Un hacker éthique top 100 mondial a analysé vos données en direct. Voici ce qu'il a trouvé.
Votre compte peut être compromis sans que vous ayez cliqué sur quoi que ce soit.
C'est la réalité que Saxx, hacker éthique parmi les meilleurs au monde, expose sans filtre dans l’un des épisodes du podcast Précurseurs. En quinze ans de carrière, il a trouvé des failles dans des banques publiques, piraté Orange légalement, infiltré des sièges sociaux à La Défense.
Et il a accepté de tout raconter. Ce que vous allez lire n'est pas de la théorie. C'est ce qui se passe réellement.
• Un hacker éthique a trouvé une faille critique dans la Caisse des Dépôts en 10 secondes, sans forcer le moindre système.
• Vos données personnelles circulent déjà : nom, prénom, numéro de téléphone, adresses, comptes liés accessibles avec une simple adresse mail.
• Trois gestes suffisent pour réduire drastiquement votre exposition : alias mail, gestionnaire de mots de passe, double authentification.
Qui est Saxx, le hacker éthique qui courtise le CAC 40 ?
Saxx, de son vrai prénom Clément, ne ressemble pas à l'image que vous avez d'un hacker. Pas de capuche. Pas de sous-sol. Il a commencé à 18 ans, à son arrivée en France depuis le Sénégal, et a rattrapé des années de retard en quelques mois.
Résultat : top 30 des hackers en Europe, top 100 dans le monde, numéro 1 pendant plusieurs années sur la plateforme de bug bounty Yeswehack parmi plus de 40 000 chercheurs. Il a depuis fondé le BzH CTF, la plus grande compétition de cybersécurité en France.
Sa spécialité : le bug bounty. Des entreprises, parfois du CAC 40, lui ouvrent l'accès à leurs systèmes et le paient pour trouver des failles avant que d'autres ne le fassent. En une année, il a gagné jusqu'à 600 000 euros dans cette activité. Certains de ses pairs atteignent 1,5 million.
Chiffres clés : Bug bounty en France et en Europe
| Niveau de faille | Rémunération indicative |
|---|---|
| Faille critique (account takeover) | 20 000 à 100 000 € |
| Faille haute (accès non autorisé) | 5 000 à 20 000 € |
| Faille moyenne | 500 à 5 000 € |
| Top earners bug bounty (annuel) | jusqu'à 1 500 000 € |
| Record connu en France (une seule faille) | 300 000 € |
| Revenus de Sax sur une année | 600 000 € |
Ces montants varient selon les plateformes (Yeswehack, HackerOne, Bugcrowd) et les programmes privés ou publics.
Comment une faille bancaire se trouve en 10 secondes ?
Dans le podcast, Saxx raconte une mission de bug bounty pour la Caisse des Dépôts. Pour rappel : cet organisme public gère environ 60 % des fonds déposés sur les livrets en France. Ce qui reste sur votre livret dans votre banque, c'est 40 %. Le reste transite par la Caisse des Dépôts.
Il a trouvé une faille critique en dix secondes.
L'explication est simple et redoutable. Quand vous naviguez sur internet, des données circulent entre votre terminal et le serveur. Ces données peuvent être interceptées et modifiées si aucun mécanisme de protection ne les sécurise. Saxx s'est placé au milieu de cette circulation. Il a modifié un paramètre dans une requête. Et il a pris le contrôle total du compte cible.
Il l'explique avec une image claire dans le podcast :
Imaginez que vous envoyez une lettre avec un chèque. Quelqu'un intercèle l'enveloppe, rajoute un zéro sur le montant, et vous la renvoie. Vous ne voyez rien. Le serveur non plus, si la signature de la requête n'est pas vérifiée.
Cette technique s'appelle une requête forgée. Elle existe depuis les années 2000. Elle est encore présente sur certains systèmes aujourd'hui.
Chez Green-Got, Julie, responsable sécurité, répond directement à cette question dans l'épisode : le serveur rejette automatiquement tout paiement présentant un écart, même d'un centime. La transaction n'arrive pas jusqu'à l'application.
