Cyberattaque OVH (mars 2026) : un hacker revendique 590 To de données et 1,6 million de clients
Accueilbreadcrumb arrowBlogbreadcrumb arrowDroit du numériquebreadcrumb arrowProtection des données & vie privéebreadcrumb arrowCyberattaque OVH (mars 2026) : un hacker revendique 590 To de données et 1,6 million de clients

Cyberattaque OVH (mars 2026) : un hacker revendique 590 To de données et 1,6 million de clients

24 mars 2026
11 minutes
Droit du numérique
author image
Oriane Levoux

Elève-avocat au Barreau de Paris diplômée de Paris II Panthéon-Assas et de Munich

Un hacker revendique avoir compromis l'infrastructure d'OVHcloud, premier hébergeur européen, et obtenu un accès à un compte parent d'administration et aux serveurs associés. La publication, repérée le 23 mars 2026 sur un forum cybercriminel par l'expert en cybersécurité Seb (@seblatombe), évoque 1,6 million de clients, 5,9 millions de sites actifs et jusqu'à 590 To de données. Ces allégations n'ont pas été confirmées indépendamment à cette date. OVH n'a émis aucune communication officielle. Cet article sera mis à jour dès que des éléments fiables seront disponibles.

Cyberattaque OVH : ce que l'on sait, ce que cela implique, et ce qu'il faut faire maintenant

Sur un forum cybercriminel, un compte se présentant comme administrateur revendique un accès au compte parent OVHcloud et à ses serveurs, avec à la clé 1,6 million de clients exposés, 5,9 millions de sites actifs et jusqu'à 590 To de fichiers — dont une partie serait déjà en vente. Si cette revendication était confirmée, elle constituerait l'incident de cybersécurité le plus grave jamais documenté pour l'infrastructure web européenne — dépassant en volume et en nature la fuite Cegedim MLM de février 2026. Le risque majeur n'est pas seulement l'exposition des données clients OVH : c'est l'effet domino. Un accès aux configurations serveurs et bases de données d'OVH ne menace pas les seuls clients directs — il menace potentiellement tous les sites, services et utilisateurs finaux hébergés chez OVH, soit une fraction significative d'Internet en France. En l'absence de confirmation, appliquez immédiatement les précautions décrites dans cet article.

Les chiffres de la revendication

Élément revendiqué Chiffre / Information
Clients OVHcloud concernés 1,6 million
Sites actifs hébergés potentiellement exposés 5,9 millions
Volume total de données revendiqué 590 To
Type de données revendiquées Dossiers clients, sites, bases de données, médias, configurations serveurs
Vecteur d'accès revendiqué Accès à un "compte parent" OVHcloud et aux serveurs associés
Statut de la vente Seule une partie mise en vente pour l'instant
Date de détection publique 23 mars 2026 (forum cybercriminel, @seblatombe)
Confirmation officielle OVH ❌ Aucune à ce stade
Notification CNIL ❌ Non confirmée à ce stade

Clients OVHcloud concernés
1,6 million

Sites actifs potentiellement exposés
5,9 millions

Volume total revendiqué
590 To

Type de données
Dossiers clients, sites, BDD, médias, configurations serveurs

Vecteur d'accès
Accès à un "compte parent" OVHcloud

Statut de la vente
Seule une partie mise en vente pour l'instant

Date de détection
23 mars 2026 (@seblatombe)

Confirmation OVH
❌ Aucune à ce stade

Notification CNIL
❌ Non confirmée à ce stade

🚨 À retenir : La revendication publiée n'a pas été vérifiée indépendamment. OVHcloud n'a émis aucune communication officielle. Mais si ces allégations se confirmaient, elles constitueraient l'incident de cybersécurité le plus grave jamais documenté pour l'infrastructure web en Europe. 590 To représente environ 20 fois le volume de données brutes de la fuite Cegedim MLM — déjà qualifiée de plus grave fuite médicale française. La nature des données revendiquées (configurations serveurs, bases de données, fichiers de sites hébergés) crée un risque d'effet domino sur des millions de sites et leurs utilisateurs finaux qui n'ont aucun moyen d'être directement alertés.

