Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-personnellesFrance

O'Tacos : 29 millions de comptes clients en vente sur le dark web

En janvier 2026, la base de données du programme de fidélité d'O'Tacos a été mise en vente sur un forum pirate. 29 millions de profils clients, dont 10 millions avec identité complète. Retour sur une fuite qui s'inscrit dans un mois de janvier catastrophique pour la France.

Thomas Ferreira8 min de lecture

Vingt-neuf millions. C'est le nombre de profils clients de la chaîne O'Tacos qui ont été mis en vente sur un forum pirate fin janvier 2026. Un fichier de 9 Go au format JSON, contenant les données du programme de fidélité de l'enseigne de restauration rapide, proposé à l'achat comme n'importe quel produit sur un marché en ligne.

L'affaire est passée relativement inaperçue dans le grand public, noyée dans un mois de janvier 2026 qui restera dans les annales de la cybersécurité française. Mais le volume est considérable : 29 millions de comptes, c'est davantage que les fuites de SFR, de Free Mobile ou de Boulanger qui avaient fait la une en 2024.

Ce qu'on trouve dans le fichier

29 millions de profils, 10 millions d'identités complètes

Le dump mis en vente contient 29 millions d'utilisateurs au total, issus du programme de fidélité et de l'application mobile O'Tacos. Parmi eux, 10 millions disposent d'une identité complète : nom, prénom, adresse email, date de naissance, adresse postale.

Les 19 millions de profils restants contiennent des données partielles — adresses email, préférences, métadonnées techniques de l'application — mais restent exploitables pour des campagnes de spam et de phishing.

Le fichier couvre la clientèle internationale de l'enseigne : France, Belgique, Maroc et Canada. Les données sont récentes, avec des modifications enregistrées jusqu'en janvier 2026, ce qui indique une extraction très proche de la date de mise en vente.

Le programme de fidélité : un concentré de données personnelles

D'après la politique de confidentialité d'O'Tacos, la gestion du programme de fidélité via l'application implique le traitement des données suivantes :

  • Nom et prénom
  • Adresse email
  • Sexe
  • Date de naissance
  • Adresse postale
  • Préférences produits O'Tacos
  • Restaurants préférés
  • Photo de la carte étudiante (le cas échéant)

Ce dernier point est particulièrement préoccupant. Si les photos de cartes étudiantes font partie des données extraites, ce sont potentiellement des documents d'identité de mineurs et de jeunes adultes qui circulent sur le dark web.

Un mois de janvier catastrophique

La fuite O'Tacos n'est pas un incident isolé. Elle s'inscrit dans un mois de janvier 2026 d'une violence inédite pour la cybersécurité française.

En l'espace de quatre semaines, plus de 90 millions de comptes français ont vu leurs données fuiter — un volume qui dépasse le total de l'ensemble de l'année 2025. La France est devenue, en ce début d'année, le pays le plus ciblé d'Europe par les fuites de données.

Le 28 janvier seul, une salve d'annonces a touché O'Tacos, Techni-Contact, Lyleoo, Coriolis, Lovys, l'UGSEL, le CNAM et le Centre d'imagerie médicale de Puteaux. La même semaine, l'URSSAF révélait une fuite touchant 12 millions de salariés, et Panorama Banques signalait l'exposition de 2,3 millions de comptes.

Ce déferlement a conduit le gouvernement à annoncer la création d'un observatoire sur la cybercriminalité et la CNIL à infliger une amende de 5 millions d'euros à France Travail pour manquements à la sécurité des données.

Comment les programmes de fidélité deviennent des cibles

Des bases de données massives, une sécurité minimale

Les programmes de fidélité de la restauration rapide et du commerce de détail partagent une caractéristique : ils accumulent des volumes considérables de données personnelles sans que les mesures de sécurité suivent. L'objectif premier est le marketing — connaître les habitudes de consommation, personnaliser les offres, fidéliser le client. La protection de ces données passe au second plan.

O'Tacos n'est pas la première enseigne de restauration à être touchée. En 2024, Subway avait vu les données de millions de clients fuiter via son programme de fidélité. McDonald's France avait subi un incident similaire l'année précédente. Le schéma est toujours le même : une application mobile qui centralise les données, un backend insuffisamment protégé, et un jour, un fichier de plusieurs gigaoctets apparaît sur un forum.

La clientèle jeune : un facteur aggravant

O'Tacos a une clientèle majoritairement jeune — lycéens, étudiants, jeunes actifs. Cette population est statistiquement plus susceptible d'utiliser le même mot de passe sur plusieurs services, de ne pas activer la double authentification, et de cliquer sur des liens reçus par SMS ou notification push.

La présence de photos de cartes étudiantes dans le programme de fidélité ajoute une couche de risque. Un attaquant qui dispose de l'identité complète d'un étudiant — nom, prénom, date de naissance, adresse, photo — possède tous les éléments nécessaires pour une usurpation d'identité en bonne et due forme.

