Skip to content
hacker_posts

RATP : 62 208 agents revendiqués sur le darkweb par « Misere »

La RATP a détecté le 14 juin une revendication de fuite touchant 62 208 employés. Un pirate sous pseudonyme « Misere » met en vente un export annuaire interne sur un forum cybercriminel.

Publié le 5 min de lecture
fuiteratpmiserefrancergpd

La RATP a confirmé que ses dispositifs de veille ont détecté dimanche 14 juin 2026 une revendication de fuite de données sur un forum cybercriminel concernant les agents du groupe. Un pirate signant « Misere » propose à la vente un fichier présenté comme un export d'annuaire interne contenant les informations de 62 208 employés. La fiche dédiée au signalement chez FrenchBreaches recense les éléments du lot, et l'analyse publiée par ZATAZ confirme le mode opératoire. La RATP indique avoir notifié la CNIL et conduire ses investigations « en coordination avec les services de l'État ». Les données des usagers ne sont pas concernées par la revendication.

Ce qui est exposé

Selon les échantillons publiés et repris par cyberattaque.org :

  • 62 208 enregistrements d'employés dans le fichier proposé à la vente.
  • Identifiants internes : matricule agent, UID, login.
  • Coordonnées professionnelles : email pro, email alternatif, numéros de téléphone, adresses, éléments de localisation.
  • Données organisationnelles : fonction, département, service, structure de rattachement RH.
  • Métadonnées d'annuaire : dates de création, mise à jour et dernière connexion, ce qui laisse penser à une couverture 2020 à 2026 — soit près de six années de référentiel.

Aucun mot de passe, aucune donnée bancaire et aucune information médicale ne figurent dans les échantillons publiés à ce stade. La structure du fichier — champs cohérents avec un Identity & Access Management d'entreprise — pointe vers un annuaire centralisé plutôt qu'une base applicative métier.

Statut de l'attribution

L'acteur se présente sous le pseudonyme « Misere » sur un forum russophone classique. Aucune attribution formelle n'a été publiée à ce stade par la RATP, la CNIL ou l'ANSSI ; aucune affiliation à un groupe nommé n'est revendiquée par l'auteur. Le mode opératoire — revendication isolée, échantillon avant mise en vente, pseudonyme récurrent — est cohérent avec un opportuniste cybercriminel, pas avec une opération sponsorisée. Cette lecture reste à confirmer par les investigations.

L'authenticité globale du lot n'est pas confirmée par la RATP au-delà de la reconnaissance qu'une revendication existe. C'est la routine sur ce type d'annonce : l'attaquant publie un échantillon, la victime confirme l'incident sans valider la totalité de la base avant analyse complète.

Périmètre du risque

Un export d'annuaire interne n'est pas anodin même sans secret bancaire ou de santé. Avec matricule + email pro + fonction + département, un attaquant dispose du socle d'un kit de hameçonnage ciblé à l'échelle d'un opérateur de transport public francilien :

  • Spear-phishing sur les fonctions sensibles (achats, RH, finance, sécurité industrielle).
  • Usurpation d'identité interne pour relancer des prestataires ou des partenaires métier.
  • Fraude au président et fraude au virement avec un organigramme à jour.
  • Reconnaissance pour des opérations à plus longue durée — la profondeur 2020-2026 permet d'identifier les agents en poste de longue date et les arrivées récentes.

Que faire

  1. Agents RATP : considérer que tout email professionnel reçu dans les semaines à venir sollicitant une action urgente, un changement de coordonnées, ou un transfert de pièce administrative peut être un hameçonnage informé. Vérifier l'expéditeur par un canal hors-bande (téléphone via l'annuaire interne, jamais via le lien du message).
  2. DSI et RSSI RATP : si l'origine du lot est bien un référentiel IAM, chercher la fuite côté plateforme d'identité — connecteurs SCIM, exports d'administration, comptes prestataires avec accès lecture sur l'annuaire. Le pseudonyme « Misere » est apparu plusieurs fois sur 2025-2026 sans lien public avec un groupe APT identifié ; le profil correspond à un accès volé ou revendu, pas à une intrusion réseau profonde.
  3. Surveillance externe : suivre les places de marché habituelles (forums russophones, canaux Telegram cybercriminels) pour détecter une mise en leak gratuit si la vente échoue. Préparer la communication interne pour l'hypothèse où des extraits seraient diffusés publiquement.
  4. Notification CNIL et information des personnes : la RATP a notifié la CNIL. Les agents concernés doivent être informés par leur DRH selon le périmètre confirmé — le RGPD oblige la communication individuelle dès lors que le risque pour les droits et libertés des personnes est élevé, ce qui est le cas d'un annuaire complet exposé.
  5. Partenaires et prestataires de la RATP : tout email entrant prétendant émaner d'un agent identifié doit être recoupé par téléphone avant exécution d'une demande d'achat, de paiement ou de transmission de pièce contractuelle. Le risque n'est pas que sur les agents — il rayonne sur l'écosystème.

Contexte

L'incident RATP s'inscrit dans une série de fuites visant les annuaires d'organisations publiques françaises documentée ces dernières semaines : Rennes Métropole et Tchap ont vu des données d'agents exposées sur le même type de plateforme, dans des conditions et avec un format proche. Le pattern est constant : ce n'est pas la vulnérabilité technique du système métier qui est attaquée, c'est l'identifiant d'un compte qui ouvre un export d'annuaire — fournisseur d'identité, prestataire RH, plateforme de fédération.

L'écart entre la perception (« la RATP a été piratée ») et la réalité technique (« un compte avec droits de lecture sur l'annuaire a été utilisé ») a son importance opérationnelle : la riposte n'est pas un correctif applicatif, c'est un audit des accès au référentiel d'identité et une revue des connecteurs sortants qui exposent ce référentiel. La RATP n'est pas un cas isolé en 2026 ; c'est le maillon faible qui se déplace de l'applicatif vers la gestion d'identité, comme l'ANSSI le souligne désormais à chaque revue d'incidents.

Articles liés