Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-personnellesFrance

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

Thomas Ferreira18 min de lecture

Le 6 août 2025, Bouygues Telecom confirme ce que des millions de Français redoutaient. Un « accès non autorisé » à ses systèmes a permis l'extraction des données personnelles de 6,4 millions de comptes clients — environ 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles, et le détail qui change tout : les IBAN.

Deux jours plus tôt, le 4 août, les équipes de sécurité de l'opérateur avaient détecté l'intrusion. Plainte déposée. CNIL notifiée. Numéro vert activé. Les gestes sont rodés, désormais. Bouygues Telecom est le cinquième opérateur français à subir une fuite majeure en moins d'un an.

SFR, 3,6 millions de clients en septembre 2024. Free Mobile, 19,2 millions de clients dont 5 millions d'IBAN en octobre 2024. Orange, touché en juillet 2025. Et maintenant Bouygues. La totalité des grands opérateurs télécoms français est tombée. Aucun n'a tenu.

Pour le contexte complet des cyberattaques contre les opérateurs français, consultez notre analyse chronologique des piratages télécoms en France.

Ce qui a été volé

Bouygues Telecom a publié un communiqué détaillant les catégories de données compromises. La liste est longue.

Les données personnelles

  • Coordonnées : nom, prénom, adresse postale, adresse email, numéro de téléphone
  • État civil : date de naissance
  • Données contractuelles : type d'abonnement, numéro de client, conditions du contrat
  • IBAN : les coordonnées bancaires utilisées pour le prélèvement mensuel

Ce qui n'a pas été touché

Bouygues Telecom a précisé que les mots de passe et les numéros de carte bancaire n'étaient pas dans le périmètre de la fuite. C'est la seule bonne nouvelle du communiqué.

Mais elle ne change pas grand-chose. Un mot de passe se change en trente secondes. Un IBAN, non. Les coordonnées bancaires extraites chez Bouygues vont circuler pendant des mois, voire des années, sur les marchés cybercriminels. Et contrairement à une carte bancaire qui expire, un IBAN reste valable aussi longtemps que le compte bancaire existe.

La chronologie de l'incident

4 août 2025 — Les équipes de sécurité de Bouygues Telecom détectent un accès non autorisé à leurs systèmes d'information. L'intrusion est stoppée et les accès compromis sont coupés.

5 août 2025 — L'opérateur dépose une plainte pénale et notifie la CNIL, conformément à l'obligation de l'article 33 du RGPD (notification sous 72 heures).

6 août 2025 — Bouygues Telecom publie un communiqué officiel sur son site corporate, confirmant la fuite et détaillant les données compromises. Un numéro vert gratuit est mis en place : 0801 239 901. Les notifications individuelles aux clients concernés commencent à être envoyées.

L'opérateur n'a pas communiqué sur le vecteur d'attaque exact. Le communiqué parle d'un « accès non autorisé », sans préciser s'il s'agit d'identifiants compromis, d'une faille applicative ou d'une attaque via un prestataire. Ce flou est devenu habituel dans les communications de crise des opérateurs télécoms français, et il est regrettable. Les clients dont les données ont été volées méritent de savoir comment.

L'IBAN : pourquoi c'est le nerf du problème

La fuite de coordonnées personnelles (nom, adresse, date de naissance) est grave. Mais c'est la présence des IBAN dans le lot qui fait de cet incident une menace financière directe pour chaque victime.

Le mécanisme de la fraude au prélèvement SEPA

Le système de prélèvement SEPA, qui régit les paiements automatiques dans toute la zone euro, repose sur un principe de confiance. Un créancier qui dispose d'un mandat signé et de l'IBAN du débiteur peut initier un prélèvement. La banque du débiteur exécute le prélèvement sans vérifier systématiquement l'authenticité du mandat. La vérification est faite a posteriori, sur contestation du client.