Le credential stuffing : l'effet cascade

Avec 29 millions de couples email/mot de passe potentiellement dans la nature, le risque de credential stuffing est massif. Cette technique consiste à tester automatiquement des identifiants volés sur d'autres services : banques en ligne, messageries, réseaux sociaux, sites de commerce. Si le client O'Tacos utilise le même mot de passe pour son compte email ou sa banque — ce qui est le cas pour une proportion importante d'utilisateurs —, l'attaquant accède à ces services sans effort supplémentaire.

Les données personnelles associées (date de naissance, adresse) permettent aux attaquants de deviner les variantes de mots de passe les plus courantes. « Prénom + année de naissance » ou « nom de famille + code postal » sont des schémas fréquents, et les outils de credential stuffing les testent systématiquement.

Ce que les clients O'Tacos doivent faire

Changez votre mot de passe O'Tacos. Immédiatement. Et si vous utilisez le même mot de passe ailleurs, changez-le partout. Utilisez un gestionnaire de mots de passe pour générer des mots de passe différents pour chaque service.

Méfiez-vous des messages liés à O'Tacos. Un email vous proposant un « bon de réduction exceptionnel », vous demandant de « confirmer votre compte » ou vous informant d'un « problème avec votre programme de fidélité » est très probablement frauduleux. Ne cliquez sur aucun lien sans vérifier l'adresse de l'expéditeur.

Surveillez votre boîte email. Si votre adresse email a fuité, vous allez probablement recevoir davantage de spam et de tentatives de phishing dans les semaines à venir. Soyez attentif aux messages qui mentionnent votre nom, votre restaurant habituel ou votre adresse — ce sont des signes d'un phishing ciblé utilisant les données de cette fuite.

Vérifiez vos comptes sur d'autres services. Si vous recevez des notifications de connexion inhabituelles sur votre messagerie, vos réseaux sociaux ou votre banque en ligne, c'est peut-être le signe que vos identifiants sont testés via du credential stuffing.

Le silence de l'enseigne

Au moment de la découverte de la mise en vente du fichier, O'Tacos n'a pas communiqué publiquement sur l'incident. Aucun communiqué de presse. Aucune notification par email aux clients concernés. Aucune déclaration sur les réseaux sociaux.

Ce silence contraste avec l'obligation légale de notification prévue par le RGPD. L'article 34 du règlement impose aux responsables de traitement d'informer les personnes concernées « dans les meilleurs délais » lorsqu'une violation de données est « susceptible d'engendrer un risque élevé pour les droits et libertés ». Avec 10 millions d'identités complètes en vente libre sur le dark web, le seuil du « risque élevé » est objectivement atteint.

Vingt-neuf millions de comptes. Neuf gigaoctets de données personnelles. Des photos de cartes étudiantes potentiellement dans le lot. Et un silence radio de l'enseigne concernée.

Cette fuite illustre un problème que la France refuse de regarder en face : la sécurité des données dans la restauration et le commerce de détail est un désert. Les programmes de fidélité accumulent des volumes de données personnelles comparables à ceux des banques ou des opérateurs télécoms, mais avec une fraction de leurs investissements en cybersécurité. Le résultat est prévisible, et il se mesure en dizaines de millions de fiches personnelles en libre-service sur le dark web.

Sources :

  • FrenchBreaches, « Fuite de données : O'Tacos du 27 janvier 2026 » : frenchbreaches.com
  • Cryptoast, « 90 millions de comptes en un mois : l'ampleur des fuites de données en France », janvier 2026 : cryptoast.fr
  • Jedha, « Liste des organisations victimes d'une cyberattaque en 2026 » : jedha.co
  • Générateur de mot de passe, « Les cyberattaques massives en France début 2026 : ce que ça change pour vos mots de passe » : generateurdemotdepasse.fr
  • O'Tacos, « Politique de confidentialité » : o-tacos.com

Articles similaires

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

DGFiP : 1,2 million de comptes bancaires exposés via le fichier FICOBA

En février 2026, un attaquant a accédé au fichier national des comptes bancaires (FICOBA) de la DGFiP pendant 16 jours grâce à des identifiants usurpés d'un fonctionnaire. IBAN, identités, adresses : retour sur une fuite qui fragilise la confiance dans l'administration fiscale.

Éducation nationale : les données personnelles de 243 000 agents dans la nature après le piratage de COMPAS

Le 15 mars 2026, un pirate a accédé au système RH COMPAS du ministère de l'Éducation nationale via un compte compromis. Noms, adresses postales, téléphones de 243 000 enseignants et agents ont été exfiltrés puis mis en vente. Retour sur les faits, les failles, et ce que les personnels concernés doivent savoir.