Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-personnellesFrance

MYM : 5 millions de comptes d'une plateforme de contenu adulte publiés gratuitement sur un forum pirate

Le 10 novembre 2025, la base de données complète de MYM — plateforme française de contenu exclusif comparable à OnlyFans — a été publiée gratuitement sur un forum de cybercriminalité. 5 millions de créateurs et abonnés exposés, mots de passe stockés en MD5, adresses email professionnelles dans le lot. Retour sur une fuite aux conséquences potentiellement dévastatrices.

Thomas Ferreira11 min de lecture

Cinq millions de comptes. Publiés gratuitement. Sur un forum de cybercriminalité accessible à quiconque sait chercher. Le 10 novembre 2025, la base de données complète de MYM — plateforme française de contenu exclusif, principalement adulte — a été mise à disposition de n'importe quel internaute, sans même qu'il ait besoin de payer.

Ce n'est pas une fuite comme les autres. Quand les données d'un opérateur télécom fuient, les victimes reçoivent du phishing. Quand les données d'une plateforme de contenu adulte fuient, les victimes reçoivent des menaces de destruction de leur vie privée.

MYM : le OnlyFans français

Une plateforme lyonnaise en pleine croissance

MYM (Meet Your Model) a été créé en 2019 à Lyon. Le concept : permettre à des créateurs de publier du contenu exclusif — photos, vidéos, messages — accessible uniquement aux abonnés payants. Si la plateforme se présente comme ouverte à tous les types de créateurs (coachs sportifs, artistes, influenceurs), son positionnement réel est comparable à celui d'OnlyFans. La grande majorité du contenu monétisé est de nature adulte.

La plateforme revendique plusieurs millions d'utilisateurs, répartis entre créateurs de contenu et abonnés. C'est cette base — dans son intégralité — qui s'est retrouvée en libre accès.

Ce que contient la base de données

5 millions de comptes, créateurs et abonnés confondus

Le fichier publié le 10 novembre 2025 sur un forum de cybercriminalité contient plus de 5 millions de comptes utilisateurs. Créateurs et abonnés sont mélangés dans la même base. Pour chaque compte : adresse email, mot de passe hashé, informations de profil.

Le détail le plus révélateur de la composition du fichier : il contient plus de 3 millions d'adresses Gmail. Mais aussi des adresses rattachées à des entreprises, des administrations et des institutions publiques. Des adresses en @gouv.fr, en @education.gouv.fr, en domaines d'entreprises du CAC 40. Des personnes qui se sont inscrites sur une plateforme de contenu adulte avec leur email professionnel.

MD5 : des mots de passe en clair (ou presque)

Les mots de passe des utilisateurs de MYM étaient stockés en MD5. Pour les non-techniciens : c'est l'équivalent de fermer un coffre-fort avec un cadenas en carton.

Le MD5 est un algorithme de hachage dont les vulnérabilités sont connues et documentées depuis plus de 15 ans. Un mot de passe hashé en MD5 peut être « cassé » — c'est-à-dire retrouvé en clair — en quelques secondes. Il existe des tables de correspondance précalculées (rainbow tables) contenant des milliards de hash MD5. Le premier site venu permet de retrouver le mot de passe original d'un hash MD5 en une fraction de seconde.

Les standards de sécurité imposent depuis des années l'utilisation d'algorithmes comme bcrypt, scrypt ou Argon2, conçus spécifiquement pour le stockage de mots de passe et résistants aux attaques par force brute. Utiliser MD5 en 2025, c'est ignorer volontairement 15 ans de recommandations de sécurité. Pour une plateforme qui gère du contenu adulte — et donc des données d'une sensibilité extrême —, c'est inexcusable.

En termes concrets : quiconque a téléchargé cette base de données peut retrouver le mot de passe en clair de la quasi-totalité des comptes. Et tester ces identifiants sur les boîtes email, les réseaux sociaux et les comptes bancaires des victimes.

Pourquoi cette fuite est différente

Le spectre de la sextorsion

Quand les données d'un magasin en ligne fuient, le risque principal est le phishing et la fraude à la carte bancaire. C'est déjà grave. Mais quand les données d'une plateforme de contenu adulte fuient, les conséquences prennent une tout autre dimension.

