Fin décembre 2025, un pirate affirme avoir exfiltré des données attribuées à Adecco. Des centaines de milliers de CV compromis. Bluff ou nouvelle infiltration ?Une base de données attribuée à Adecco, agence d’intérim, a été mise en vente dans un blackmarket repérée par le Service de Veille ZATAZ. Le pirate indique une infiltration datée du 20 au 22 décembre 2025. Le volume estimé atteint environ 800.000 lignes, dont près de 750.000 CV. Le pirate serait passé par un outil interne !
Le cœur du risque ne tient pas seulement au nombre, déjà massif, mais à la nature des informations. Une première extraction est décrite comme une table « profil » classique, avec prénom, nom, adresse e-mail, numéro de téléphone, secteur, région, ville et code postal. Pris isolément, cet ensemble suffit à industrialiser des campagnes d’hameçonnage ciblées et des tentatives d’arnaque par SMS ou téléphone, parce qu’il relie un contact direct à un contexte, le secteur et la zone géographique.
La seconde extraction, si elle s’avére vraie, celle des CV, élargit nettement le champ. Elle reprend les mêmes éléments d’identité, y ajoute l’adresse postale, le pays, la date de naissance et l’âge, puis déroule des marqueurs de trajectoire, poste recherché, années d’expérience, type de contrat, niveau d’études, parcours académique, diplôme principal, établissement, année d’obtention. Viennent ensuite des données très « opérationnelles » pour un attaquant, compétences, langues parlées, certificats, statut professionnel, disponibilité, mobilité. Le tout est complété par des métadonnées, date de création de compte, dernière mise à jour, source du profil.
Dans une logique cyber et renseignement, cette granularité permet de passer du spam générique au prétexte crédible. Un message qui cite un poste visé, un secteur, une mobilité ou une disponibilité devient immédiatement plus convaincant. La présence de dates, création de compte et dernière mise à jour, aide aussi à trier les profils « frais », donc plus rentables pour une revente ou une exploitation rapide. Le même paquet d’informations peut également nourrir des usurpations d’identité « douces », création de comptes, demandes d’informations, détournement de processus RH, car il donne une cohérence biographique suffisante pour franchir des contrôles superficiels.
Le pirate indique avoir exfiltré les informations (scrapping) d’un outil interne à Adecco. Pour prouver ses dires, des captures écrans ont été diffusées par le pirate. Prudence, une capture écran ne veut strictement rien dire. Les cas de Lapsus achetant des « images » à un ancien employé de chez Crowdstrike en est un parfait exemple.
Chronologie, volumes, et bascule vers la reventeLes éléments communiqués par le pirate sur un forum regroupant des malveillants du web situent l’incident entre le 20 et le 22 décembre 2025. C’est une fenêtre courte, mais typique des expositions qui passent sous le radar le temps d’être copiées. Le volume est présenté comme une estimation, environ 800.000 lignes, et environ 750.000 CV. Si l’on prend ces chiffres au pied de la lettre, cela suggère qu’environ 50.000 lignes ne sont pas des CV. Cette différence peut correspondre à des entrées de type “fiche contact”, des doublons, ou des enregistrements partiels, sans que l’on puisse trancher avec les seules informations disponibles. L’important, du point de vue du risque, est que la masse principale serait composée de CV, donc de récits de carrière, ce qui change l’échelle de l’exposition.
Le basculement vers la revente est l’autre signal critique. Une base de candidats n’est pas une simple liste de mails, c’est un répertoire de profils employables, segmentables et monnayables. Dans les circuits clandestins, ce type de données sert à deux choses, générer du rendement immédiat via des campagnes de fraude, et constituer des « réservoirs » pour des opérations plus longues, infiltration sociale, repérage de métiers, ciblage d’entreprises via leurs candidats, ou revente par tranches sectorielles et géographiques. La présence de champs comme « source du profil » et « dernier update » ajoute une couche de qualification qui facilite ce tri.
Dans ce dossier, des « preuves d’accès à un portail » sont évoquées, ainsi qu’un échantillon de 10.000 entrées. Ces éléments, s’ils sont authentiques, indiquent une exposition exploitable, pas seulement théorique. Ils ne suffisent pas, en eux-mêmes, à attribuer une cause technique, vol d’identifiants, erreur de configuration, extraction via un accès légitime détourné, mais ils décrivent un résultat, des données prêtes à circuler et à se revendre si toute fois ces informations s’avérent vraies.