Un attaquant qui possède votre IBAN, votre nom et votre adresse — exactement les données extraites chez Bouygues — peut donc :

  1. Créer une société fictive ou utiliser une société-écran
  2. S'inscrire comme créancier SEPA auprès d'une banque
  3. Fabriquer un faux mandat de prélèvement à votre nom
  4. Soumettre des demandes de prélèvement sur votre compte
  5. Ponctionner des sommes modérées — 19,99 euros, 29,90 euros, 49,99 euros — suffisamment faibles pour ne pas déclencher d'alerte automatique
  6. Répéter l'opération sur des milliers de comptes simultanément

C'est exactement ce schéma qui s'est produit après la fuite Free Mobile d'octobre 2024, où 5 millions d'IBAN avaient été dérobés. Les signalements de prélèvements frauduleux s'étaient multipliés dès novembre 2024 et continuaient encore des mois plus tard.

Les leçons non tirées de Free

La fuite Free avait servi de signal d'alarme. Cybermalveillance.gouv.fr avait publié un guide sur les risques liés aux IBAN volés. La Banque de France avait rappelé le droit de contestation sous 13 mois (article L133-24 du Code monétaire et financier). L'UFC-Que Choisir avait engagé une action de groupe.

Et pourtant, dix mois plus tard, le même scénario se reproduit chez Bouygues. Les mêmes données, les mêmes risques, les mêmes recommandations. La seule différence, c'est le nombre de victimes qui s'additionne. Après les 5 millions d'IBAN de Free et les IBAN de SFR, ce sont les IBAN des clients Bouygues qui viennent grossir le stock de coordonnées bancaires disponibles sur les marchés criminels.

Pour les 6,4 millions de clients concernés, le risque est double. Ils sont exposés aux prélèvements frauduleux directs. Et ils deviennent des cibles de choix pour des campagnes de phishing bancaire, où un attaquant se fait passer pour leur banque en citant les quatre derniers chiffres de leur IBAN pour gagner leur confiance.

Cinq opérateurs en un an : la chronologie qui accable le secteur

Replacer la fuite Bouygues dans son contexte rend la situation encore plus préoccupante. En moins de douze mois, chaque grand opérateur français a été touché.

DateOpérateurClients touchésIBAN exposés
Septembre 2024SFR3,6 millionsOui (partiel)
Octobre 2024Free Mobile19,2 millions5 millions
Juillet 2025OrangeNon communiquéNon communiqué
Août 2025Bouygues Telecom6,4 millionsOui

Si l'on additionne Free et Bouygues seuls, ce sont plus de 25 millions de comptes clients exposés, avec des IBAN pour une part significative d'entre eux. En ajoutant SFR, le total dépasse les 28 millions. La France compte environ 80 millions de lignes mobiles (dont beaucoup sont des doublons). En termes de personnes physiques, une proportion considérable de la population adulte française a vu ses données télécom fuiter en 2024-2025.

Le schéma d'attaque est d'une monotonie accablante. Dans presque tous les cas documentés, l'accès a été obtenu via un outil de gestion interne ou un compte partenaire compromis — pas via une attaque sophistiquée contre le réseau de l'opérateur. Ce sont les systèmes CRM, les portails d'administration, les interfaces partenaires qui cèdent. Les mêmes portes, encore et encore.

Pour le détail de chaque incident, ses données volées et ses conséquences, consultez notre recensement des 50 plus grandes fuites de données en France.

Ce que risquent concrètement les victimes

Les données extraites chez Bouygues Telecom permettent trois types d'attaque contre les victimes. Aucune n'est théorique : toutes ont été observées à grande échelle après les fuites précédentes.

1. Les prélèvements SEPA frauduleux

Le risque le plus immédiat. Avec un IBAN, un nom et une adresse, un attaquant peut initier des prélèvements sur votre compte bancaire. Les montants sont généralement faibles pour passer sous le radar des systèmes de détection, mais multipliés par des milliers de victimes, la fraude est rentable.

