français sur 4 » — Fransosiche, sur les grandes fuites françaises et leurs conséquences concrètes.

FAQ — Fuite SFR : ce qu'il faut savoir

Comment savoir si mes données sont concernées ?

À ce stade, impossible de le vérifier individuellement : la fuite n'est pas confirmée par SFR et la base n'est pas publiquement consultable (ce qui est heureux). Si l'incident est confirmé et présente un risque élevé, SFR aura l'obligation légale d'informer directement les personnes concernées. En attendant, considérez par précaution que vos coordonnées peuvent circuler — c'est déjà statistiquement probable au vu des fuites cumulées de ces deux dernières années — et appliquez les réflexes ci-dessus.

SFR a-t-il confirmé la fuite ?

Non. Au moment de la publication de cet article (18 juillet 2026), SFR n'avait pas communiqué publiquement sur cette revendication du 17 juillet. L'extraction aurait toutefois été détectée et interrompue par les systèmes de surveillance de l'opérateur, ce qui suggère que l'incident est identifié en interne. Nous mettrons cet article à jour en cas de confirmation, de démenti ou de notification CNIL rendue publique.

Aucune donnée bancaire n'aurait fuité : est-ce vraiment grave ?

Oui. Les arnaques les plus efficaces d'aujourd'hui ne partent pas d'un IBAN volé, mais d'un scénario crédible : un faux conseiller ou un faux technicien qui connaît votre adresse exacte, votre offre, votre modèle de box et l'état de votre ligne obtient facilement un code de sécurité, un mot de passe ou un paiement. La précision des adresses (étage, escalier) peut aussi faciliter des fraudes à domicile. C'est la combinaison des données, plus que chaque donnée isolée, qui crée le danger.

Que risque SFR si la fuite est confirmée ?

Le RGPD impose la notification à la CNIL sous 72 heures et, en cas de risque élevé, l'information des personnes concernées. En cas de manquement à la sécurité des traitements, la CNIL peut sanctionner lourdement : Free et Free Mobile ont écopé de 42 millions d'euros en janvier 2026 pour la fuite de 24 millions de contrats. La répétition des incidents — troisième en moins de deux ans pour SFR — serait un facteur aggravant dans l'appréciation du régulateur.

Que faire si je reçois un appel ou une visite « SFR » suspecte ?

Ne donnez aucune information, ne validez aucun code, n'acceptez aucune intervention imprévue. Raccrochez, puis recontactez vous-même SFR via l'application ou le numéro officiel. Signalez le numéro au 33700, l'hameçonnage sur cybermalveillance.gouv.fr, et déposez plainte en cas de préjudice. En entreprise, remontez systématiquement la tentative à votre référent informatique : un appel ciblé est souvent le signe avant-coureur d'une attaque plus large.

— Fin de l'article · #FUITE-SF · 18/07/2026 —