S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Des fuites de données « non sensibles » dans 1 300 mairies, les intermédiaires ciblés

Rien d'important

Des fuites de données « non sensibles » dans 1 300 mairies, les intermédiaires ciblés

Au cours des trois dernières semaines, de nombreuses mairies françaises ont dû avertir une partie de leurs administrés : plusieurs de leurs données personnelles se sont retrouvées dans la nature. Ces piratages, qui seraient menés par le même groupe, s’inscrivent dans un contexte plus large d’attaques contre des prestataires de services.

Le 27 novembre 2025 à 16h32

Un nombre important de mairies, dont beaucoup en Bretagne, ont signalé des incidents cyber. Tous en commun une fuite d’informations : nom, prénom et, selon les cas, adresse postale, adresse e-mail et numéro de téléphone. Des données non sensibles, mais qui peuvent alimenter ensuite les grandes opérations de phishing.

La première mairie à avoir communiqué sur le sujet semble être Brest, le 14 novembre, faisant état d’une fuite de 50 000 données environ. Sur X, SaxX s’empare du sujet et commence à faire l’historique des fuites en commençant par Brest. Le 19 novembre, c’était au tour de Quimper avec 12 000 données, puis le chiffre total s’est rapidement approché des 100 000 avec plusieurs autres villes de Bretagne. Le même jour, on apprenait que la mairie d’Alfortville (Île-de-France cette fois) commençait à envoyer des e-mails concernant là encore une fuite, avec toujours les mêmes caractéristiques.

Il est rapidement apparu que toutes ces mairies n’avaient pas été directement piratées. Les attaques étaient dirigées contre des prestataires de services, notamment deux plateformes fournissant des solutions de prises de rendez-vous : RDV360 et SynBird. Sur le site Bonjourlafuite.eu.org, on peut voir plusieurs mairies référencées, avec des captures des messages envoyés aux personnes concernées.

Plus précisément, les informations sont celles données par les administrés lors des demandes de rendez-vous pour la production d’une pièce d’identité. Dans la plupart des cas, ces informations proviennent de demandes faites entre 2022 et 2025.

Crédits : France Télévisions

Une vigilance particulière demandée

Dans tous les communiqués ou presque, les mairies indiquent qu’une déclaration a été faite à la CNIL (elles y sont légalement tenues) et qu’une plainte a été déposée. Si certaines communications ne le mentionnent pas, d’autres indiquent clairement qu’il s’agit d’un piratage de l’un des deux prestataires, RDV360 ou Synbird.

La fuite toucherait 1 300 communes, selon Le Parisien. Dans ses colonnes, la société savoyarde Synbird a réagi, confirmant le problème : « La fuite concerne les clients qui utilisent notre module de rendez-vous et de réservations de salle. Elle est circonscrite aux rendez-vous pris de début à fin octobre ». L’entreprise affirme avoir retracé l’origine du problème jusqu’à un poste d’employé municipal.

C’est la réutilisation d’un mot de passe, obtenu par une autre fuite, qui aurait permis aux pirates d’accéder au compte d’une mairie cliente. « L’attaquant a ensuite exploité une faille de sécurité dans le logiciel pour exporter des données. Ce problème a depuis été réglé par nos développeurs », a précisé Synbird, qui a ajouté que l’incident avait été déclaré à la CNIL et qu’un dépôt de plainte à la gendarmerie était en cours.

Les conseils donnés dans la plupart des cas sont les mêmes que ceux de la mairie de Brest dans son communiqué du 14 novembre : « aux personnes ayant fait une demande de pièces d’identité pendant cette période une vigilance particulière notamment en cas de démarchages inhabituels par mail et/ou téléphone, ou de demandes de coordonnées bancaires, même émise d’un opérateur connu des usagers ».

Sur son compte, SaxX affirme que ces fuites, pour des données allant de 2021 à novembre 2025, ont été orchestrées par un groupe de cybercriminels nommé « dumpsec » (qui est curieusement le nom d’un outil de sécurité utilisé pour des audits). Ce groupe aurait contacté le hacker et lui aurait fourni un échantillon « de 20 000 lignes concernant RDV360 ». Sur l’ensemble des mairies touchées par l’incident, 14 millions de données auraient été aspirées.

« Aucune donnée sensible »

La plupart des communiqués, à l’instar de ceux d’Ergué-Gébaric et de Guipavas, mettent l’accent sur l’absence de données « sensibles » dans les fuites. « Aucune donnée sensible, aucun document ou pièce d’identité, aucune donnée financière et aucun mot de passe n’ont été prélevés », peut-on lire par exemple dans le communiqué de Guipavas.

Pour autant, ces informations peuvent se révéler dangereuses. Elles alimentent les campagnes de phishing, et peuvent parfois servir à des attaques plus personnalisées, comme on l’a vu avec Ledger très récemment. Même sans ce type d’attaque plus ciblée, les numéros de téléphone et adresses e-mail intègrent de vastes bases de données exploitées pour des tentatives d’arnaques en tous genres.

Sans aller jusqu’à la communication de Pandora en aout dernier, ce type de communication tend à banaliser les fuites d’informations jugées « non sensibles ». Il est malheureusement vrai que ces fuites sont devenues monnaie courante, avec d’énormes opérations au cours des deux dernières années notamment, dont celles des deux plus gros prestataires de tiers payant en France, ou encore le cas emblématique de France Travail.