Un attaquant qui dispose de l'adresse email d'un utilisateur de MYM possède une information simple mais dévastatrice : cette personne est inscrite sur une plateforme à dominante de contenu adulte. À partir de là, le scénario de sextorsion se déploie mécaniquement :

  • Identification de la victime. L'adresse email permet de retrouver le nom réel dans la plupart des cas — via les réseaux sociaux, les annuaires en ligne, les autres fuites de données.
  • Menace. L'attaquant contacte la victime et menace de révéler son inscription sur MYM à son conjoint, son employeur, sa famille, ses collègues.
  • Demande de paiement. La rançon est généralement exigée en cryptomonnaie, souvent modeste (quelques centaines d'euros) pour maximiser le taux de paiement.

Ce schéma est documenté. Il a été massivement utilisé après la fuite d'Ashley Madison en 2015, qui avait conduit à des divorces, des licenciements et des suicides. La fuite de MYM présente le même profil de risque — à l'échelle de 5 millions de personnes.

Les adresses professionnelles : un levier de pression supplémentaire

La présence d'adresses email professionnelles dans la base aggrave le risque. Un fonctionnaire inscrit sur MYM avec son adresse @gouv.fr, un cadre avec son email d'entreprise, un enseignant avec son adresse @education.gouv.fr — pour ces personnes, la simple révélation de leur présence dans la base peut avoir des conséquences professionnelles immédiates.

L'attaquant n'a même pas besoin de connaître le contenu consulté ou publié. L'inscription elle-même suffit à créer la honte, la peur, et donc la vulnérabilité au chantage. C'est le mécanisme fondamental de la sextorsion : ce n'est pas ce que vous avez fait qui compte, c'est ce que les autres pourraient penser.

L'ère des deepfakes : un risque en cascade

Pour les créateurs de contenu qui publiaient des photos ou des vidéos sur MYM, la fuite ouvre un autre front. Même si les contenus eux-mêmes ne font pas partie de la base de données publiée, l'association entre une identité réelle (via l'email) et un profil de créateur de contenu adulte suffit à alimenter du harcèlement ciblé.

Plus préoccupant encore : les photos de profil et les contenus publics associés aux comptes peuvent être utilisés pour générer des deepfakes. Les outils de génération d'images et de vidéos par intelligence artificielle sont aujourd'hui accessibles à tous. Un visage associé à un profil de contenu adulte devient une matière première pour la fabrication de faux contenus explicites — qui peuvent ensuite être utilisés pour du chantage, du harcèlement ou de la diffamation.

Gratuit : même pas besoin de payer

Un détail qui change tout dans cette affaire : la base de données n'a pas été mise en vente. Elle a été publiée gratuitement. Dans l'économie souterraine des données volées, la plupart des fichiers sont vendus — ce qui limite mécaniquement le nombre d'acheteurs et donc le nombre de personnes qui exploitent les données.

Quand un fichier est distribué gratuitement, cette barrière disparaît. N'importe quel apprenti cybercriminel, n'importe quel harceleur, n'importe quel ex-conjoint malveillant peut télécharger la base et chercher l'adresse email de sa cible. Le bassin d'attaquants potentiels passe de quelques dizaines d'acheteurs à des milliers de téléchargeurs.

Le credential stuffing : l'effet domino

Avec des mots de passe stockés en MD5, l'exploitation par credential stuffing est quasi automatique. Le credential stuffing consiste à tester les couples email/mot de passe volés sur d'autres services : messageries, réseaux sociaux, banques en ligne, sites de e-commerce.

L'équation est simple :

  • 5 millions de comptes avec email et mot de passe hashé en MD5
  • MD5 cassable en quelques secondes pour la quasi-totalité des mots de passe
  • Réutilisation de mots de passe par une majorité d'internautes (estimée entre 50 % et 70 % selon les études)

Résultat : des millions de comptes email, bancaires et de réseaux sociaux potentiellement compromis par ricochet. Et cette fois, les attaquants n'ont même pas eu besoin de payer pour obtenir le fichier source.

2025 : l'année noire des données personnelles en France

La fuite de MYM s'inscrit dans un contexte français désastreux. L'année 2025 a vu plus de 600 millions d'enregistrements de données personnelles piratés en France. France Travail (43 millions), Viamedis et Almerys (33 millions), Free Mobile (19 millions), Boulanger (27 millions) — la liste s'allonge chaque mois.

Mais la fuite MYM se distingue par la nature des données exposées. Il ne s'agit pas de noms et d'adresses qui finissent dans des campagnes de phishing. Il s'agit de l'identité d'utilisateurs d'une plateforme de contenu adulte — une information qui, dans les mains d'un maître-chanteur, vaut bien plus qu'un numéro de carte bancaire.

