Trafic d’identités et cyber fuites : l’autre visage de l’économie numérique

Une filière clandestine de revente d’identités numériques a été démantelée à Qingdao. En parallèle, Adidas est victime d’une fuite de données causée par un prestataire externe. Deux affaires, un même enjeu : la cybersécurité.

Le printemps 2025 aura révélé deux facettes inquiétantes de la vulnérabilité numérique. À Qingdao, en Chine, un vaste réseau exploitant les données personnelles d’étudiants a été mis au jour par la police. En Europe, c’est Adidas qui découvre, à ses dépens, les conséquences d’une faille chez un sous-traitant. Dans les deux cas, le même constat s’impose : le contrôle des données personnelles échappe de plus en plus à ceux à qui elles appartiennent. Tandis que les cybercriminels redoublent d’inventivité, les entreprises et les autorités courent après les failles. Un combat asymétrique, dont l’issue reste incertaine, mais qui engage à la fois notre vie privée, notre sécurité numérique et la confiance dans les plateformes numériques.

Dans une modeste pièce d’un immeuble résidentiel de Qingdao, un groupe de jeunes pianotait innocemment sur leurs téléphones, convaincu de participer à une banale opération de marketing numérique. Ce qu’ils ignoraient, c’est que cette prétendue « mission de remplissage de plateforme » n’était rien d’autre qu’une arnaque bien huilée, orchestrée par une organisation criminelle exploitant leur identité numérique. Alertée par des indices récoltés en avril 2024, la division de la cybersécurité de la police de Qingdao a découvert une structure tentaculaire spécialisée dans l’enrôlement de jeunes étudiants à travers de fausses offres d’emploi.

Leur objectif : créer des comptes sur les réseaux sociaux, applications ou sites commerciaux à l’aide de données réelles, récupérées directement auprès des participants. Moyennant quelques dizaines de yuans, les étudiants transmettaient leurs noms, numéros de téléphone et données de reconnaissance faciale à des inconnus, qui les revendaient ensuite à la chaîne. Derrière cette façade anodine se cachait une industrie souterraine florissante, brassant près de 43 millions de yuans (environ 5,5 millions d’euros).

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

« Ce réseau illustre la professionnalisation croissante du marché noir des données« , déclare un enquêteur de la police chinoise. Une enquête sur trois mois durant laquelle les forces de l’ordre ont procédé à deux vagues de démantèlement. Au total, 151 personnes ont été interpellées, et des centaines d’ordinateurs, téléphones et comptes en ligne ont été saisis. Cette opération s’inscrit dans un effort plus large des autorités pour assainir l’écosystème numérique, où les « ateliers de remplissage » et les « marchands de comptes » pullulent depuis plusieurs années.

Plus de 7 000 faux comptes ont été récupérés lors de l’opération, témoignant de l’ampleur de ce trafic invisible mais redoutablement efficace.

Les ramifications du dossier ne s’arrêtent pas là. En explorant les documents saisis, les enquêteurs ont identifié plus de 200 « intermédiaires » et fausses agences de recrutement, dispersées dans 85 villes de six provinces. Une cartographie d’un marché noir dont les ramifications épousent les frontières de l’économie numérique chinoise. L’exploitation des identités numériques est devenue une spécialité à part entière, alimentant les filières de fraude en ligne, de désinformation ou encore de manipulation d’opinion.

Les autorités chinoises multiplient d’ailleurs les communications pour alerter sur les nouvelles formes de cybercriminalité. Certaines escroqueries commencent dès la publication d’une fausse offre d’emploi. En quelques clics, le candidat fournit des informations cruciales qui seront revendues à des escrocs spécialisés dans l’usurpation d’identité ou d’hameçonnage. D’autres réseaux opèrent via des « usines à comptes« , Des lieux où ZATAZ vous a déjà montré l’ampleur des dégâts, utilisant les identifiants collectés pour automatiser des campagnes de spam, truquer des votes en ligne, revendre des personnages de jeu vidéo ou manipuler les classements sur les plateformes de streaming.

Mais la Chine n’est pas un cas isolé. À des milliers de kilomètres, une autre affaire confirme la fragilité des chaînes numériques, y compris au sein des multinationales les plus puissantes.

Le 23 mai 2025, Adidas a officiellement reconnu avoir été victime d’une fuite de données majeure. Contrairement à une attaque directe sur ses serveurs, c’est par l’intermédiaire d’un prestataire de service client que les informations de contact de ses clients ont été subtilisées. Aucun mot de passe ni donnée de paiement n’a été compromis, selon les déclarations officielles. Mais le mal est fait : des centaines de milliers de clients ayant simplement échangé avec le service client pourraient désormais voir leurs coordonnées utilisées à mauvais escient.

L’affaire pointe un angle mort de la sécurité numérique : la gestion des fournisseurs et sous-traitants, souvent considérés comme les maillons faibles d’une architecture pourtant sophistiquée. Selon le rapport 2025 de Verizon sur les fuites de données, 30 % des incidents sont aujourd’hui causés par des tiers, un chiffre en forte hausse par rapport aux années précédentes. C’est le phénomène du « supply chain attack », ou attaque de la chaîne logistique numérique.

62 % des cyberattaques en 2025 trouvent leur origine dans une faille externe, souvent via un prestataire mal protégé.

Adidas rejoint une liste de grandes enseignes déjà touchées par ce type de faille, de Dior à Marks & Spencer en passant par la CoOp britannique. Les attaques indirectes se multiplient, profitant de la complexité des relations d’interdépendance entre fournisseurs, plateformes de service et clients finaux. Un seul chaînon mal protégé suffit à ouvrir une brèche.

Derrière ces chiffres se cachent des réalités coûteuses : perte de confiance des consommateurs, sanctions réglementaires, interruption d’activité. Le coût moyen d’une fuite de données causée par un tiers dépasse de 5 % celui d’une attaque directe. Et dans un cadre réglementaire de plus en plus strict – RGPD en Europe, PIPL en Chine – les entreprises n’ont plus le droit à l’erreur.

Les experts en cybersécurité appellent désormais à renforcer la gestion des risques liés aux tiers (TPRM). Cela inclut des audits réguliers, la mise en œuvre de systèmes de double authentification, l’utilisation de protocoles de chiffrement avancé et la réduction des accès accordés aux prestataires. L’adoption de solutions de Data Security Posture Management (DSPM) permet également de visualiser en temps réel les droits d’accès aux données sensibles, et d’anticiper les failles.

Mais la technologie ne suffit pas. C’est aussi une culture de la sécurité qu’il faut instaurer, à tous les niveaux. Car si la fuite de données est une question technique, la confiance qu’elle érode est d’abord humaine.

À Qingdao comme chez Adidas, l’origine des incidents diffère, mais leur essence est commune : un système numérique où les données sont devenues un carburant que certains exploitent sans scrupule. La lutte contre ces dérives suppose une coordination globale entre États, entreprises et utilisateurs.