RATP : 62 208 données d’employés revendues sur le darkweb, ce que ça dit de votre sécurité
Le week-end du 14 juin 2026, un pirate qui se fait appeler “Misere” a posté sur un forum du darkweb une archive contenant, selon ses dires, 62 208 fiches d’employés de la RATP. La régie des transports franciliens a confirmé la détection de cette revendication et annoncé qu’elle allait porter plainte. Bonne nouvelle : aucune donnée usager n’est concernée. Mauvaise nouvelle : ce que nous trouvons dans ces fiches suffit largement à monter une attaque ciblée contre les agents.
Nous décryptons ce qui a fuité, ce qui reste protégé, et ce que doivent faire les 62 000 agents RATP (et tous ceux qui travaillent dans une grande organisation publique, parce que ce type d’incident devient récurrent).
🚨
L’essentiel en 30 secondes
62 208 fiches employés mises en vente par un pirate surnommé “Misere” le 14 juin 2026.
Données pro uniquement : nom, e-mail, téléphone, matricule, fonction, service, hiérarchie, dates de connexion.
Aucun mot de passe ni donnée bancaire dans les échantillons publiés, mais assez pour du phishing ciblé.
Les données usagers ne sont pas concernées, selon la RATP.
Plainte déposée et enquête interne en coordination avec les services de l’État et la CNIL.
Que s’est-il passé, exactement ?
Dimanche 14 juin 2026, les dispositifs de veille de la RATP ont détecté un message posté sur un forum cybercriminel. Le pseudo utilisé : “Misere”. Le message revendique la possession d’un fichier CSV nommé “ratp employers” contenant 62 208 lignes, présenté comme un export de l’annuaire interne du groupe.
Dans la foulée, plusieurs échantillons ont été publiés pour prouver la matérialité de la fuite. Nous y trouvons des données cohérentes avec un annuaire d’entreprise centralisé : civilité, nom, prénom, adresses e-mail (professionnelles et alternatives), numéros de téléphone (fixe et mobile), matricule, UID, identifiants internes, fonction, service, département, hiérarchie, ville, code postal, dates de création, de mise à jour et de dernière connexion. La RATP parle d’une période couverte de 2020 à 2026.
La régie a confirmé l’incident au Parisien lundi 15 juin, annoncé son intention de porter plainte, et signalé l’incident à la CNIL. Sa cellule cyber travaille en coordination avec les services de l’État pour comprendre l’origine de la compromission.
Données usagers : passe Navigo, historique de trajets, paiements billettique non concernés.
Salaires et bulletins de paie : non mentionnés dans les échantillons.
Pourquoi c’est plus grave qu’une simple fuite de coordonnées
Nous pourrions nous dire : “Bof, ce sont juste des coordonnées pro, pas de mot de passe ni de numéro de carte, c’est pas si grave”. Faux. Le problème avec ce type de données, c’est qu’elles ouvrent la porte à des attaques bien plus dangereuses que la fuite brute elle-même.
Prenons un cas concret. Vous êtes chef de maintenance à la RATP, votre nom et votre fonction sont dans la base. Un pirate vous envoie un e-mail qui ressemble à une convocation à une réunion interne, avec un lien vers un “document” hébergé sur ce qui ressemble à l’intranet. Vous cliquez, vous rentrez vos identifiants pro. Le pirate vient de récupérer votre accès au SI de la RATP. C’est ce que nous appelons du spear-phishing, et c’est nettement plus efficace quand le message est taillé sur mesure pour vous.
Le terme technique pour ce type d’archive, c’est une “énumération d’annuaire” ou un “employee directory dump”. Nous en voyons beaucoup, et c’est le matériau de base de la plupart des attaques ciblées contre les grandes organisations. Le pirate “Misere” l’a d’ailleurs revendiqué en évoquant “la stupidité humaine” qui a permis la collecte. C’est une manière de pointer vers une faille humaine (phishing, credentials faibles, MFA désactivé) ou un défaut d’hygiène numérique.
⚠️ Vigilance : les 6 réflexes à avoir si vous êtes agent RATP
Si vous êtes employé RATP, ne cliquez sur aucun lien contenu dans un e-mail qui vous demande de vous reconnecter, valider un mot de passe, ou télécharger un document, même s’il semble venir d’un collègue ou d’un service interne.
Activez ou vérifiez l’authentification multifacteur (MFA) sur votre compte pro. Si vous ne l’avez pas encore fait, faites-le aujourd’hui. C’est la mesure qui bloque 90% des attaques par vol d’identifiants.