Pourquoi cet incident est d'une nature fondamentalement différente

Comparer l'incident OVH aux fuites de données classiques serait réducteur. Il ne s'agit pas ici d'une base de données clients exposée, mais potentiellement d'un accès à l'infrastructure hébergeuse elle-même. Ce changement de nature est fondamental : OVH n'est pas seulement responsable de ses propres données clients — il est le gardien de l'infrastructure de millions de services tiers.

Critère Fuite de données classique Incident OVH (si confirmé)
Qui est exposé directement Les clients de l'organisation victime Les clients OVH ET leurs propres clients/utilisateurs
Nature des données Données personnelles, coordonnées, historiques Configurations serveurs, BDD, code source, fichiers médias, certificats
Périmètre réel Limité à l'organisation victime Potentiellement des millions de sites et leurs bases de données
Effet domino Limité ou nul Chaque site hébergé = nouvelle surface d'attaque potentielle
Durabilité de l'exposition Données figées à un instant T Accès persistant possible si non révoqué → exposition continue
Possibilité d'alerte des victimes finales Notification directe possible Les utilisateurs de sites hébergés sont inatteignables directement
Périmètre France Limité au périmètre de l'organisation OVH héberge une fraction majeure de l'Internet français

Fuite classique : clients directs, données figées, effet domino limité, alerte possible.

Incident OVH (si confirmé) : clients + leurs utilisateurs, configs + BDD + code source, effet domino massif, victimes finales inatteignables directement, accès potentiellement persistant.

L'effet domino : les risques en cascade

OVHcloud héberge des millions de sites et services en France : e-commerce, médias, administrations locales, cabinets médicaux, cabinets d'avocats, établissements scolaires, associations, PME. Si un accès aux configurations serveurs est avéré, les risques pour les utilisateurs finaux de ces services — qui ne sont pas clients OVH et n'ont aucun moyen d'être alertés — sont considérables :

  • Accès aux bases de données des sites hébergés → exposition des données personnelles, médicales ou financières de leurs propres clients
  • Injection de code malveillant dans des sites actifs → compromission des navigateurs de millions de visiteurs sans qu'ils le sachent
  • Accès aux certificats SSL et clés de chiffrement → possibilité d'intercepter des communications supposément chiffrées
  • Accès aux sauvegardes → récupération de données historiques, y compris celles supprimées par les clients
  • Prise de contrôle de noms de domaine → redirection de sites légitimes vers des pages frauduleuses

Pour donner une mesure de l'ampleur : 590 To représente environ 590 000 gigaoctets de données. La fuite Cegedim MLM — la plus grave fuite médicale française — représentait plusieurs dizaines de gigaoctets de données structurées hautement sensibles. Si les chiffres revendiqués par le hacker OVH sont confirmés, le volume brut est d'un ordre de grandeur 20 à 30 fois supérieur. La différence tient aussi à la nature : là où Cegedim exposait des données personnelles, OVH exposerait potentiellement l'infrastructure elle-même.

Comparaison avec les grandes fuites françaises récentes

Incident Volume / Périmètre Nature des données Effet domino Statut
OVH (mars 2026) 1,6M clients + 5,9M sites + 590 To revendiqués Infrastructure, configs serveurs, BDD, fichiers sites ⚠️ Massif — millions de tiers exposés ⚠️ Non confirmé
Cegedim MLM (fév. 2026) 15M patients, 19M lignes, 169 000 données catégorie spéciale Données médicales + catégorie spéciale art. 9 Limité aux patients directs ✅ Confirmé
Enseignement catholique (mars 2026) 1,5M personnes (élèves, familles, enseignants) Identité, coordonnées, données d'élèves mineurs Limité aux personnes concernées ✅ Confirmé
Médoucine (mars 2026) 813 000 utilisateurs Données santé indirectes, coordonnées Limité aux utilisateurs ✅ Confirmé

OVH (mars 2026)
1,6M clients + 5,9M sites + 590 To — Infrastructure + configs + BDD — Effet domino massif — ⚠️ Non confirmé

Cegedim MLM (fév. 2026)
15M patients, 169 000 données sensibles — Données médicales catégorie spéciale — ✅ Confirmé

Enseignement catholique (mars 2026)
1,5M personnes dont mineurs — Identité + coordonnées — ✅ Confirmé

Médoucine (mars 2026)
813 000 utilisateurs — Données santé indirectes — ✅ Confirmé

👉 En quoi la compromission d'un "compte parent" OVH est-elle plus grave qu'une fuite de base de données ordinaire ?

