Dimanche 14 juin 2026. Pendant que Paris dort, un message apparaît sur un forum du dark web. L’auteur, baptisé “Misere”, annonce avoir en sa possession l’annuaire interne complet de la RATP — 62 208 fiches d’employés, six années de données RH, prêtes à être vendues au plus offrant. Le lendemain matin, la régie confirme. L’incident est réel.
Quelles données ont été exposées ?
D’après la revendication, le fichier comprend des informations d’identité professionnelle et de contact, des identifiants internes (matricule, UID, login), des précisions sur les fonctions, le département, le service et la structure RH. Sont aussi mentionnés des e-mails professionnels et alternatifs, des numéros de téléphone, des adresses et des éléments de localisation. Wikipedia
Les échantillons publiés montrent que les données pourraient couvrir une période allant de 2020 à 2026, soit potentiellement près de six années d’informations professionnelles, organisationnelles et RH. Wikipedia
Bonne nouvelle toutefois : aucun mot de passe ni donnée bancaire n’apparaît dans les échantillons publiés. Et surtout, aucune donnée des usagers n’est concernée par cet incident. Wikipedia
Quelle est l’origine de la fuite ?
Selon ses propres termes, le pirate “Misere” invoque la “Human Stupidity” — la stupidité humaine — comme cause de la compromission, sans fournir davantage de précisions techniques. Cette formulation, couramment utilisée dans les milieux cybercriminels, désigne généralement une erreur humaine, un accès compromis ou une mauvaise pratique de sécurité interne. Wikipedia
La présence de champs liés à Okta, une solution largement utilisée pour la gestion des identités et des accès (IAM), laisse penser que les données pourraient provenir d’un export associé à une plateforme de gestion des comptes collaborateurs. Wikipedia
Pourquoi c’est dangereux malgré l’absence de mots de passe
Ne pas voir de mots de passe dans les échantillons ne signifie pas que le risque est faible. La combinaison de coordonnées professionnelles, d’informations RH, de données hiérarchiques, de données de localisation et d’éléments techniques pourrait accroître significativement les risques de phishing ciblé, d’opérations d’ingénierie sociale et de tentatives d’usurpation d’identité professionnelle. Wikipedia
Une fois le fichier copié, il peut être redistribué, reconditionné et réapparaître ailleurs. Si le fichier contient des données datées ou des comptes anciens, cela n’annule pas le danger — cela ouvre au contraire la porte à des attaques par réutilisation de mots de passe. Wikipedia
Un incident qui s’inscrit dans une tendance lourde
La fuite RATP ne surgit pas dans le vide. En 2025, la CNIL a reçu 6 167 notifications de violations de données, un record historique (+9,5 % par rapport à 2024). Pour le seul premier trimestre 2026, le compteur est déjà à 2 730 notifications, contre 2 500 sur la même période en 2025. Plusieurs cas récents ont visé des organisations françaises de premier plan : administrations, opérateurs de transport, ministères, hôpitaux et opérateurs télécoms. Wikipedia
Le schéma est toujours le même : un pirate met en vente un annuaire professionnel, parfois quelques semaines avant une attaque plus profonde exploitant ces mêmes données pour s’introduire dans le système d’information.
Conclusion
L’incident RATP illustre une réalité que les organisations publiques ne peuvent plus ignorer : un annuaire interne mal protégé est une arme potentielle entre les mains d’un attaquant. Noms, fonctions, hiérarchies, e-mails et numéros de téléphone suffisent à monter des attaques sophistiquées contre des milliers d’agents. La cybersécurité des ressources humaines est désormais un enjeu de sécurité nationale, au même titre que la protection des infrastructures techniques.
WordPress : Plugins Compromis
Une vulnérabilité de sécurité a récemment été identifiée dans plusieurs plugins WordPress populaires, dont OptinMonster, TrustPulse et PushEngage. Cette faille pourrait permettre à des attaquants d'exploiter certaines fonctionnalités des extensions concernées pour compromettre la sécurité des sites web.
RoguePlanet : Faille critique Windows
Une nouvelle vulnérabilité Zero-Day baptisée RoguePlanet cible les systèmes Windows en exploitant des mécanismes liés à Windows Defender. Cette faille pourrait permettre à des attaquants de contourner certaines protections de sécurité et d'obtenir un accès non autorisé aux systèmes affectés.
Une vulnérabilité Zero-Day : Chez Google
Une vulnérabilité Zero-Day critique, référencée CVE-2026-11645, affecte le navigateur Google Chrome. Exploitée activement avant la publication du correctif, cette faille dans le moteur V8 pourrait permettre l'exécution de code malveillant à distance simplement via la visite d'une page web piégée.
Brèche dans les WebViews sandboxées
Une vulnérabilité Zero-Day affectant Visual Studio Code a été découverte dans le mécanisme de communication des WebViews sandboxées. Cette faille permettrait à un attaquant de contourner certaines protections de l'environnement et de dérober des jetons d'authentification GitHub, exposant potentiellement des dépôts privés et des données sensibles. Les développeurs utilisant github.dev sont invités à suivre les recommandations de sécurité publiées par Microsoft.
Brèche critique dans Netlogon
La vulnérabilité CVE-2026-41089 affecte le service Netlogon de Windows Server et présente un risque majeur pour les infrastructures utilisant Active Directory. Cette faille permet à un attaquant distant non authentifié d'exécuter du code à distance et de compromettre potentiellement un contrôleur de domaine.
CIFSwitch : l'accès root sans privilège
La vulnérabilité CIFSwitch (CVE-2026-46243) met en lumière une faiblesse présente dans certains systèmes Linux depuis près de 19 ans. Cette faille d'escalade de privilèges permet à un utilisateur local non privilégié d'obtenir un accès root, ouvrant la voie à une prise de contrôle complète du système.
Brèche critique dans Drupal Core
La vulnérabilité **CVE-2026-9082** affecte Drupal Core et expose les sites concernés à un risque d'injection SQL critique. Exploitable à distance par un attaquant non authentifié, cette faille pourrait permettre l'accès à des données sensibles, la modification du contenu du site ou la compromission complète de l'application. Les administrateurs sont vivement encouragés à appliquer les correctifs de sécurité publiés par Drupal.
Accès root via DirtyDecrypt
La vulnérabilité **DirtyDecrypt (CVE-2026-31635)** affecte le noyau Linux et permet à un utilisateur local non privilégié d'obtenir des privilèges **root**. En exploitant une faiblesse du sous-système de déchiffrement du noyau, un attaquant peut contourner certaines protections de sécurité et prendre le contrôle complet du système. Cette faille souligne l'importance de maintenir les systèmes Linux à jour et d'appliquer rapidement les correctifs de sécurité disponibles.
RedSun compromet les systèmes Windows
Découverte en avril 2026, la vulnérabilité RedSun affecte Microsoft Defender et permet à un attaquant disposant de faibles privilèges d'obtenir un accès SYSTEM sur des systèmes Windows. Activement exploitée, cette faille représente une menace importante pour les organisations utilisant Defender comme solution de protection principale.
Faille critique dans Cisco SD-WAN Manager
La vulnérabilité CVE-2026-20245 affecte Cisco Catalyst SD-WAN Manager, une solution largement utilisée pour l'administration des réseaux étendus d'entreprise. Cette faille permet à un attaquant disposant de privilèges administratifs d'exécuter des commandes en tant que root, compromettant ainsi l'intégrité et le contrôle de l'infrastructure réseau.