Skip to content
hacker_posts

Nantes Métropole : Misère revendique 5 274 agents municipaux exposés

Un annuaire interne de Nantes Métropole et de la Ville de Nantes — 5 274 agents, noms, matricules fonctionnels et téléphones — a été publié par Misère sur un forum cybercriminel.

Publié le 5 min de lecture
fuitenantes-metropolemiserecollectivitesfrance

Un annuaire professionnel rassemblant 5 274 agents de Nantes Métropole et de la Ville de Nantes a été publié sur un forum cybercriminel. La revendication est portée par le pseudonyme Misère, déjà associé à la compromission de Tchap, de la RATP, de JeVeuxAider.gouv.fr, du Conseil supérieur du notariat, d'Autosur et de la FSPN. Le détail factuel a été publié par cyberattaque.org et recoupé par FrenchBreaches. Aucune communication officielle de Nantes Métropole n'a été identifiée à la date de publication.

Ce qui est exposé

Le périmètre revendiqué correspond à un export d'annuaire interne des deux entités — la métropole et la ville étant administrées en mutualisation de moyens — soit, par enregistrement :

  • Identité : nom, prénom.
  • Identité professionnelle : fonction, direction / service / unité d'affectation, nom du supérieur hiérarchique.
  • Coordonnées professionnelles : adresse électronique pro, téléphone fixe, téléphone mobile.
  • Adresse professionnelle des locaux d'affectation.

L'auteur évoque une « erreur humaine » comme origine de l'accès aux données, sans en détailler le mécanisme. La nature de l'export — un annuaire interne complet, sans donnée civile sensible mais avec organigramme hiérarchique reconstituable — est cohérente avec un fichier exporté depuis un outil RH ou un annuaire LDAP, pas avec une intrusion sur un applicatif métier.

Statut de l'attribution

Misère revendique seul. Aucun groupe ransomware n'est associé, aucun chiffrement n'est mentionné — le schéma reste celui de l'exfiltration suivie de publication ou de mise en vente, déjà observé sur les six fuites précédentes attribuées au compte. L'authenticité globale du lot n'est pas confirmée à ce stade par Nantes Métropole ; l'échantillon publié sur le forum est, sur le format des champs et le périmètre annoncé, cohérent avec un annuaire interne réel mais cela ne préjuge pas du volume effectivement détenu par l'acteur.

Périmètre du risque

Un annuaire interne d'agents publics, même sans données civiles ou financières, est un kit de prétextage complet :

  • Hameçonnage ciblé interne exploitant le couple direction + nom du supérieur hiérarchique pour rendre crédibles des demandes urgentes (virement, RIB fournisseur, dérogation budgétaire).
  • Vishing par appel direct sur le téléphone fixe ou mobile professionnel, en usurpant l'identité d'un service support ou DSI.
  • Cartographie organisationnelle réutilisable pour identifier des cibles à haute valeur (cadres financiers, RSSI, agents en délégation de signature) au sein des deux collectivités.
  • Recoupement OSINT sur réseaux sociaux professionnels pour bâtir des dossiers ciblés sur les agents nommés et leurs interlocuteurs.

Le risque est qualitativement inférieur à celui d'une fuite type FSPN (matricules + données médicales) ou Tchap (contenus de salons) ; il n'en reste pas moins matériel pour les agents en délégation budgétaire ou en relation fournisseur.

Que faire

  1. DSI de Nantes Métropole : reconstituer la chaîne d'export. Un annuaire de 5 274 enregistrements avec champs hiérarchiques et coordonnées sortant d'un AD ou d'un outil RH laisse une trace dans les journaux du connecteur ou de l'application source. L'« erreur humaine » revendiquée par l'acteur doit être confirmée ou infirmée par la télémétrie — fuite par compte légitime usurpé, export non protégé sur partage, dépôt sur outil collaboratif tiers, prestataire compromis sont les hypothèses standard.
  2. Agents Ville de Nantes et Nantes Métropole : considérer comme publics votre nom, fonction, téléphone professionnel et nom de votre supérieur hiérarchique. Toute sollicitation entrante exploitant cette combinaison à titre de preuve d'identité doit être recoupée par canal authentifié — pas par rappel sur le numéro fourni dans le message.
  3. Cellule fraude et services financiers : renforcer les contrôles sur les modifications de RIB fournisseur et les demandes de virement « urgent » sur les prochaines semaines. La fuite arrive en bonne saison pour les fraudes au président — fin d'exercice budgétaire, période de congés, charge cognitive maximale.
  4. CNIL : la collectivité doit notifier dans les 72 heures suivant la prise de connaissance et apprécier l'information individuelle des agents — la donnée n'est pas sensible au sens RGPD strict, mais son exploitabilité en hameçonnage interne justifie une information ciblée.
  5. Mairies et métropoles ayant un même fournisseur d'annuaire / SIRH : passer en revue les permissions d'export. Si Nantes utilise un outil mutualisé ou un prestataire courant des collectivités, la même requête peut produire le même fichier ailleurs.

Contexte

C'est, à notre décompte, la septième fuite publique attribuée à Misère sur le secteur public français en quatre mois, après Tchap, RATP, JeVeuxAider, IDNot, Autosur et FSPN. Le schéma est désormais stable : base métier ou annuaire d'une administration ou d'un opérateur public, exfiltré et publié sans chiffrement, sans demande de rançon explicite, avec un récit « erreur humaine » ou « accès via tiers » qui sert d'enveloppe communicationnelle plus que d'explication technique.

C'est par ailleurs la deuxième métropole française dont les annuaires internes apparaissent en clair sur un forum cybercriminel en moins d'un mois, après la fuite de Rennes Métropole — quoique l'attribution diffère et que le périmètre rennais touchait l'ensemble des agents et de leur cartographie. Les DSI des grandes intercommunalités devraient passer leurs exports d'annuaire (LDAP, SIRH, outils collaboratifs avec rôle de « lister les utilisateurs ») en revue immédiate : c'est le format exact de fichier que Misère cherche, et la friction défensive est faible.

Articles liés