Un compte parent d'administration donne potentiellement accès à l'ensemble de l'architecture d'hébergement — serveurs, fichiers, bases de données, configurations réseau — de millions de clients. Contrairement à une fuite de base de données où les données volées sont figées, un accès administrateur actif permet une exfiltration continue et en temps réel, la modification de fichiers, l'injection de code malveillant et la prise de contrôle de services. C'est la différence entre voler les clés d'un appartement et voler les clés du passe-partout de tout l'immeuble.

Que faire si vous êtes client OVH ?

En l'absence de confirmation officielle, ces précautions s'imposent dès maintenant :

  1. Surveillez votre espace client OVH — activez les alertes de connexion et vérifiez l'absence d'accès non autorisés récents.
  2. Changez vos mots de passe — compte OVH, mais aussi tout service utilisant la même adresse email ou mot de passe.
  3. Activez la double authentification sur votre compte OVH si ce n'est pas déjà fait.
  4. Auditez vos sites et applications hébergés — vérifiez les journaux d'accès, les modifications récentes de fichiers et les connexions inhabituelles aux bases de données.
  5. Changez les mots de passe de vos bases de données et révoquez tous les accès API non strictement nécessaires.
  6. Vérifiez vos certificats SSL — assurez-vous qu'aucun certificat frauduleux n'a été émis pour vos domaines.
  7. Méfiez-vous du phishing ciblé — les données clients OVH (noms de domaines, coordonnées, services souscrits) permettent de construire des messages frauduleux extrêmement crédibles.

👉 En tant que client OVH responsable de traitement, dois-je notifier la CNIL si les données de mes propres utilisateurs sont exposées via cette fuite ?

Oui, si vous avez connaissance d'une violation affectant des données personnelles que vous traitez. Même si la compromission résulte d'une faille d'OVH en tant que sous-traitant (article 28 RGPD), vous restez responsable de traitement vis-à-vis de vos propres utilisateurs. Vous avez l'obligation de notifier la CNIL dans les 72 heures dès que vous avez connaissance de la violation, et d'informer les personnes concernées si le risque pour leurs droits est élevé. Agir rapidement limite votre propre exposition juridique.

Mon adresse email a-t-elle déjà été compromise ?

Mon adresse email a-t-elle été compromise ?

Vérifiez si votre adresse apparaît dans des fuites de données connues, dont les incidents récents.

Vérification effectuée via Have I Been Pwned — service tiers indépendant. Ce site ne transmet aucune donnée.

Vos droits si la violation est confirmée

Les obligations d'OVH au titre du RGPD

OVHcloud agit à deux titres distincts selon les données concernées, ce qui multiplie ses obligations :

Rôle d'OVH Données concernées Obligation RGPD Délai
Responsable de traitement Données clients OVH directs (coordonnées, facturation, compte) Notifier la CNIL + informer les clients si risque élevé 72 heures (art. 33) + meilleurs délais (art. 34)
Sous-traitant Données hébergées par ses clients (données des clients de clients) Informer les clients responsables de traitement "sans délai injustifié" Dès connaissance (art. 28)

Responsable de traitement
Données clients OVH directs — Notifier CNIL + clients si risque élevé — 72 heures (art. 33)

Sous-traitant
Données hébergées par ses clients — Informer les responsables de traitement — Dès connaissance (art. 28)

Votre droit à indemnisation

Sur le fondement de l'article 82 du RGPD, la simple perte de contrôle sur ses données personnelles constitue un préjudice moral indemnisable, sans qu'il soit nécessaire de prouver une fraude concrète (CJUE, 14 décembre 2023).