Après la fuite Free, des victimes ont signalé des prélèvements de sociétés inconnues apparaissant sur leurs relevés. Certaines n'ont découvert les prélèvements qu'à la fin du mois, en consultant leur relevé — soit des semaines après le premier débit.

2. Le phishing ciblé

Un attaquant qui connaît votre nom, votre opérateur, votre type d'abonnement et votre IBAN peut construire des messages d'une précision redoutable. Deux scénarios sont particulièrement efficaces :

Le faux email Bouygues. « Suite à l'incident de sécurité dont vous avez été informé, nous vous invitons à vérifier vos coordonnées bancaires dans votre espace client. » Le message cite votre nom, votre type d'abonnement, parfois les derniers chiffres de votre IBAN. Il redirige vers une copie du site Bouygues qui capture vos identifiants.

Le faux appel bancaire. Un prétendu conseiller vous appelle en citant votre IBAN et vous demande de « confirmer » une opération suspecte en communiquant un code reçu par SMS. C'est une attaque de vishing (phishing vocal) qui exploite la peur légitime générée par la fuite.

D'après le baromètre Cybermalveillance.gouv.fr, les signalements de phishing imitant les opérateurs télécoms avaient déjà augmenté de 78 % entre octobre et décembre 2024 après les fuites Free et SFR. La fuite Bouygues va alimenter une nouvelle vague. Pour comprendre les ressorts psychologiques de ces attaques, consultez notre analyse des biais cognitifs exploités par le phishing.

3. Le SIM swapping

Avec le nom, la date de naissance, l'adresse et le numéro de client d'un abonné Bouygues, un attaquant dispose de tout ce qu'il faut pour contacter l'opérateur en se faisant passer pour le client et demander un transfert de carte SIM. Une fois le numéro transféré, l'attaquant reçoit les SMS de validation bancaire et peut vider les comptes de la victime.

L'OCLCTIC avait signalé une hausse de 40 % des signalements de SIM swapping en France en 2024, directement corrélée aux fuites télécom. Avec 6,4 millions de dossiers clients supplémentaires dans la nature, cette tendance va s'aggraver.

Ce que les clients Bouygues doivent faire maintenant

La fuite est irréversible. Les données sont dans la nature et y resteront. Mais les conséquences peuvent être limitées par des gestes immédiats.

Sécurisez votre compte bancaire — en priorité

C'est le geste le plus urgent, parce que c'est votre argent qui est menacé.

Contactez votre banque et demandez trois choses :

  • La mise en place d'une liste blanche de créanciers autorisés au prélèvement SEPA. Seuls les créanciers que vous avez explicitement validés pourront prélever sur votre compte. Cette fonctionnalité est disponible chez la plupart des banques françaises, parfois sous le nom de « liste de mandats autorisés ».
  • L'activation des alertes en temps réel pour chaque prélèvement. Vous recevrez une notification dès qu'un prélèvement est initié, ce qui vous permet de réagir immédiatement.
  • Un contrôle rétroactif : demandez à votre conseiller de vérifier qu'aucun prélèvement suspect n'a déjà été initié depuis la date de la fuite.

Surveillez vos relevés chaque jour pendant les six prochains mois au minimum. Les fraudeurs n'exploitent pas toujours les données immédiatement. Après la fuite Free, certains prélèvements frauduleux n'ont commencé que plusieurs semaines après la publication des données.

Si vous constatez un prélèvement non autorisé, contestez-le immédiatement auprès de votre banque. Le remboursement est obligatoire sous un jour ouvré pour un prélèvement non autorisé, et vous avez 13 mois pour agir.

Changez vos mots de passe

Même si Bouygues affirme que les mots de passe n'ont pas été compromis, changez celui de votre espace client Bouygues par précaution. Surtout, si vous utilisiez le même mot de passe sur d'autres services, changez-le partout. Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) pour générer des mots de passe uniques.

Activez la double authentification sur tous les comptes qui la proposent, en privilégiant une application d'authentification (Microsoft Authenticator, Google Authenticator, Authy) plutôt que le SMS. Le SMS comme second facteur est une fausse sécurité quand les données de votre opérateur sont dans la nature — le SIM swapping le rend contournable.