L’enjeu, pour les victimes potentielles, n’est pas seulement la confidentialité, c’est l’anticipation des usages offensifs, phishing « RH », fausses propositions, demandes de pièces, et tentatives de prise d’informations supplémentaires, avec un scénario crédible construit à partir du CV.
Un contenu daté ?
Cette annonce d’un « diffuseur » qui n’est pas à son coup d’essai pour faire parler de lui fait écho à une affaire d’un piratage d’Addeco qui s’est conclu, l’année derniére.
Le dossier dit « du piratage d’Adecco » n’est pas né d’une enquête planifiée sur un grand groupe, mais d’un enchaînement qui a fait remonter, presque incidemment, une vaste série d’escroqueries. La mécanique, telle qu’elle est décrite, commence en 2022, lorsqu’un jeune stagiaire, puis salarié en CDD dans la branche française d’Adecco, est arrêté après avoir transmis à des pirates informatiques ses accès à une base de données. Cette brèche d’accès via un insider devient la porte d’entrée d’une cyber-escroquerie de grande ampleur, au point de fédérer une « galaxie » d’opérations frauduleuses.
En juin 2025, le tribunal correctionnel de Lyon ouvre un procès de deux semaines impliquant quatorze prévenus. Au centre, Timothée L., décrit comme un personnage ambigu, tiraillé entre deux images. D’un côté, celle d’un jeune informatitien, présenté comme responsable d’une galaxie d’escroqueries en ligne. De l’autre, celle d’un amateur dépassé par une machine devenue trop grande, entraîné dans une fuite en avant sous la pression de créanciers jugés dangereux. Le procès vise précisément à trancher cette lecture, et à comprendre son degré de maîtrise, son rôle exact, et la chaîne de responsabilités autour de l’accès initial.
En septembre 2025, la justice tranche sur le plan pénal, Timothée L. est condamné à six ans de prison ferme. Cette séquence judiciaire devait refermer le chapitre. Elle sert aujourd’hui de repère temporel, car la nouvelle revendication surgit environ six mois après cette condamnation.
L’assertion actuelle est simple, un pirate informatique affirme avoir « en main » plus de 700 000 CV extraits d’un outil Adecco dédié à l’emploi. À ce stade, les seules informations disponibles sont celles de cette revendication, de quelques captures écran et d’un échantillon, et du contexte judiciaire rappelé. On ne peut donc ni confirmer l’origine, ni dater l’extraction, ni qualifier la méthode. Mais l’opposition « bluff ou nouveau scraping » résume bien le dilemme opérationnel.
Deux scénarios dominent. Le premier est celui d’un recyclage, des données déjà compromises lors d’un épisode antérieur, ressorties avec un emballage différent pour stimuler une revente. Dans les marchés clandestins, la réutilisation est fréquente, un même stock peut être « rebrandé », segmenté, ou prétendument « mis à jour » pour regagner de la valeur. Le second scénario est celui d’une collecte automatisée récente, un scraping, c’est-à-dire une récupération par extraction massive via des interfaces, des failles logiques ou des accès détournés, permettant d’aspirer des CV sans forcément reproduire le mode opératoire du dossier de 2022.
La différence est majeure pour la lecture cyber. Si c’est du recyclage, le risque immédiat est lié à la circulation et à l’exploitation secondaire, hameçonnage, arnaques, usurpations, chantage. Si c’est une collecte récente, cela signale une surface d’exposition encore active, un outil accessible, un contrôle insuffisant, ou un détournement d’identifiants, avec un risque de poursuite et d’extension.
Dans les deux cas, l’enjeu de renseignement est le même, la valeur du CV ne se limite pas à l’identité. Il fournit une biographie exploitable, compétences, expérience, aspirations, zones géographiques, ce qui permet des approches sur mesure et des scénarios crédibles, notamment dans l’univers du recrutement, où la frontière entre prise de contact légitime et fraude peut être très fine.
Adecco n’a pas encore communiqué sur le sujet de cette annonce malveillante de décembre 2025.
merci à ZATAZ
