Empty Paris Metro station platform with subway train and advertising posters.
News

RATP : les données professionnelles de 62 208 agents diffusées sur le dark web par le pirate Misere

Le pirate Misere a publié les fiches de 62 208 agents de la RATP sur le dark web : poste, e-mail, téléphone et hiérarchie, sur la période 2020-2026.
Sara Amin
Marketing Student • Content & Writing Enthusiast

Dans la nuit du 14 au 15 juin 2026, un cybercriminel se présentant sous le pseudonyme "Misere" a publié sur un forum du dark web une archive contenant les fiches professionnelles de 62 208 employés de la Régie autonome des transports parisiens, la RATP. FrenchBreaches a signalé l'incident dans les premières heures et identifié les données comme correspondant à la population salariale active et récente de la régie. La RATP a confirmé l'incident au Parisien le 15 juin, annoncé son intention de porter plainte et signalé la violation à la Commission nationale de l'informatique et des libertés. Aucune donnée d'usager n'est concernée par cette fuite. La RATP emploie environ 65 000 personnes, ce qui signifie que la quasi-totalité des effectifs de la régie est potentiellement représentée dans la base publiée.

La RATP : un opérateur de transport critique aux données professionnelles exposables

La Régie autonome des transports parisiens est l'une des plus grandes entreprises de transport public en Europe. Elle exploite les lignes de métro, de RER, de tramway et de bus en Île-de-France, assurant quotidiennement des millions de déplacements. Son personnel est réparti entre des fonctions d'exploitation de réseau, de maintenance des infrastructures et matériels roulants, de conduite, de contrôle, de billettique et de fonctions support administratives. La RATP est un opérateur d'importance vitale au sens de la législation française sur la cybersécurité des infrastructures critiques.

Cette classification est pertinente pour évaluer l'impact de la fuite. Un annuaire professionnel complet de 62 208 agents d'un opérateur d'infrastructure critique contient des informations qui vont bien au-delà des noms et des adresses mail professionnelles. La connaissance de la fonction exacte, du service d'appartenance, de la hiérarchie directe et du site de travail d'un agent permet à un attaquant de cibler des individus clés, de construire des prétextes crédibles d'ingénierie sociale, de cartographier la structure organisationnelle de l'entreprise et d'identifier les personnes ayant accès à des systèmes ou à des zones sensibles.

Le fait que des données couvrant la période 2020-2026 aient été extraites indique que la base de données ou le système d'information ayant été compromis centralise un historique de six ans d'annuaire RH. Ce n'est pas une extraction en temps réel d'un annuaire actif, mais une collecte historique qui inclut des agents ayant quitté la RATP, des agents ayant changé de poste ou de service, et des données de connexion correspondant à des accès anciens. Cette profondeur historique enrichit la valeur de la base pour un attaquant qui cherche à reconstituer l'organisation de la régie sur plusieurs années.

Ce que le hacker "Misere" a publié et où

Les données ont été publiées sur un forum cybercriminel fréquenté à la fois par des acteurs cherchant à vendre des données volées et par d'autres cherchant à les acquérir gratuitement ou à les exploiter directement. La publication par "Misere" s'est faite sans demande de rançon préalable adressée à la RATP, ce qui distingue cet incident d'une attaque par ransomware classique ou d'une extorsion ciblée. La donnée a été publiée directement, sans négociation intermédiaire, ce qui peut indiquer plusieurs scénarios : la régie avait déjà refusé une demande de rançon avant la publication, les données avaient été achetées à un tiers qui les avait initialement volées, ou l'acteur a choisi de publier directement pour construire sa réputation sur les forums concernés.

Orange Actu rapporte que les données professionnelles ont été dérobées et diffusées sur le dark web. La méthode exacte d'extraction, c'est-à-dire si la compromission résulte d'une intrusion directe dans les systèmes de la RATP, d'un accès à un prestataire ou partenaire, d'une exfiltration par un initié, ou d'une mauvaise configuration ayant rendu une base accessible sans authentification, n'a pas été précisée dans les communications officielles de la régie au moment de la rédaction de cet article. L'enquête ouverte par la RATP après dépôt de plainte devrait permettre d'établir ce point.