Droit / Obligation Qui Détails
Notification CNIL OVH (responsable de traitement) Sous 72 heures dès connaissance (article 33 RGPD)
Information des clients OVH Dans les meilleurs délais si risque élevé (article 34 RGPD)
Droit d'accès Client OVH Demander quelles données vous concernant ont été exposées (article 15 RGPD)
Signalement CNIL Client OVH / victime finale En ligne sur signal.cnil.fr
Action en réparation Client OVH / victime finale Préjudice moral indemnisable sans fraude avérée (article 82 RGPD)
Notification de ses propres utilisateurs Client OVH (responsable de traitement) Si les données de ses utilisateurs sont exposées, obligation de notifier (article 34)

Notification CNIL
OVH — Sous 72 heures (article 33 RGPD)

Information des clients
OVH — Dans les meilleurs délais (article 34 RGPD)

Droit d'accès
Client OVH — Article 15 RGPD

Signalement CNIL
Victime — signal.cnil.fr

Action en réparation
Victime — Article 82 RGPD, sans fraude avérée

Notification utilisateurs
Client OVH responsable de traitement — Article 34 RGPD

👉 OVH peut-il être sanctionné par la CNIL même si la revendication n'est pas encore confirmée publiquement ?

La CNIL peut ouvrir une enquête dès qu'elle a connaissance d'une violation potentielle, indépendamment de toute confirmation publique. OVH est tenu de notifier la CNIL dans les 72 heures s'il a lui-même connaissance d'une violation (article 33 RGPD). Si cette notification n'est pas effectuée dans les délais, cela constitue en soi un manquement sanctionnable — comme Cegedim l'a appris à ses dépens avec une amende de 800 000 € confirmée par le Conseil d'État en février 2026.

Article en cours de mise à jour — 24 mars 2026
Les informations publiées ici reflètent l'état des connaissances au 24 mars 2026, fondées sur la revendication publiée sur forum cybercriminel et relayée par @seblatombe. Cet article sera actualisé dès qu'OVHcloud, la CNIL ou des sources indépendantes apporteront des confirmations ou démentis officiels. Surveillez également BonjourLaFuite pour les mises à jour en temps réel sur cet incident.

Conclusion

Si la revendication publiée sur ce forum cybercriminel se confirme, l'incident OVH serait sans précédent dans l'histoire de la cybersécurité européenne — non par le nombre de personnes directement touchées, mais par la nature infrastructurelle de la compromission et l'ampleur de l'effet domino potentiel sur des millions de sites et leurs utilisateurs. L'analogie avec Cegedim s'arrête à la gravité perçue : là où Cegedim a exposé des données médicales intimes, OVH exposerait potentiellement les fondations techniques d'une fraction d'Internet. Dans l'attente d'une confirmation officielle, les précautions décrites dans cet article s'imposent à tout client OVH. La vigilance est d'autant plus nécessaire que mars 2026 s'impose déjà comme le mois de toutes les fuites en France.

Vous êtes client OVH et souhaitez connaître vos droits en cas de confirmation de cet incident ? Décrivez votre situation pour être mis en relation avec un avocat spécialisé en droit du numérique.

Information générale — pas un conseil juridique

Cet article est fourni à titre informatif et peut se substituer à un conseil juridique personnalisé. Pour toute situation engageant votre responsabilité, consultez un avocat.

Les questions des internautes

En quoi la compromission d’un compte parent OVH est-elle plus grave qu’une fuite de base de données ordinaire ?

Un compte parent d’administration donne accès à l’ensemble de l’architecture — serveurs, fichiers, BDD, configurations réseau — de millions de clients. Contrairement à une fuite classique (données figées), un accès administrateur actif permet une exfiltration continue, l’injection de code malveillant et la prise de contrôle de services.

C’est la différence entre voler les clés d’un appartement et voler le passe-partout de tout l’immeuble.

Client OVH : dois-je notifier la CNIL si les données de mes propres utilisateurs sont exposées via cette fuite ?

Oui. Même si la compromission résulte d’une faille d’OVH en tant que sous-traitant (article 28 RGPD), vous restez responsable de traitement vis-à-vis de vos propres utilisateurs.

Obligation de notifier la CNIL dans les 72 heures dès connaissance (articles 33 et 34 RGPD). Agir rapidement limite votre exposition juridique.

Quelles sont les précautions immédiates à prendre si vous êtes client OVH ?

