Une base de données attribuée à la RATP a été publiée sur un forum cybercriminel. Selon son auteur, elle contiendrait des informations relatives à 62 208 employés du groupe de transport public francilien.
La publication présente ce fichier comme un export d’annuaire interne regroupant des informations professionnelles sur les collaborateurs de l’entreprise. Les données visibles semblent couvrir de nombreux métiers et entités du groupe.
Des informations professionnelles détaillées
Les échantillons publiés contiennent de nombreuses informations habituellement utilisées dans les systèmes d’identité et de gestion des collaborateurs.
- Nom et prénom ;
- Adresse e-mail professionnelle ;
- Identifiant de connexion ;
- Matricule interne ;
- Fonction occupée ;
- Département et service ;
- Structure RH ;
- Entreprise de rattachement ;
- Date de création du compte ;
- Date de dernière mise à jour ;
- Informations d’organisation interne ;
- Données de localisation professionnelle.
Les exemples diffusés mentionnent notamment des collaborateurs de RATP Evolution Services avec leurs fonctions précises, allant de responsables juridiques à des référents spécialisés dans différents métiers du groupe.
Un annuaire interne potentiellement complet
Avec plus de 62 000 profils revendiqués, cette fuite pourrait correspondre à une part importante des effectifs du groupe RATP et de certaines de ses filiales. Les données semblent provenir d’un système de gestion des identités ou d’un annuaire d’entreprise centralisé.
La présence de champs liés à Okta, une solution largement utilisée pour la gestion des identités et des accès, laisse penser que les informations pourraient provenir d’un export associé à une plateforme de gestion des comptes collaborateurs.
Un risque accru de phishing ciblé
Bien qu’aucun mot de passe ne soit visible dans les échantillons publiés, ce type de base représente une ressource précieuse pour les cybercriminels. Les informations permettent d’identifier précisément les collaborateurs, leurs fonctions et leur position dans l’organisation.
Ces données peuvent être utilisées pour préparer des campagnes de phishing ciblées, des tentatives d’usurpation d’identité ou des attaques de type « Business Email Compromise » visant les équipes administratives, financières ou techniques.
Un opérateur critique pour l’Île-de-France
La RATP exploite une grande partie des réseaux de métro, tramway, bus et RER de la région parisienne. Chaque jour, plusieurs millions de voyageurs utilisent les infrastructures opérées par le groupe.
Les informations concernant les employés de ce type d’opérateur présentent un intérêt particulier pour les acteurs malveillants en raison du rôle stratégique joué par l’entreprise dans les transports publics français.
L’origine exacte des données reste inconnue
À ce stade, aucun élément ne permet de confirmer l’origine précise de cette base de données ni les circonstances dans lesquelles elle aurait été obtenue. La publication ne fournit pas de détails techniques supplémentaires permettant de vérifier l’existence d’une compromission des systèmes de la RATP.
Au moment de la publication de cet article, aucune communication officielle de la RATP concernant cette revendication n’avait été identifiée.