La nature des données compromises : un annuaire RH complet sur six ans

Les données publiées comprennent, pour chacun des 62 208 agents, le nom et prénom, l'adresse e-mail professionnelle, le numéro de téléphone professionnel, le matricule interne, la fonction exercée, le service d'appartenance, la ligne hiérarchique et les dates de connexion au système d'information de la RATP. La Revue Tech précise qu'un serveur laissé ouvert pourrait être à l'origine de l'incident, ce qui suggérerait une mauvaise configuration plutôt qu'une intrusion sophistiquée.

Le matricule interne est un identifiant particulièrement sensible dans ce contexte. Il est utilisé pour l'accès aux systèmes internes de la RATP, pour la gestion des badges et des habilitations d'accès physique, et pour les processus RH. Un attaquant qui dispose du matricule d'un agent peut l'utiliser comme vecteur de phishing en se faisant passer pour un service interne demandant une vérification d'identité, ou le combiner avec d'autres informations pour tenter d'obtenir un accès non autorisé aux portails RH ou à des systèmes internes qui utilisent le matricule comme identifiant de connexion.

Les dates de connexion, qui reflètent les accès au système sur la période 2020-2026, fournissent à un attaquant une information supplémentaire sur les habitudes de travail des agents, notamment les horaires et les jours de connexion habituels, ce qui peut être utilisé pour identifier des comportements inhabituels ou pour construire des prétextes plus crédibles dans des attaques d'ingénierie sociale.

Ce qui n'a pas été compromis

La RATP a précisé que les données d'usagers, c'est-à-dire les informations relatives aux voyageurs et clients de la régie, notamment les données Navigo et les données de paiement, ne sont pas concernées par cette fuite. Cette distinction est importante pour les voyageurs de la région Île-de-France, mais elle ne diminue pas le risque concret pour les agents de la RATP dont les données professionnelles ont été publiées.

Les données personnelles des agents, telles que leur adresse personnelle, leurs coordonnées privées, leurs données bancaires, leurs numéros de sécurité sociale ou leurs données de santé, ne sont pas non plus présentes dans les échantillons vérifiés par les analystes qui ont examiné la base. Il s'agit exclusivement de données professionnelles, ce qui limite le type de risque immédiat pour les individus concernés, sans l'éliminer. La distinction entre données professionnelles et données personnelles a une importance pratique pour l'évaluation de l'obligation de notification individuelle au titre du RGPD : le risque pour les droits et libertés des personnes est plus faible quand seules des données professionnelles sont en jeu, mais il n'est pas nul si ces données permettent de construire des attaques ciblées.

La réponse de la RATP : plainte et signalement à la CNIL

La RATP a confirmé l'incident au quotidien Le Parisien le lundi 15 juin, annoncé son intention de porter plainte auprès des autorités compétentes et signalé la violation à la CNIL. La notification à la CNIL est une obligation légale imposée par le RGPD à tout responsable de traitement qui prend connaissance d'une violation de données à caractère personnel, dans un délai de 72 heures suivant cette prise de connaissance. La RATP, en tant qu'employeur traitant les données professionnelles de ses agents, est le responsable de traitement au sens du RGPD pour les données publiées.

La question de la notification individuelle aux agents concernés est distincte de la notification à la CNIL. Le RGPD impose la notification des personnes concernées sans délai injustifié lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Pour une fuite de données professionnelles telles que celles décrites ici, l'évaluation du risque est nuancée : les données ne sont pas de nature médicale, financière ou très personnelle, mais leur combinaison permet des attaques d'ingénierie sociale ciblées qui constituent un risque concret. La CNIL, dans ses lignes directrices sur la notification, recommande une approche au cas par cas tenant compte du contexte de l'incident et des capacités réelles d'exploitation des données publiées. La surveillance des indicateurs de compromission dans les systèmes internes de la RATP dans les semaines suivant la publication est un complément indispensable aux démarches réglementaires.

Pourquoi un annuaire de 62 000 agents est une cible

Un annuaire professionnel complet d'un opérateur d'infrastructure critique a plusieurs types de valeur pour des acteurs aux motivations différentes. Pour les groupes de cybercriminalité, il constitue une base de départ pour des campagnes de phishing ciblé : un e-mail qui mentionne le nom exact du responsable hiérarchique d'un agent, son service et son matricule est beaucoup plus convaincant qu'un e-mail générique, et a une probabilité significativement plus élevée d'inciter l'agent à cliquer sur un lien malveillant ou à divulguer ses identifiants.

