Depuis plusieurs semaines, les données personnelles d'habitants de certaines communes ont été dérobées après une intrusion informatique dans deux plateformes de prise de rendez-vous utilisées par les mairies pour les démarches d’identité. Cet incident majeur, a eu lieu au sein de prestataires tiers et pourraient avoir des conséquences sur de nombreux mois.
1 300 collectivités touchées
Le scénario, désormais confirmé par plusieurs communes, est le même partout :les pirates ont réussi à s’introduire dans Synbird et RDV360, deux services très largement utilisés pour réserver un créneau en mairie afin d’obtenir ou renouveler sa carte d’identité ou son passeport. Or entre 1 200 et 1 300 communes s’appuient sur ces solutions.
La ville de Brest a été l’une des premières à communiquer, évoquant près de 50 000 lignes de contact exposées (nom, prénom, e-mail, téléphone, code postal), Quimper avec environ 12 000 dossiers concernés. Même son de cloche du côté de La Rochelle, Ergué-Gabéric et d’autres communes...
Mairie de Brest
Quelles données piratées et pour quel usage ?
D’après les mairies touchées, les hackers auraient eu accès aux données suivantes : noms et prénoms, adresses mail, numéros de téléphone, parfois code postal ou commune, type de démarche effectuée (carte d’identité, passeport…), dates et heures de rendez-vous.
Or, ces données, mises entre de mauvaises mains, constituent des éléments parfait pour montrer des arnaques ciblées — notamment les faux mails ou SMS réclamant des documents, justificatifs ou frais complémentaires. Ce n’est d’ailleurs pas un hasard si plusieurs villes recommandent désormais de redoubler de vigilance face aux messages frauduleux imitant les services de l’État ou les mairies.
Les municipalités insistent sur un point : ce ne sont pas leurs sites qui ont été piratés, mais des outils externes gérés par des prestataires. Or ces plateformes sont massivement mutualisées. Lorsqu’un prestataire est compromis, ce sont des centaines de clients qui se retrouvent exposés au même instant. Ce modèle clé en main, très pratique pour les communes, montre ici ses limites : il crée un point de défaillance centralisé, avec un impact national en cas de faille.
ET la suite ?
Les communes ont engagé les procédures réglementaires avec déclaration de violation de données personnelles, information des usagers, recommandations d'usage en matière de sécurité, et signalement à la CNIL. Apparemment, les prestataires ont sécurisé la faille, sans toutefois détailler ce qui s’est réellement produit ni comment l’intrusion a été rendue possible.
Même si les données piratées ne permettent pas d’usurper une identité complète, elles peuvent servir à créer des attaques par phishing très bien ciblées, des demandes frauduleuses imitant les services officiels, des escroqueries administratives (paiement de timbres fiscaux, faux justificatifs…).
Comme d'habitude, les consignes de sécurité sont les mêmes : 1. ignorer tout SMS ou mail prétendant venir de la mairie, de l’ANTS ou du gouvernement demandant un paiement, 2. ne jamais cliquer sur un lien reçu par message concernant une démarche d’identité. 3. vérifier systématiquement son dossier via le site officiel de la mairie ou via ants.gouv.fr. 4. signaler toute tentative frauduleuse sur internet-signalement.gouv.fr.
Qu'en penser ?
Cet épisode illustre un enjeu plus large : la dépendance des collectivités (ou des entreprises) à des prestataires numériques souvent sous-dimensionnés face aux exigences de cybersécurité modernes. À l’heure où les démarches administratives se dématérialisent massivement, de tels incidents devraient malheureusement se multiplier — tant que les infrastructures, budgets et audits de cybersécurité ne suivent pas la même courbe.
Un véritable système domestique d’alimentation plug-and-play qui intègre la production d’énergie photovoltaïque ainsi que la charge et la décharge bidirectionnelles.