Ce que les utilisateurs de MYM doivent faire

Changez votre mot de passe MYM immédiatement. Et changez le mot de passe de tout service où vous utilisez le même — en priorité votre messagerie email, qui est la clé d'accès à tous vos autres comptes. Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) pour générer un mot de passe unique par service.

Activez la double authentification (2FA) partout. Sur votre messagerie, vos réseaux sociaux, votre banque en ligne. Si un attaquant obtient votre mot de passe via la base MYM, la double authentification reste le dernier rempart.

Préparez-vous à recevoir des tentatives de chantage. Si vous recevez un email affirmant connaître votre inscription sur MYM et menaçant de prévenir votre entourage : ne répondez pas, ne payez pas. Les campagnes de sextorsion de masse fonctionnent sur la panique. Répondre ou payer confirme que vous êtes une cible valide et entraîne des demandes supplémentaires.

Signalez toute tentative de chantage. Déposez plainte auprès de votre commissariat ou sur la plateforme THESEE dédiée aux escroqueries en ligne. Signalez les emails frauduleux sur cybermalveillance.gouv.fr.

Si vous êtes créateur de contenu, soyez attentif à l'apparition de faux profils utilisant votre image. Surveillez les plateformes de réseaux sociaux et les sites de contenu pour détecter une éventuelle usurpation d'identité ou la diffusion de deepfakes.

La responsabilité de MYM

Le stockage des mots de passe en MD5 est, à lui seul, un manquement grave aux obligations de sécurité. L'article 32 du RGPD impose au responsable de traitement de mettre en oeuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Stocker des mots de passe avec un algorithme dont l'obsolescence est documentée depuis 15 ans ne répond à aucune définition raisonnable de « mesures appropriées ».

La CNIL a infligé des amendes pour des manquements comparables. En 2022, elle avait sanctionné Dedalus Biologie de 1,5 million d'euros pour défaut de chiffrement de données de santé. En 2024, la CNIL avait sanctionné plusieurs organismes pour stockage de mots de passe en clair ou avec des algorithmes obsolètes. MYM, qui gère des données liées à la vie sexuelle et intime de ses utilisateurs — des données que le RGPD classe dans la catégorie des « données sensibles » —, avait une obligation de sécurité renforcée.

Le fait que la base ait été distribuée gratuitement, et non vendue, suggère que les données circulaient peut-être déjà dans des cercles restreints avant leur publication de masse. La question de la date réelle de la compromission — et donc du délai de notification — reste ouverte.

Cinq millions de comptes. Des mots de passe en MD5. Des adresses email professionnelles et gouvernementales. Une distribution gratuite sur un forum accessible à tous. Et derrière chaque ligne de cette base de données, une personne dont la vie intime vient d'être exposée à quiconque veut la consulter.

La fuite MYM n'est pas la plus volumineuse de l'année 2025. Elle est peut-être la plus toxique. Parce que les données d'une plateforme de contenu adulte ne servent pas à envoyer du spam — elles servent à détruire des vies. Et parce qu'une plateforme qui stocke les mots de passe de 5 millions d'utilisateurs en MD5, en 2025, a choisi de ne pas protéger les personnes qui lui faisaient confiance.

Sources :

  • FrenchBreaches, « Fuite de données : MYM du 10 novembre 2025 » : frenchbreaches.com
  • ZDNet France, « 600 millions de données personnelles piratées en France en 2025 » : zdnet.fr
  • CNIL, « Violations de données personnelles — Guide de bonnes pratiques sur le hachage » : cnil.fr
  • Cybermalveillance.gouv.fr, « Sextorsion : que faire en cas de chantage à la webcam ? » : cybermalveillance.gouv.fr

Articles similaires

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

DGFiP : 1,2 million de comptes bancaires exposés via le fichier FICOBA

En février 2026, un attaquant a accédé au fichier national des comptes bancaires (FICOBA) de la DGFiP pendant 16 jours grâce à des identifiants usurpés d'un fonctionnaire. IBAN, identités, adresses : retour sur une fuite qui fragilise la confiance dans l'administration fiscale.

Éducation nationale : les données personnelles de 243 000 agents dans la nature après le piratage de COMPAS

Le 15 mars 2026, un pirate a accédé au système RH COMPAS du ministère de l'Éducation nationale via un compte compromis. Noms, adresses postales, téléphones de 243 000 enseignants et agents ont été exfiltrés puis mis en vente. Retour sur les faits, les failles, et ce que les personnels concernés doivent savoir.