Protégez-vous contre le SIM swapping

Appelez Bouygues Telecom (ou rendez-vous en boutique) pour demander la mise en place d'un code de sécurité supplémentaire sur votre ligne. Ce code sera exigé pour toute opération sensible — changement de SIM, portabilité du numéro, modification du contrat. Sans ce code, un attaquant ne pourra pas transférer votre numéro, même s'il connaît votre identité complète.

Demandez également que toute modification de votre contrat nécessite un passage en boutique avec pièce d'identité. C'est contraignant, mais c'est la protection la plus efficace contre le SIM swapping.

Méfiez-vous de tout contact

Dans les semaines et mois à venir, traitez avec méfiance tout email, SMS ou appel téléphonique mentionnant Bouygues Telecom, une mise à jour de compte ou un incident de sécurité. Les campagnes de phishing post-fuite sont systématiques et démarrent dans les jours qui suivent l'annonce publique.

Règle absolue : ne cliquez jamais sur un lien reçu par email ou SMS de votre opérateur. Allez directement sur le site officiel en tapant l'adresse dans votre navigateur. En cas de doute, appelez le 0801 239 901, le numéro vert mis en place par Bouygues Telecom.

Pour connaître les dernières techniques de phishing et savoir les identifier, consultez notre guide sur les nouvelles formes de phishing : quishing, vishing et smishing.

Ce que les entreprises clientes de Bouygues doivent faire

Les contrats mobiles professionnels sont concernés au même titre que les contrats grand public. Si votre entreprise est cliente de Bouygues Telecom, les données de vos collaborateurs — noms, numéros de téléphone, adresses email professionnelles — sont potentiellement dans le lot.

Les risques spécifiques pour les entreprises

La fraude au président. Un attaquant qui sait quel collaborateur utilise quel numéro professionnel, chez quel opérateur, peut construire un scénario de fraude crédible. Un appel usurpé suivi d'un email ciblé peut convaincre un comptable de procéder à un virement. Le coût moyen d'une fraude au président en France est de 150 000 euros (OCRGDF).

Le phishing ciblé sur les collaborateurs. Les emails de phishing qui mentionnent « votre ligne professionnelle Bouygues Telecom » ont un taux de clic nettement supérieur aux spams génériques. Chaque collaborateur dont les données figurent dans la fuite est une porte d'entrée potentielle vers les systèmes de l'entreprise.

Le SIM swapping sur les lignes dirigeantes. Si le numéro du dirigeant ou du DSI est compromis et qu'il sert de second facteur pour des accès cloud, l'impact peut aller jusqu'à la perte de contrôle des systèmes d'information.

Les mesures à prendre

Informez vos collaborateurs. Envoyez un email interne factuel : la fuite a eu lieu, voici les données concernées, voici les gestes à adopter. Un message de 10 lignes suffit. L'essentiel est que chaque salarié sache que des tentatives de phishing ciblé sont à attendre.

Lancez une simulation de phishing. Profitez de la situation — le contexte est réel, la menace tangible — pour tester la vigilance de vos équipes avec un scénario imitant un message Bouygues Telecom. Les taux de clic sur les simulations de phishing baissent de 33 % à moins de 5 % après 12 mois de campagnes régulières.

Vérifiez les prélèvements sur les comptes bancaires de l'entreprise. Si l'IBAN de l'entreprise est utilisé pour le prélèvement des factures Bouygues, il est potentiellement compromis. Contactez votre banque pour activer une liste blanche de créanciers sur les comptes professionnels.

Renforcez l'authentification. Remplacez le SMS comme second facteur par une application d'authentification ou des clés de sécurité physiques sur tous les accès sensibles — messagerie, cloud, ERP, outils financiers.

