Publié le 16 mai 2026 — temps de lecture : 5 min

Mai 2026 enchaîne les mauvaises nouvelles côté cybersécurité : Bouygues Telecom compromis le 11 mai, l’ANTS et ses 12 millions de comptes, et une compilation record de 16 milliards d’identifiants en circulation. Le constat est sans appel : ce n’est plus la force du mot de passe qui compte, c’est le canal par lequel il transite. Un mail, un Slack ou un ticket Jira, c’est une fuite en sursis.

11 mai 2026 : Bouygues Telecom, le déclic

Le 11 mai 2026, Bouygues Telecom a confirmé la compromission d’un outil interne lié à ses interventions fibre. L’opérateur précise qu’aucun mot de passe ni donnée bancaire n’a été récupéré — une bonne nouvelle relative, mais qui ne doit rien rassurer : les données d’intervention permettent à elles seules de bâtir des campagnes de phishing extrêmement convaincantes contre les abonnés.

Cet incident s’ajoute à un trimestre catastrophique. Selon les chiffres compilés au T1 2026, la France se place au 2ᵉ rang mondial des pays les plus touchés par les violations de données, juste derrière les États-Unis, avec 23,5 millions de comptes compromis en trois mois.

ANTS, 16 milliards d’identifiants : le problème n’est plus le mot de passe

Quelques semaines plus tôt, l’ANTS (Agence nationale des titres sécurisés) voyait ses bases exposer 12 millions de comptes. Pas de mots de passe dans la fuite — mais des informations personnelles bien plus précieuses pour usurper une identité.

Et en toile de fond, la compilation découverte début 2026 par les chercheurs en sécurité : plus de 16 milliards d’identifiants issus de malwares « infostealers », mis en vente sur Telegram et le dark web. L’analyse de 1,7 milliard d’entre eux a montré quelque chose de glaçant : même des mots de passe qui respectent les politiques d’entreprise les plus strictes s’y retrouvent, parce qu’ils ont été volés directement sur des postes infectés.

Conclusion : continuer à dire à ses équipes « choisis un mot de passe fort » ne suffit plus depuis longtemps.

Le vrai trou dans la raquette : le canal de partage

Posons-nous la bonne question. Quand vous transmettez aujourd’hui un mot de passe, un code Wi-Fi invité, un token API ou un PDF sensible à un collègue, un prestataire ou un client, par où passe l’information ?

  • Un mail ? Stocké à vie chez vous, chez votre destinataire, et chez les serveurs SMTP intermédiaires.
  • Un Slack ou Teams ? Historisé, indexable, accessible par tout admin de l’espace.
  • Un SMS ? Synchronisé sur un cloud (iCloud, Google) que vous ne maîtrisez pas.
  • Un ticket Jira ou ServiceNow ? Archivé éternellement, lisible par tous les futurs intervenants.
  • Un fichier mdp.txt sur un drive partagé ? Le cas d’école.

Chacun de ces canaux est un dépôt persistant. Le jour où l’un d’eux fuit — et statistiquement, c’est une question de quand, pas de si — votre secret fuit avec lui. Bouygues Telecom et l’ANTS, c’est exactement ça : un outil interne compromis, et tout ce qui transitait par lui devient exploitable.

3 réflexes à adopter dès aujourd’hui

1. Ne plus jamais coller un secret en clair dans un canal persistant

Mail, messagerie d’équipe, ticket, document partagé : aucun n’est conçu pour de la donnée éphémère. La règle est simple : si l’information doit disparaître après usage, elle ne doit pas être déposée dans un endroit qui ne sait pas la faire disparaître.

2. Imposer durée de vie et nombre de vues

Tout secret partagé devrait avoir, par défaut :

  • une date d’expiration courte (1 h, 24 h, 7 jours maximum) ;
  • une limite de vues (idéalement : une seule) ;
  • et, pour les cas sensibles, un mot de passe transmis sur un autre canal que le lien lui-même.

C’est exactement la posture qu’adopte Seecret.it : un lien qui s’autodétruit après lecture, ne laisse aucune trace côté serveur, et que personne — pas même nous — ne peut relire.

3. Pour les secrets critiques : le partage scindé (Shamir)

Pour les vrais bijoux de la couronne — mot de passe root, clé de chiffrement maître, recovery code d’un wallet — un partage à usage unique ne suffit pas. Il faut deux destinataires complices : chacun reçoit une moitié du secret, et seule la combinaison des deux permet de le reconstituer.

C’est le principe du partage à seuil de Shamir, intégré nativement à Seecret.it. Aucun des deux destinataires, pris isolément, ne peut compromettre le secret. Y compris si l’un d’eux se fait pirater son mail demain.

Cas concret : transmettre un mot de passe root à un prestataire

❌ Avant :

Mail à [email protected] : « Voici les accès, mdp : Tr0ub4dor&3 »

→ Mail conservé chez vous, chez le prestataire, sur les serveurs SMTP. Si l’un de ces trois maillons fuit (cf. Bouygues), votre prod est compromise.

✅ Après :

  1. Vous collez le mot de passe sur Seecret.it.
  2. Vous activez : 1 vue, expiration 1 h, mot de passe « Marseille2026 ».
  3. Vous envoyez le lien par mail, et le mot de passe par SMS.
  4. Le prestataire ouvre le lien, l’utilise, le contenu se détruit.
  5. Trois jours plus tard, aucune trace du mot de passe ne subsiste nulle part.

Coût : 10 secondes. Gain : une fuite évitée le jour où l’un des canaux sera compromis.

Ce qu’il faut retenir

L’enchaînement Bouygues Telecom – ANTS – 16 milliards de credentials de ce mois de mai 2026 n’est pas une anomalie. C’est la nouvelle normalité. Les attaquants n’ont plus besoin de casser vos mots de passe, ils les récupèrent là où vous les laissez traîner.

La bonne nouvelle, c’est que changer de canal de partage coûte moins cher que renforcer une politique de mots de passe — et que l’effet est immédiat. Un secret qui n’existe plus après lecture, c’est un secret qui ne pourra plus fuir.

🔐 Essayez Seecret.it en 10 secondes, sans inscription.

Créez votre premier lien autodestructible, paramétrez durée de vie, nombre de vues et mot de passe, partagez en toute tranquillité.

👉 Créer un Seecret

Sources : Selectra (Bouygues Telecom, 11 mai 2026), MonScoreSecurite (fuite ANTS 2026), Journal du Net (Journée mondiale du mot de passe 2026), Specops Software (analyse de 1,7 Md d’identifiants), Cybernews (compilation 16 Mds).