Skip to content
hacker_posts

Insee : 12 800 agents exposés après le pillage de l'annuaire interne trombi.insee.fr

L'Insee a confirmé le 26 juin une violation de données touchant 12 800 agents et anciens agents. Un pseudonyme « Saturne » revendique 12 796 fiches issues de l'annuaire trombi.insee.fr.

Publié le 6 min de lecture
fuiteinseesaturneanssifrance

L'Institut national de la statistique et des études économiques (Insee) a annoncé le 26 juin 2026, dans un communiqué officiel publié sur insee.fr, avoir été victime d'un incident de cybersécurité ayant entraîné la violation des données personnelles d'environ 12 800 personnes — agents en poste, anciens agents et membres des corps de l'Insee. L'incident a été détecté le 19 juin ; l'origine est circonscrite à l'annuaire interne trombi.insee.fr. Le pseudonyme Saturne, sur un forum cybercriminel, revendique l'extraction et la publication d'un fichier de 12 796 fiches.

Le périmètre est limité par l'Insee à l'identité et aux coordonnées professionnelles des personnes inscrites à l'annuaire interne. Aucune donnée sensible ne serait concernée : ni mots de passe, ni coordonnées personnelles, ni données bancaires, ni numéros de sécurité sociale, ni informations relatives à la santé.

Ce qui est revendiqué

L'annuaire trombi.insee.fr (toujours en ligne, accès réservé) répertorie, pour le personnel de l'Insee : nom, prénom, fonction, affectation, coordonnées professionnelles, et un ensemble d'informations administratives nécessaires à l'orientation des agents au sein de l'institut. Saturne déclare avoir extrait un export couvrant 12 796 fiches, présenté comme un instantané réalisé en juin 2026. La synthèse publiée par cyberattaque.org et le recensement FrenchBreaches confirment la cohérence du volume avec les chiffres communiqués par l'Insee.

L'authenticité globale du lot n'est, à ce stade, pas indépendamment confirmée. L'Insee n'a pas validé le contenu publié par l'attaquant — uniquement le fait que le système concerné est l'annuaire et que la population touchée correspond à l'ordre de grandeur annoncé.

Données concernées vs données protégées

Côté exposé, selon l'Insee et les reprises convergentes — notamment Le Monde Informatique et L'Usine Digitale :

  • Identité (nom, prénom).
  • Coordonnées professionnelles : courriel et téléphone de service, affectation, hiérarchie directe.
  • Informations administratives : grade, fonction, rattachement organique.

Côté non exposé selon l'Insee :

  • Mots de passe — l'annuaire ne stocke pas de credential.
  • Coordonnées personnelles — adresses postales privées, téléphones personnels.
  • Données bancaires, numéros de sécurité sociale, données de santé — hors périmètre trombi.

Le périmètre est étroit pour une administration publique de cette taille — mais le risque opérationnel est moins le fichier en lui-même que sa réutilisation pour de l'ingénierie sociale ciblée, exactement comme les fuites Tchap ou FSPN ont déjà servi à monter des campagnes d'hameçonnage sur agents identifiés.

Réponse officielle

Selon le communiqué Insee, plusieurs actions ont été engagées :

  • Les équipes informatiques de l'Insee travaillent avec le service du haut fonctionnaire de défense et de sécurité (SHFDS) du ministère de l'Économie et avec l'ANSSI pour traiter l'incident.
  • Notification à la CNIL au titre du RGPD.
  • Plainte déposée auprès du procureur de la République.

Aucun avis CERT-FR distinct n'a été publié à ce jour. Aucun acteur n'est nommé au-delà du pseudonyme revendiquant la fuite.

Statut de l'attribution

L'attribution repose sur la revendication de Saturne sur un forum cybercriminel. Ce pseudonyme n'apparaît pas, à ce stade, dans les opérations attribuées au duo Misere/ChimeraZ qui domine la chronique des fuites publiques françaises depuis le printemps (voir Akaolife / France Travail, JeVeuxAider, Tchap). Il s'agit d'un nouvel acteur revendiquant — l'Insee n'a pas confirmé d'attribution, et le mode opératoire d'entrée n'est pas public : pas d'indication, à ce stade, sur un compte usurpé, une faille applicative, ou un accès tiers compromis. Les investigations Insee/ANSSI sont en cours.

À noter : l'annuaire trombi.insee.fr est un service interne d'usage quotidien pour les agents de l'institut — sa compromission révèle qu'un accès initial, par un canal qui reste à qualifier, a permis l'exfiltration d'un export complet sans détection immédiate. Le délai de sept jours entre détection (19 juin) et annonce publique (26 juin) est cohérent avec le rythme RGPD post-investigation préliminaire.

Que faire

  1. Agents et anciens agents de l'Insee : considérer comme suspect tout courriel, SMS ou appel se réclamant de l'Insee, du ministère de l'Économie, de la DGFiP ou d'un éditeur de logiciel statistique, et qui demanderait une connexion, une validation d'identité ou un changement de mot de passe. Vérification systématique par un canal interne authentifié, jamais via le lien reçu.
  2. DSI d'administrations publiques opérant un annuaire équivalent (trombinoscope LDAP/AD, intranet RH, portail SSO) : auditer les droits d'export massif sur ces référentiels. Une fuite de 12 796 lignes en une opération révèle qu'un compte unique disposait d'une visibilité globale. Réduire la maille — pagination, audit des requêtes, alerte sur volumétrie sortante — est le contrôle le plus rentable.
  3. Rotation des informations professionnelles publiables sur l'annuaire interne : courriels, téléphones de service, organigramme. Pour les agents exposés à des fonctions sensibles (statistiques d'enquête, accès données fiscales individuelles, marchés publics), envisager une réémission d'identifiants nominatifs et la création d'alias professionnels.
  4. RSSI et délégués à la protection des données : intégrer l'incident au registre RGPD, vérifier que la communication aux personnes concernées est en route (Insee s'engage à informer individuellement), tracer les éventuelles réutilisations frauduleuses observées dans les semaines suivantes.
  5. Veille forums et fuite : sur un échantillon en libre accès, surveiller les places de marché habituelles et les canaux Telegram cybercriminels où Saturne pourrait diffuser la base intégrale, jusqu'ici annoncée sans modalité de publication arrêtée.

Contexte

L'Insee s'ajoute à une séquence ininterrompue d'incidents touchant la sphère publique française depuis le printemps : DINUM/Tchap (juin), FSPN (police, juin), JeVeuxAider.gouv.fr (juin), RATP (juin), CNRS, ministères. Le dénominateur commun n'est pas une faille unique — c'est la valeur croissante des annuaires métiers et des référentiels agents comme matière première d'ingénierie sociale ciblée. Le tarif n'est plus la donnée bancaire ou la pièce d'identité ; c'est le carnet d'adresses interne d'une institution, vendu pour ce qu'il permet, pas pour ce qu'il contient.

L'Insee, qui produit l'essentiel des statistiques officielles utilisées pour l'élaboration des politiques publiques, n'est pas l'opérateur d'un coffre-fort de données fiscales individuelles — son SI de statistiques sensibles est cloisonné par construction. L'incident porte sur le trombinoscope, pas sur les bases d'enquêtes. La distinction est juste, et l'Insee a raison de l'établir avec netteté — encore faut-il que la communication tienne dans la durée si d'autres compartiments sont, à terme, concernés. Le cas Tchap a montré combien le périmètre initial annoncé peut s'élargir une fois l'investigation aboutie ; la prochaine semaine dira si l'Insee reste sur ses 12 800 lignes ou découvre que trombi n'était pas seul à parler.

Articles liés