Une base de données attribuée au site culture.gouv.fr a été revendiquée sur un forum cybercriminel le 5 juillet 2026. L’auteur affirme diffuser 45 362 lignes correspondant principalement à des contacts professionnels liés au ministère de la Culture et à ses différentes structures.
À ce stade, il s’agit d’une revendication non confirmée officiellement. Les échantillons publiés montrent toutefois une base structurée contenant des noms, prénoms, civilités, téléphones, emails professionnels et rattachements administratifs.

45 362 contacts professionnels revendiqués
La revendication est signée par l’acteur misere. Le fichier cité, nommé culture.jsonl, contiendrait 45 362 lignes. L’auteur précise que les données sont majoritairement professionnelles.
Les champs visibles dans les exemples indiquent une extraction d’annuaire ou de fiches de contacts institutionnels, avec des informations permettant d’identifier des agents, leurs coordonnées et leur structure de rattachement.
Quelles données sont exposées ?
Les données potentiellement exposées comprennent notamment :
- nom et prénom ;
- civilité ;
- numéro de téléphone ;
- adresse email professionnelle ;
- structure de rattachement ;
- description du service ;
- chemin ou alias de profil ;
- identifiants techniques liés à l’indexation ou aux requêtes.
Les structures visibles dans les échantillons incluent notamment des services à compétence nationale, des directions régionales des affaires culturelles, des archives nationales ou encore des unités départementales de l’architecture et du patrimoine.
Une faille IDOR revendiquée
L’auteur affirme avoir exploité une faille de type IDOR, pour Insecure Direct Object Reference. Ce type de vulnérabilité apparaît lorsqu’une application permet d’accéder à des ressources en modifiant un identifiant, sans vérifier correctement que l’utilisateur a le droit de consulter la donnée demandée.
Dans ce scénario, un attaquant peut automatiser les requêtes et récupérer des fiches successives si les contrôles d’autorisation sont absents ou insuffisants. Cela peut transformer un simple défaut de contrôle d’accès en extraction massive.
Une cartographie interne exploitable
Même si les données semblent principalement professionnelles, leur regroupement dans une base unique change le niveau de risque. Une liste de plusieurs dizaines de milliers de contacts permet de cartographier des services, des directions, des régions, des unités locales et des interlocuteurs précis.
Cette cartographie peut être utilisée pour comprendre l’organisation interne, identifier les bons interlocuteurs et préparer des attaques ciblées contre des agents ou des services publics.
Quels risques pour les agents ?
Le principal risque concerne le phishing ciblé. Un attaquant peut utiliser le nom d’un service, une adresse email professionnelle, un numéro de téléphone ou une structure de rattachement pour rédiger un message crédible.
Les scénarios possibles incluent de faux messages internes, de fausses demandes administratives, de faux documents à valider, de fausses notifications de sécurité ou des appels téléphoniques usurpant un service du ministère.
Un risque pour les services déconcentrés
Les directions régionales, unités départementales et services spécialisés peuvent être particulièrement exposés. Les attaquants peuvent adapter leurs messages à un territoire, à une mission ou à un service précis, ce qui augmente la crédibilité des tentatives d’ingénierie sociale.
Les agents dont le téléphone professionnel est exposé peuvent aussi être ciblés par des appels frauduleux, du hameçonnage vocal ou des tentatives de récupération d’informations internes.
Une fuite à confirmer officiellement
Le nombre exact de personnes uniques concernées, l’origine technique de l’extraction et la nature exacte des données doivent être confirmés par une analyse officielle. Les 45 362 lignes revendiquées peuvent contenir des doublons, des fiches anciennes ou des contacts techniques.
Si la revendication est confirmée, l’incident resterait sérieux malgré le caractère professionnel des données. Une base centralisée de contacts ministériels peut devenir un outil puissant pour mener des campagnes de phishing, cartographier l’administration et viser des agents avec des messages très personnalisés.