Précautions immédiates : surveiller l’espace client OVH, changer vos mots de passe (compte OVH + services associés), activer la double authentification, auditer les journaux d’accès de vos sites hébergés.

Également : changer les mots de passe de vos bases de données, révoquer les accès API non essentiels, vérifier vos certificats SSL et rester vigilant face au phishing ciblant les clients OVH.

En quoi l’incident OVH dépasse-t-il en nature les fuites Cegedim ou Enseignement catholique ?

Cegedim et Enseignement catholique ont exposé des données personnelles figées, limitées aux victimes directes. L’incident OVH, si confirmé, exposerait l’infrastructure hébergeuse elle-même : configs serveurs, BDD et fichiers de millions de sites tiers.

L’effet domino est sans comparaison : millions d’utilisateurs finaux atteints en cascade sans avoir été clients OVH. En volume brut, 590 To = 20 à 30 fois le volume Cegedim.

Articles similaires

article card imageDroit du numérique
Par
Oriane Levoux
March 22, 2026
2026-03-22
6 minutes

Fuite de données Enseignement catholique (mars 2026) : 1,5 million de personnes concernées

Cyberattaque Enseignement catholique : 1,5 million de personnes exposées. Vos droits RGPD et les démarches pour vous protéger.

Protection des données & vie privée
article card imageDroit du numérique
Par
Oriane Levoux
March 18, 2026
2026-03-18
10 minutes

Escroquerie bancaire et faux conseiller : comment récupérer son argent

Victime d’un faux conseiller bancaire ? Découvrez comment contester les opérations frauduleuses et obtenir le remboursement de votre banque.

Protection des données & vie privée
article card imageDroit du numérique
Par
Oriane Levoux
March 17, 2026
2026-03-17
7 minutes

Fuite de données Médoucine (mars 2026) : 813 000 utilisateurs concernés

Fuite de données Médoucine : 813 000 utilisateurs concernés. Découvrez les risques, vos droits RGPD et les démarches pour vous protéger.

Protection des données & vie privée

Accédez à des documents juridiques personnalisés et trouver rapidement les informations dont vous avez besoin. Accessible et pratique, le-droit.fr vous accompagne pour gagner du temps et sécuriser vos démarches en toute sérénité.

Autres articles

article card image
par
Oriane Levoux
March 24, 2026
2026-03-24

Photos intimes diffusées sans consentement : recours pénaux et démarches

article card image
par
Oriane Levoux
March 22, 2026
2026-03-22

Fuite de données Enseignement catholique (mars 2026) : 1,5 million de personnes concernées

article card image
par
Oriane Levoux
March 20, 2026
2026-03-20

Licenciement pour inaptitude : procédure et obligations employeur

Besoin d'aide ?

Notre comité d'expert regroupant 383 avocats partout en France vous répond en -24h

Besoin d'aide ?

J'AI BESOIN D'AIDE

Posez vos questions à un avocat

être mis en relation rapidement

Menu
AccueilAuteursBlogsContactConfidentialitéMentions Légales
Categories
Droit du numérique
Démarches administratives
Droit des assurances
Droit de l'immigration
Droit de la famille
Droit de la consommation
Droit du travail
Procédure
Compliance
Droit de l'environnement
Droit social
Droit commercial et des affaires
Droit civil
Droit fiscal
Droit des transports
Droit immobilier
Droit pénal
Sous-catégories
Garde et résidence
Défense pénale
Baux commerciaux
État civil & actes familiaux
État civil & actes consulaires
Indemnisation des victimes
Visas & autorisations de voyage
Protection des données & vie privée
Discrimination au travail
Harcèlement & atteintes à la personne
Blanchiment & espèces
Ventes entre particuliers & plateformes
Litiges & refus d'indemnisation
Absence & abandon de poste
Dépôt de garantie & caution
Nous suivre
facebooktwitterinstagramlinkedin
©2026 le-droit.fr
par Refmax
Bot juridique
Réponse instantanée
Bot juridique
Bonjour,
Je maîtrise 1,2 million de textes juridiques. Puis-je vous aider ?
Echanger avec l'IA
Contacter un avocat