Pour des acteurs ayant des objectifs d'espionnage ou de sabotage, un annuaire organisationnel détaillé permet d'identifier les agents ayant accès à des systèmes de contrôle, à des zones sensibles de l'infrastructure de transport ou à des fonctions de décision. Dans le contexte d'un opérateur d'importance vitale, cette information a une valeur stratégique qui dépasse la valeur commerciale immédiate des données elles-mêmes. La veille en matière de cybermenaces sur les acteurs susceptibles de cibler les opérateurs de transport public en France est un élément de contexte indispensable pour évaluer correctement le risque que représente cette publication.

Le risque spécifique pour les agents : ingénierie sociale ciblée

Les 62 208 agents dont les données ont été publiées sont exposés à un risque d'ingénierie sociale que la fuite rend plus facile à mettre en oeuvre. Un attaquant qui dispose de la combinaison nom, e-mail professionnel, téléphone, matricule, fonction et hiérarchie peut construire des approches très ciblées : un faux appel de la DSI demandant une vérification d'identité, un e-mail imitant la DRH qui connaît le nom exact du responsable direct, ou un SMS prétendant venir d'un collègue identifiable dans la base.

Les agents occupant des fonctions d'accès aux systèmes d'information, de gestion des habilitations, de maintenance des équipements de sécurité ou de supervision des installations sont des cibles prioritaires pour ce type d'attaque. Un agent qui gère des accès ou qui dispose d'habilitations sur des systèmes critiques est une cible de choix pour un attaquant qui cherche à s'introduire dans les systèmes internes de la RATP via un vecteur humain plutôt que technique. La formation des agents à la reconnaissance des tentatives d'ingénierie sociale est une réponse structurelle à ce risque, complémentaire aux mesures techniques de sécurisation.

Ce que les organisations doivent retenir de cet incident

L'incident RATP illustre un problème récurrent dans la gestion des annuaires RH et des systèmes d'information de grande taille : les données professionnelles des employés sont souvent considérées comme moins sensibles que les données personnelles ou les données clients, et reçoivent en conséquence une protection moins rigoureuse. Cette évaluation sous-estime la valeur opérationnelle de ces données pour un attaquant qui cherche à préparer une intrusion ultérieure via des vecteurs humains ou à cartographier une organisation avant une attaque plus ciblée.

Les organisations, en particulier les opérateurs d'infrastructures critiques, devraient auditer régulièrement qui a accès à l'annuaire complet des personnels, dans quels systèmes ces données sont répliquées, si ces systèmes sont accessibles depuis l'extérieur de l'entreprise et avec quelle forme d'authentification, et quelle est la durée de rétention des données historiques. La surveillance des données exposées sur les marchés clandestins est un indicateur précoce qui permet à une organisation de détecter une compromission de ses annuaires avant qu'elle ne soit annoncée publiquement.

Foire aux questions

Si je suis un agent de la RATP, que dois-je faire ?

Les agents de la RATP dont les données ont été publiées devraient être particulièrement vigilants à tout contact non sollicité se présentant comme provenant d'un service interne de la RATP ou d'un prestataire, notamment si ce contact demande une confirmation d'identité, un changement de mot de passe, un accès à un lien externe ou une action urgente. Tout courriel ou appel qui cite des informations personnelles exactes (nom de responsable, matricule, service) comme preuve de légitimité devrait être traité avec suspicion et signalé au service de cybersécurité de la RATP. Les mots de passe des comptes professionnels RATP devraient être renouvelés par précaution si cela n'a pas déjà été fait.

Les données d'usagers Navigo sont-elles concernées par cette fuite ?

Non. La RATP a confirmé que les données d'usagers, notamment celles associées aux abonnements Navigo et aux moyens de paiement, ne sont pas concernées par cette fuite. Les données publiées sont exclusivement des données professionnelles d'employés de la régie.

Comment la RATP a-t-elle réagi à la publication ?

La RATP a confirmé l'incident au Parisien le 15 juin 2026, annoncé son intention de porter plainte et signalé la violation à la CNIL. Ces trois actions constituent la réponse formelle standard à un incident de ce type en France : notification réglementaire à l'autorité de contrôle, engagement d'une procédure judiciaire visant à identifier l'auteur, et communication externe confirmant les faits sans en préciser l'étendue complète tant que l'enquête est en cours.

Quel est le risque concret pour les agents dont les données ont été publiées ?

