Fuite de données dans 1.300 communes, les prestataires en cause

Publié le par Olivier Devillers , pour Localtis
Numérique, Sécurité

Des dizaines de communes ont alerté leurs usagers sur une fuite de données d'identité associées à des prises de rendez-vous d'état civil en mairie. Selon notre confrère Le Parisien, quelque 1.300 communes auraient été affectées. Une annonce qui intervient alors qu'un sondage commandé par la Cnil pointe la réalité des dommages causés aux victimes de vol de données personnelles.

site de rendez vous innaccessibles mairie de Brest

© Aurélie Roudaut

Brest, Faches-Thumesnil, La Rochelle, Quimper, Alfortville, Mauron ou Martigues figurent parmi les victimes de ce que les experts cyber nomment "attaque par la supply chain", autrement dit via un prestataire fournissant à la mairie un service numérique. En l'occurrence, il s'agit de deux plateformes de prise de rendez-vous pour la délivrance des titres d'identité : Synbird et RDV360.

Une compromission détectée fin octobre

Synbird a notifié l'incident à la Cnil et l'Anssi le 27 octobre 2025. Dans une foire aux questions en ligne, l'éditeur savoyard explique qu'un pirate a accédé au compte d'un agent municipal en exploitant des données exfiltrées lors d'une précédente fuite. Après plusieurs tests, l'attaquant a découvert une vulnérabilité dans la fonction d'export PDF, moins sécurisée que les autres accès. Synbird précise avoir détecté et bloqué l'accès malveillant le 26 octobre à 8h45. Environ une cinquantaine de fiches par mairie ont pu être téléchargées. Les données concernées sont celles saisies lors des prises de rendez-vous : nom, prénom, adresse email, numéro de téléphone et adresse postale. Synbird indique qu'aucun mot de passe, document d'identité ou donnée bancaire n'a été compromis. Pour l'éditeur, seuls les rendez-vous créés entre le 8 et le 26 octobre 2025 sont concernés.

Concernant RDV360, les détails techniques de la compromission ne sont pas publiquement documentés. Selon le chercheur en cybersécurité SaxX, qui relaie sur X les revendications du groupe cybercriminel "dumpsec", 500 à 600 mairies utilisant cette plateforme auraient été touchées, représentant les données de 7 millions de citoyens pour ce seul éditeur. Ce groupe est déjà connu pour avoir exfiltré 1,6 million de numéros de sécurité sociale lors de l'attaque contre Itélis, plateforme de tiers-payant optique.

Correctifs en place, usagers informés

Les deux prestataires ont annoncé des mesures correctives. Synbird indique la mise en œuvre d'une authentification à double facteur, d'un filtrage IP et de la limitation du nombre de requêtes par utilisateur. L'entreprise a contacté directement les personnes concernées par email le 18 novembre. RDV360 n'a pas publié de communication sur son site. Plusieurs communes clientes ont cependant indiqué que le prestataire avait "renforcé ses mesures de protection". RDV360 a par ailleurs porté plainte et travaille en lien direct avec l'Anssi et l'Ofac du Parquet de Paris.

Toutes les communes ont été incitées à déclarer l'incident à la Cnil (pour mémoire, c'est une obligation) et à déposer plainte. Rares sont les collectivités à déclarer le nombre de victimes concernées (12.000 "lignes" à Quimper). Elles recommandent à leurs administrés une vigilance accrue face aux démarchages inhabituels, notamment toute demande de coordonnées bancaires. Certaines renvoient opportunément vers Cybermalveillance pour se faire aider en cas d'attaque.

Vol de données d'identité : des conséquences tangibles

Le ton rassurant des collectivités sur leur site – pas de données sensibles volées – tranche avec ce que vient de révéler un sondage de la Cnil publié, fort à propos, le 26 novembre 2025. Celui-ci établit que 41% des Français ont déjà subi une utilisation frauduleuse de leurs données personnelles, et 21% un préjudice financier. 

Le coût moyen d'une fraude à l'identité (16% des dommages) atteint 915 euros par victime. Les arnaques les plus fréquentes découlant du vol de données personnelles sont ensuite les démarchages frauduleux (691 euros de préjudice moyen) et les fraudes bancaires/financières (592 euros). Les informations d'identité permettent aux cybercriminels de personnaliser leurs attaques.

Au-delà, le sondage souligne des conséquences durables : les données volées circulent sur le darknet pendant des années. 57% des personnes ayant subi un préjudice au cours des trois dernières années déclarent avoir été victimes d'une cyberattaque. Et 35% des répondants déclarent avoir subi un préjudice moral (anxiété, stress) suite à une utilisation frauduleuse de leurs données. En l'occurrence, le scénario de l'attaque sur les prises de rendez-vous intègre l'usage d'identifiants qui circulaient a priori sur le dark web.

 

Voir aussi

    Abonnez-vous à Localtis !

    Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

    Découvrir Localtis

    Back to Top of the Page