Pourquoi vos données valent bien plus que vous ne croyez
Il y a un moment particulièrement frappant dans le podcast. Saxx demande à analyser l'adresse mail de Michel, le régisseur du plateau. En quelques minutes, avec un seul mail, il remonte à plusieurs numéros de téléphone, un compte Instagram, un Notion, un Dropbox, un profil Twitter, un compte Disney+.
Depuis le compte Instagram, il peut identifier les abonnements sportifs, les événements fréquentés, les proches, les habitudes de consommation. Depuis Disney+, il devine la composition du foyer. Depuis Dropbox, les connexions professionnelles.
Tout ça sans forcer un seul mot de passe. Sans aucun outil illégal.
Saxx pose une question que personne ne veut vraiment entendre : seriez-vous capables de sortir dans la rue avec une pancarte portant votre nom, prénom, adresse, numéro de téléphone, numéro de sécurité sociale et tous vos réseaux sociaux dans le dos ?
La réponse est évidente. Et pourtant c'est ce que vous avez déjà fait, progressivement, depuis dix ans, en distribuant ces données sur chaque formulaire, chaque inscription sportive pour vos enfants, chaque abonnement de fidélité de supermarché.
Il rappelle aussi ce fait que l'on préfère ignorer : au moins quinze fédérations sportives françaises ont été piratées entre 2024 et 2025. Quand vous inscrivez votre enfant à un club, c'est votre adresse mail et votre téléphone que vous renseignez.
Où en sont vos données aujourd'hui ?
Découvrez en 30 secondes si vos informations circulent en ligne ou sur le dark-web et comment Green-Got les protège même si vous tombez dans un piège.
La faille la plus exploitée n'est pas technique. C'est vous.
Saxx raconte deux missions de red team, c'est-à-dire des infiltrations physiques et numériques conduites avec autorisation totale de l'entreprise cible.
Dans la première, son équipe surveille pendant deux semaines l'accueil d'un grand siège social à La Défense. Ils repèrent une hôtesse d'accueil, analysent son profil sans jamais la contacter, et arrivent un matin en bleu de travail avec un faux mail d'urgence technique. Elle les laisse passer sans vérifier leur identité. Ils branchent une clé USB dans le datacenter. Mission accomplie.
Dans la seconde, ils ciblent une secrétaire qui travaille dans la même boîte depuis quinze ans. En épluchant son Instagram ouvert pendant une semaine, ils découvrent qu'elle suit assidûment un coach sportif influenceur qui passe en tournée en France. Ils créent un faux site de sa salle de sport. Ils lui envoient un faux message lui annonçant qu'elle a gagné une session privée avec son coach préféré. Elle clique. Elle entre son mot de passe Google. C'est le même que celui de sa messagerie professionnelle.
Tout le système est compromis.
Le point commun dans ces deux cas : l'entreprise avait bien sécurisé ses outils. Elle avait formé ses cadres dirigeants. Mais elle n'avait pas sensibilisé les maillons les plus exposés.
Saxx insiste là-dessus dans le podcast, avec une conviction que l'on sent sincère : si cet employé avait été informé qu'il pouvait alerter sans crainte de représailles, rien ne se serait passé. La sensibilisation, pas la surveillance, reste la meilleure protection.
Qu'est-ce que l'IA va changer dans la fraude ?
Vingt-quatre heures avant l'enregistrement, Anthropic venait de publier une avancée majeure : un modèle d'IA ayant codé un autre outil sans intervention humaine.
La conséquence directe pour la fraude est simple. Aujourd'hui, un fraudeur gère une victime à la fois par téléphone. Avec l'IA générative et le clonage de voix, il pourra en gérer des centaines simultanément en imitant la voix de votre banquier, de votre mère, de votre employeur.
Julie complète : si un président de la République peut se faire avoir par un deepfake, tout le monde peut l'être. La bonne pratique devient donc de raccrocher et de rappeler soi-même. Un numéro peut être usurpé, y compris celui de votre banque affiché à l'écran.