Le risque principal est l'ingénierie sociale ciblée. La combinaison nom, e-mail professionnel, téléphone, matricule, fonction et hiérarchie permet à un attaquant de construire des approches très crédibles imitant des contacts internes légitimes. Le risque d'usurpation d'identité personnelle est plus limité car les données publiées sont professionnelles et ne comprennent pas d'adresses personnelles, de données bancaires ou de numéros de sécurité sociale.

Comment un cybercriminel utilise-t-il typiquement ce type de données ?

Les usages les plus courants d'un annuaire professionnel volé incluent les campagnes de spear phishing ciblant des agents spécifiques, la vente à d'autres acteurs cherchant à cibler l'organisation, la construction d'organigrammes permettant d'identifier les décideurs ou les personnes ayant accès à des systèmes critiques, et la préparation d'attaques par ingénierie sociale téléphonique visant à obtenir des accès ou des informations sensibles.

La RATP est-elle la seule organisation visée ou s'agit-il d'une vague plus large ?

L'incident RATP s'inscrit dans un contexte de multiplication des fuites de données touchant des entreprises et des institutions françaises en 2026. La France est le pays européen le plus touché en nombre de services piratés depuis le début de l'année. Des organisations aussi diverses que Rennes Métropole, l'INSEE et plusieurs établissements de santé ont été touchées par des incidents similaires de publication de données d'employés ou de clients sur des forums cybercriminels au cours du même mois.

Quel est le délai légal de notification à la CNIL et a-t-il été respecté ?

Le RGPD impose une notification à l'autorité de contrôle dans les 72 heures suivant la prise de connaissance de la violation. La RATP a confirmé publiquement l'incident le 15 juin, soit le lendemain de la publication de la base sur le dark web. Si la RATP a eu connaissance de la publication le 14 juin, la notification à la CNIL devait intervenir avant le 17 juin. L'annonce du signalement à la CNIL en même temps que la confirmation publique de l'incident suggère que la régie a respecté ce délai, mais la vérification formelle relève de la CNIL dans le cadre de ses procédures de contrôle.

Le marché clandestin des données d'employés : valeur et usages

Pour comprendre le risque réel que représente la publication par "Misere" des données de 62 208 agents de la RATP, il est utile de comprendre comment ce type de données circule et est utilisé dans les marchés clandestins. Les données professionnelles d'employés d'une grande organisation, notamment un opérateur d'infrastructure critique, ont plusieurs catégories d'acheteurs potentiels sur les forums cybercriminels. Les groupes de cybercriminels spécialisés dans le phishing et le vishing les achètent pour alimenter leurs campagnes d'hameçonnage ciblé. Des courtiers en données les acquièrent pour les intégrer dans des bases de données enrichies revendues à d'autres acteurs. Et dans certains cas, des acteurs aux motivations d'espionnage ou de sabotage peuvent être intéressés par les informations organisationnelles qu'elles contiennent sur un opérateur d'importance vitale.

La valeur d'une base comme celle publiée par "Misere" ne diminue pas rapidement dans le temps. Contrairement aux identifiants de connexion, qui perdent leur valeur dès qu'ils sont changés, les données d'annuaire professionnel restent exploitables tant que les personnes concernées occupent leurs fonctions. Six mois après la publication, les agents de la RATP qui n'auront pas changé de poste, d'e-mail professionnel ou de numéro de téléphone seront toujours identifiables et ciblables via les données publiées. Cette persistance de la valeur des données d'annuaire justifie une vigilance durable, et pas seulement une réaction immédiate dans les jours suivant l'incident. La surveillance des données exposées sur les marchés clandestins doit s'inscrire dans la durée pour les organisations dont les annuaires ont été compromis.

Comment Defendis peut vous aider

Ce type d'incident illustre un problème structurel : les informations critiques sur une compromission active circulent d'abord dans des canaux fermés, forums clandestins et communautés privées, avant d'atteindre les équipes de sécurité par les canaux officiels. Le temps perdu dans cet écart est souvent celui où l'exploitation est la plus active et les dommages les plus importants.

Defendis surveille ces sources en continu. Votre équipe reçoit des signaux d'alerte pertinents avant que l'incident ne devienne public, avec le contexte nécessaire pour agir rapidement, sans que vos analystes aient à patrouiller eux-mêmes dans des espaces qu'ils ne devraient pas avoir à fréquenter.

Réserver une démo

About the author
Sara is a marketing student and tech writing enthusiast with an interest in digital culture, startups, and emerging technologies.

Related Articles

Discover simplified
Cyber Risk Management
Request access and learn how we can help you prevent cyberattacks proactively.