Surveillez les e-mails suspects qui mentionnent votre fonction exacte, votre service, votre matricule. Ce sont des signes que le message a été fabriqué à partir des données fuitées. Signalez-les à la cellule cyber RATP et ne répondez pas.
Le contexte : la vague de fuites d’annuaires pro de 2026
La fuite RATP n’arrive pas toute seule. Elle s’inscrit dans une tendance lourde, documentée par la CNIL et l’ANSSI : les fuites d’annuaires internes d’entreprises et d’administrations. En 2025, la CNIL a reçu 6 167 notifications de violations de données, un record (+9,5% vs 2024). Pour le seul premier trimestre 2026, nous en sommes déjà à 2 730 notifications, contre 2 500 sur la même période en 2025.
Plusieurs cas récents ont visé des organisations françaises de premier plan : la DGSE (déjà évoquée dans la presse), des opérateurs de transport, des ministères, des hôpitaux, des opérateurs télécoms. À chaque fois, le schéma est le même : un pirate met en vente un annuaire professionnel, parfois quelques semaines avant une attaque par ransomware qui exploite les données pour s’introduire dans le SI.
Le hic, c’est que la fuite d’annuaire est rarement la première étape d’une seule attaque. C’est plutôt un produit commercialisable sur des forums cybercriminels, que d’autres acteurs achètent pour préparer leurs propres opérations. En clair : les 62 000 fiches RATP vont probablement servir à d’autres attaques que celle qui les a produites.
Date
Événement
Dimanche 14 juin 2026
Le pirate “Misere” poste un message sur un forum darkweb, revendiquant la possession d’un fichier “ratp employers” de 62 208 lignes.
Dimanche 14 juin 2026 (soir)
Les dispositifs de veille de la RATP détectent la revendication et activent la cellule cyber interne.
Lundi 15 juin 2026
La RATP confirme l’incident au Parisien, annonce son intention de porter plainte, et signale l’affaire à la CNIL.
Lundi 15 juin 2026 (soir)
Plusieurs médias spécialisés (ZATAZ, INCYBER, CyberAttaque.org) publient leurs premières analyses techniques des échantillons.
Semaine du 16 juin 2026
Enquête interne en coordination avec les services de l’État. Notification individuelle des agents concernés attendue.
Ce que les pirates vont probablement faire avec ces données
Le plus probable, c’est du spear-phishing de masse. Un e-mail qui ressemble à une communication interne RATP, avec un lien vers un document à télécharger ou un portail à valider. Le piège classique. L’efficacité de ces attaques augmente mécaniquement avec la qualité des données dont dispose le pirate : plus il connaît votre fonction, votre service, votre supérieur, plus le message est crédible.
Ensuite, du credential stuffing : le pirate va croiser les e-mails pro RATP avec les fuites massives de 2024-2026 (Searcher, Dumpsec, LinkedIn, etc.) pour voir si certains agents ont réutilisé leur mot de passe pro sur des sites persos. Si oui, il peut tester cette combinaison sur le portail RATP.
Enfin, de l’ingénierie sociale par téléphone (vishing) : un pirate appelle un agent RATP, se fait passer pour le support IT, et lui demande de valider un code MFA. C’est un schéma de plus en plus courant, surtout quand le pirate connaît l’organigramme de la cible.
🔍 Cartographie du risque : les fuites d’annuaires pro en 2026
CNIL (France)6 167 violations 2025
Record historique de notifications en 2025, +9,5% par rapport à 2024. La tendance continue en 2026 avec 2 730 violations au premier trimestre.
ANSSI (France)3 054 incidents 2024
L’ANSSI a traité 3 054 incidents en 2024, dont une majorité concernait des administrations, des collectivités et des PME. La surface d’attaque des organisations publiques continue de croître.
RATP (14 juin 2026)62 208 fiches
Fuite d’un annuaire d’entreprise présumé, publié par le pirate “Misere”. Données pro uniquement, mais exploitables pour du spear-phishing ciblé.
Tendance 2026+10% YoY
Les annuaires d’entreprise sont devenus la monnaie d’échange standard des marchés cybercriminels. Ils se revendent entre 500 et 5 000 dollars selon la taille.
Comment vérifier si vous êtes concerné, et que faire
Si vous êtes agent RATP, voici la marche à suivre dans les jours qui viennent.