Un problème que la réglementation ne résout pas (encore)

La CNIL a été notifiée et ouvrira vraisemblablement une instruction. Bouygues Telecom risque une amende pouvant atteindre 20 millions d'euros ou 4 % de son chiffre d'affaires mondial au titre du RGPD. La directive NIS2, transposée en droit français, classe les opérateurs télécoms parmi les entités essentielles et ajoute des obligations de sécurité avec des sanctions supplémentaires pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires.

Mais ces sanctions sont prononcées des mois, parfois des années après les faits. Et elles ne changent rien pour les victimes dont les IBAN circulent déjà.

Le problème de fond est ailleurs. Les opérateurs télécoms français stockent des données bancaires, d'état civil et de contact de dizaines de millions de personnes dans des systèmes qui se font pirater avec une régularité alarmante. La question n'est pas de savoir si le modèle de sécurité actuel est suffisant — les faits ont répondu. La question est de savoir quand les opérateurs investiront dans la segmentation des accès, le chiffrement des données au repos, la tokenisation des IBAN et le monitoring comportemental qui auraient empêché ces fuites.

En attendant, ce sont les clients qui paient le prix. En vigilance quotidienne, en temps passé à surveiller leurs relevés bancaires, en stress face à chaque email suspect. Et pour certains, en argent directement ponctionné sur leur compte.

Le numéro vert et les démarches officielles

Bouygues Telecom a mis en place un numéro vert gratuit pour répondre aux questions des clients concernés : 0801 239 901. L'opérateur a également publié des informations sur son magazine en ligne (mag.bouyguestelecom.fr).

Si vous constatez une utilisation frauduleuse de vos données :

  • Déposez une pré-plainte en ligne sur pre-plainte-en-ligne.gouv.fr
  • Signalez l'incident sur la plateforme Cybermalveillance.gouv.fr
  • Contestez tout prélèvement suspect auprès de votre banque (délai de 13 mois)
  • Consultez les recommandations de la préfecture de votre département — la préfecture de Savoie, par exemple, a publié un guide à destination des victimes

6,4 millions de comptes. Des coordonnées, de l'état civil, des IBAN. Le cinquième opérateur français piraté en un an.

Les données sont dans la nature. Elles y resteront. Le seul levier qui reste aux victimes, c'est la vitesse de réaction. Liste blanche bancaire, changement de mots de passe, double authentification par application, vigilance face aux messages suspects. Chaque jour sans ces mesures est un jour de plus pendant lequel un attaquant peut exploiter les données volées.

Pour les entreprises, c'est aussi le moment de mesurer le niveau de résistance de leurs équipes face au phishing. Les attaques ciblées qui suivent les fuites télécom sont parmi les plus efficaces, parce qu'elles s'appuient sur des données vraies. Testez la réaction de vos collaborateurs avec une simulation de phishing — 15 minutes de mise en place, et vous saurez où vous en êtes.

Sources :

Articles similaires

DGFiP : 1,2 million de comptes bancaires exposés via le fichier FICOBA

En février 2026, un attaquant a accédé au fichier national des comptes bancaires (FICOBA) de la DGFiP pendant 16 jours grâce à des identifiants usurpés d'un fonctionnaire. IBAN, identités, adresses : retour sur une fuite qui fragilise la confiance dans l'administration fiscale.

Éducation nationale : les données personnelles de 243 000 agents dans la nature après le piratage de COMPAS

Le 15 mars 2026, un pirate a accédé au système RH COMPAS du ministère de l'Éducation nationale via un compte compromis. Noms, adresses postales, téléphones de 243 000 enseignants et agents ont été exfiltrés puis mis en vente. Retour sur les faits, les failles, et ce que les personnels concernés doivent savoir.

Fédérations sportives : la vague de cyberattaques qui a exposé des millions de licenciés français

En six mois, plus de trente fédérations sportives françaises ont été piratées. Football, tir, gymnastique, natation, athlétisme : retour sur une série d'attaques qui a exposé les données de millions de licenciés et provoqué des cambriolages ciblés.