Dimanche 14 juin 2026. Pendant que Paris dort, un message apparaît sur un forum du dark web. L’auteur, baptisé “Misere”, annonce avoir en sa possession l’annuaire interne complet de la RATP — 62 208 fiches d’employés, six années de données RH, prêtes à être vendues au plus offrant. Le lendemain matin, la régie confirme. L’incident est réel.

Quelles données ont été exposées ?

D’après la revendication, le fichier comprend des informations d’identité professionnelle et de contact, des identifiants internes (matricule, UID, login), des précisions sur les fonctions, le département, le service et la structure RH. Sont aussi mentionnés des e-mails professionnels et alternatifs, des numéros de téléphone, des adresses et des éléments de localisation. Wikipedia

Les échantillons publiés montrent que les données pourraient couvrir une période allant de 2020 à 2026, soit potentiellement près de six années d’informations professionnelles, organisationnelles et RH. Wikipedia

Bonne nouvelle toutefois : aucun mot de passe ni donnée bancaire n’apparaît dans les échantillons publiés. Et surtout, aucune donnée des usagers n’est concernée par cet incident. Wikipedia


Quelle est l’origine de la fuite ?

Selon ses propres termes, le pirate “Misere” invoque la “Human Stupidity” — la stupidité humaine — comme cause de la compromission, sans fournir davantage de précisions techniques. Cette formulation, couramment utilisée dans les milieux cybercriminels, désigne généralement une erreur humaine, un accès compromis ou une mauvaise pratique de sécurité interne. Wikipedia

La présence de champs liés à Okta, une solution largement utilisée pour la gestion des identités et des accès (IAM), laisse penser que les données pourraient provenir d’un export associé à une plateforme de gestion des comptes collaborateurs. Wikipedia


Pourquoi c’est dangereux malgré l’absence de mots de passe

Ne pas voir de mots de passe dans les échantillons ne signifie pas que le risque est faible. La combinaison de coordonnées professionnelles, d’informations RH, de données hiérarchiques, de données de localisation et d’éléments techniques pourrait accroître significativement les risques de phishing ciblé, d’opérations d’ingénierie sociale et de tentatives d’usurpation d’identité professionnelle. Wikipedia

Une fois le fichier copié, il peut être redistribué, reconditionné et réapparaître ailleurs. Si le fichier contient des données datées ou des comptes anciens, cela n’annule pas le danger — cela ouvre au contraire la porte à des attaques par réutilisation de mots de passe. Wikipedia


Un incident qui s’inscrit dans une tendance lourde

La fuite RATP ne surgit pas dans le vide. En 2025, la CNIL a reçu 6 167 notifications de violations de données, un record historique (+9,5 % par rapport à 2024). Pour le seul premier trimestre 2026, le compteur est déjà à 2 730 notifications, contre 2 500 sur la même période en 2025. Plusieurs cas récents ont visé des organisations françaises de premier plan : administrations, opérateurs de transport, ministères, hôpitaux et opérateurs télécoms. Wikipedia

Le schéma est toujours le même : un pirate met en vente un annuaire professionnel, parfois quelques semaines avant une attaque plus profonde exploitant ces mêmes données pour s’introduire dans le système d’information.

Conclusion

L’incident RATP illustre une réalité que les organisations publiques ne peuvent plus ignorer : un annuaire interne mal protégé est une arme potentielle entre les mains d’un attaquant. Noms, fonctions, hiérarchies, e-mails et numéros de téléphone suffisent à monter des attaques sophistiquées contre des milliers d’agents. La cybersécurité des ressources humaines est désormais un enjeu de sécurité nationale, au même titre que la protection des infrastructures techniques.