Surveillez votre boîte mail pro : la RATP va probablement envoyer une communication officielle aux agents concernés. Vérifiez que l’expéditeur est bien ratp.fr et pas un domaine approchant.
Activez ou vérifiez le MFA : si vous n’avez pas activé l’authentification multifacteur sur votre compte pro, faites-le maintenant. Si vous l’avez déjà, vérifiez qu’elle fonctionne (code SMS, appli type Microsoft Authenticator, Yubikey).
Ne réutilisez jamais votre mot de passe RATP ailleurs : si vous l’avez utilisé sur un site perso, changez-le partout. Vite.
Signalez les e-mails suspects : tout message inattendu qui vous demande de cliquer, valider, ou transmettre un code, c’est suspect. Signalez-le à la cellule cyber RATP via l’adresse dédiée (généralement cyber@ratp.fr ou similaire).
Surveillez votre identité numérique : ne publiez pas d’informations personnelles (date de naissance, adresse, numéro de téléphone) sur vos réseaux sociaux en lien avec votre fonction RATP.
En cas de doute sur un message, contactez directement votre service IT ou le support RATP par téléphone, jamais en répondant au mail suspect.
Si vous n’êtes pas agent RATP, ce type d’incident est quand même un signal d’alarme. Les annuaires d’entreprise fuient de plus en plus, dans tous les secteurs. Si vous travaillez dans une grande organisation (publique ou privée), considérez que votre nom, votre e-mail et votre fonction sont peut-être déjà dans une base du darkweb. Adoptez les bons réflexes par défaut.
Les données des usagers RATP sont-elles concernées ? ▼
Non, selon la RATP. Seules les données professionnelles des employés (62 208 fiches revendiquées) sont concernées. Les données des voyageurs (passe Navigo, historique de trajets, paiements billettique) ne sont pas mentionnées dans les échantillons publiés. À confirmer après les conclusions de l’enquête interne.
Y a-t-il des mots de passe dans la fuite ? ▼
Aucun mot de passe n’a été identifié dans les échantillons publiés, mais cela ne veut pas dire qu’il n’y en a pas dans le fichier complet. L’analyse forensique de la RATP devra le déterminer. En attendant, le principe de précaution s’impose : changez votre mot de passe RATP si vous ne l’avez pas fait récemment, et activez le MFA.
Qui est le pirate “Misere” ? ▼
Nous ne savons pas. Le pseudo est probablement un alias jetable, comme la majorité des pseudos sur les forums cybercriminels. “Misere” est aussi un mot anglais qui signifie “misère”, ce qui peut être un clin d’œil ironique au contenu de la fuite. Aucune attribution n’est possible à ce stade.
Que risque un agent RATP à cause de cette fuite ? ▼
Principalement du spear-phishing ciblé et des tentatives d’usurpation d’identité. Le pirate connaît votre nom, votre fonction, votre e-mail, votre téléphone pro. Il peut fabriquer un message crédible pour vous soutirer des identifiants, vous faire installer un logiciel malveillant, ou usurper votre identité auprès d’autres services.
La RATP va-t-elle me prévenir individuellement ? ▼
En principe oui, conformément aux obligations RGPD. La régie a annoncé son intention de notifier la CNIL, ce qui implique en général une communication directe aux personnes concernées, surtout si les données sont sensibles. Surveillez votre boîte mail pro dans les jours qui viennent.
Comment ce type d’annuaire est-il obtenu ? ▼
Trois vecteurs principaux : (1) phishing ou spear-phishing sur un compte admin qui a accès à l’annuaire, (2) exploitation d’une vulnérabilité sur l’Identity Provider (Okta, Azure AD, etc.) qui gère les comptes, (3) compromission d’un prestataire tiers qui a accès aux données RH. L’enquête déterminera le vecteur exact.
🧠 Votre entreprise est-elle prête à gérer une fuite d’annuaire ? Testez-vous
1. Quel type de données fuitées est le plus dangereux pour monter une attaque ciblée ?
2. Quelle est la mesure qui bloque 90% des attaques par vol d’identifiants ?
3. Combien de violations de données la CNIL a-t-elle reçues en 2025 ?
Si vous travaillez dans une grande organisation publique ou privée, ce type d'incident va probablement se multiplier dans les mois qui viennent. L'essentiel, c'est de ne pas attendre la fuite pour activer le MFA, vérifier ses réflexes et former ses équipes. Nous vous tenons au courant dès qu'il y a du nouveau sur l'enquête RATP.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