Chez Green-Got, des écrans de friction ont été intégrés dans le parcours de virement pour briser le tunnel psychologique que crée la fraude au faux conseiller. La question directe "Êtes-vous actuellement au téléphone avec quelqu'un qui vous demande d'effectuer cette action ?" suffit parfois à faire sortir le client de l'emprise.
Trois conseils concrets pour protéger vos données dès aujourd'hui
Saxx donne trois recommandations simples dans l'épisode. Elles ne nécessitent aucune compétence technique.
1. Utilisez des alias mail
Quand vous vous inscrivez sur un site, n'utilisez pas votre adresse mail principale. Ajoutez un plus suivi d'un identifiant propre à ce site. Si votre adresse est votrenom@gmail.com, inscrivez-vous avec votrenom+marque@gmail.com ou votrenom+livraison@gmail.com.
Vous recevez les mails normalement. Mais si vous commencez à recevoir des spams sur cette adresse modifiée, vous savez exactement d'où vient la fuite.
2. Activez la double authentification partout
Un mot de passe seul ne protège plus rien en 2026. Activez la double authentification sur votre messagerie, vos réseaux sociaux, votre application bancaire, vos outils de travail.
Pour vos mots de passe, utilisez un gestionnaire. Il ne retient qu'un seul mot de passe maître (choisissez une phrase longue et personnelle) et génère des mots de passe uniques pour chaque service. Saxx suggère d'utiliser une phrase entière plutôt qu'un mot complexe : plus long, plus mémorisable, bien plus solide.
3. Mentez intelligemment sur votre identité numérique
Ce conseil peut surprendre. Il est pourtant le plus efficace. Quand un site vous demande votre date de naissance sans que ce soit légalement nécessaire, donnez une date légèrement fausse. Introduisez une faute dans votre prénom ou votre nom.
Vous restez identifiable là où c'est obligatoire : votre banque, les services publics. Mais vous cassez la chaîne de recoupement entre les bases de données. Une date de naissance erronée de deux jours suffit à rendre une corrélation automatique impossible.
Ce qu'il faut retenir
- Les failles les plus exploitées ne sont pas techniques. Ce sont les comportements humains : la confiance mal placée, le mot de passe réutilisé, la pièce d'identité non demandée.
- L'IA va démultiplier la fraude vocale. Le bon réflexe est de raccrocher et de rappeler vous-même votre interlocuteur.
- Trois gestes suffisent pour réduire votre exposition : alias mail, gestionnaire de mots de passe avec double authentification, identité légèrement inexacte sur les services non essentiels.
- "On n'a pas forcément des choses à cacher. Mais on a tout à protéger." Cette formule résume mieux que n'importe quelle démonstration technique ce que vous risquez en restant passif.
FAQ
Qu'est-ce qu'un hacker éthique ?
Un hacker éthique est un expert en cybersécurité mandaté par des entreprises ou des institutions pour tester leurs systèmes et trouver des failles avant que des cybercriminels ne le fassent. Il opère dans un cadre légal, souvent via des plateformes de bug bounty comme Yeswehack ou HackerOne. Il est rémunéré selon la criticité des vulnérabilités découvertes.
Comment savoir si mes données ont déjà fuité ?
Vous pouvez vérifier votre adresse mail sur des services comme Have I Been Pwned, qui recense les bases de données piratées dans lesquelles votre adresse apparaît. Saxx rappelle que les fuites récentes de fédérations sportives françaises exposent des millions de parents sans qu'ils le sachent.
La double authentification est-elle vraiment suffisante ?
Elle réduit drastiquement le risque d'accès non autorisé à vos comptes. Elle ne protège pas contre la manipulation psychologique directe, où c'est vous qui effectuez l'action vous-même. C'est pourquoi les deux axes de protection sont complémentaires : sécuriser les accès et apprendre à reconnaître les tentatives de manipulation.
Mon numéro de téléphone peut-il être usurpé dans un appel entrant ?
Oui. Un numéro affiché sur votre écran, même celui de votre banque, peut être falsifié techniquement. Le bon réflexe est de raccrocher et de rappeler le numéro officiel de votre interlocuteur que vous avez trouvé vous-même.