On remarque également que ces fuites interviennent une fois de plus dans le cadre de l’exploitation d’une faille chez un partenaire, comme c’était le cas pour France Travail.

Commentaires (18)

votre avatar
C'est ce que j'ai reçu aussi côté Faches-Thumesnil (59) avec un renouvellement de passport là-bas et le RDV pris sur RDV360.
votre avatar
Ha que de souvenirs avec Faches-Thumesnil et mes premières années dans le Nord. Je fais un chéque, je demande la ville : Faches-Thumesnil. Ok, ça s’écrit comment ? Réponse du commerçant : « comme ça se prononce ». J’ai payé par carte.
votre avatar
Ah, ça oui je me suis bien éclaté à mon arrivée dans le Nord. Wasquehal est aussi un beau moment de solitude.

Content d'avoir été sur Lille même pendant quelques années, plus rapide à écrire :D
votre avatar
Et on en parle de Rijsel sur les panneaux en Belgique :o
votre avatar
En Flandres, soyons précis :cap:
c'est les mêmes qui affichent Namen, Bergen et Luik :mad:
votre avatar
Et Kortrijk ? Ce moment de solitude quand tu as une correspondance en train là-bas et que ton billet dit "Courtrai" :p
votre avatar
Marc-en-Bareuil?
Non, trop simple, trop intuitif.
On va plutôt faire Marcq-en-Baroeul. Ouais, là on pourra dire aux pas-du-cru "ça s´écrit comme ça se prononce" puis se marrer à les voir tourner autour sans jamais taper dedans (comme un jeune marié). :D
votre avatar
Ça va, on arrive à avoir de la concurrence féroce. Y'a pas longtemps j'ai reçu dans mes alertes concert de la Fnac une proposition à ILLKIRCH-GRAFFENSTADEN.

Remarque, dès que tu remontes un peu la A25, les noms des patelins dans le Nord donnent aussi cette impression :p
votre avatar
Au moins ca ne fait pas comme en Alsace et Lorraine, où tu n'as pas le temps d'arriver à destination que tu as déjà le code wifi affiché sur les panneaux de direction...
votre avatar
J'ai une fuite, transmise à la CNIL, clôturée par la CNIL sans qu'elle ait été fermée. Bref, si ça vous intéresse, je peux vous envoyer ça ; ça pourrait faire un bon article.
votre avatar
on est toujours curieux de toute matière susceptible d'éclairer le fonctionnement de la Cnil, sans garantie aucune de relais mais a minima pour notre culture personnelle :chinois:
votre avatar
Ok, je vous prépare cela, et vous l'envoie. Ce sera en gros ce qui avait été envoyé à la CNIL, mais votre spécialisation informatique devrait vous montrer l'énorme faille qui reste ouverte, pour beaucoup de personnes. Bon, c'est un acteur local, mais concerne 48 communes.
votre avatar
Ca doit commencer à être sacrément bouché le marché de la fuite. On n'a pas non plus des données personnelles différentes à l'infini d'un système d'information à un autre... A un moment, peut-être déjà atteint, tout sur tout le monde aura déjà fuit.
votre avatar
Explosion de la bulle du hacking en approche. :mdr:
votre avatar
C'est pas non plus pour demain. La beauté du truc, c'est qu'un pigeon ça peut se faire pigeonner plusieurs fois ;-)
Et puis, les gens déménagent.
votre avatar
Pigenonner plusieurs fois oui mais pour ça pas besoin de récupérer les données plusieurs fois. Ce que je voulais dire, c'est qu'à force, la quantité de données que n'ont pas déjà les pirates diminue de plus en plus, et donc l'espérance de gain d'information d'un piratage ou d'un achat de base piratée suit le même chemin, donc sa valeur marchande aussi.

Pour les déménagements, c'est vrai, mais beaucoup d'arnaques n'ont pas besoin d'une adresse postale.
votre avatar
je cherche des ressources en ligne pour des bonnes pratiques de gestion d'email/alias pour les comptes en ligne, là j'ai un nom de domaine avec mon nom j'en ai pris un autre sans lien où je vais aussi créer des boites pour des proches offrir un abo à la presse libre, j'aimerais avoir une stratégie pour donner un alias à la caisse dun magasin ; sans smartphone mais avec racine d'alias genre radical_chaine@domaine.fr gérer les sites étatiques / santé (sachant que je donne un alias à doctolib et un autre à un médecin mais l'alias docolib change vers celui du médecin qui utilise doctolib) / comptes forums réseaux sociaux

=> l"email fuité ne donnerait plus directement mes infos
=> un alias indique qui fuite

next ou un autre acteur aurait il un dossier là dessus ? il doit y avoir des bonnes pratiques que je nai pas envie de découvrir à tatons
votre avatar
Y a-t-il une liste des mairies qui ont fuité ? Si c’est 100% des communes qui utilisent RDV360, je suis dedans ayant pris un rdv de retrait CNI + passeport début octobre :(

Des fuites de données « non sensibles » dans 1 300 mairies, les intermédiaires ciblés

  • Une vigilance particulière demandée

  • « Aucune donnée sensible »