Une base de données attribuée aux agents de la Ville de Rennes et de Rennes Métropole a été revendiquée sur un forum cybercriminel le 2 juillet 2026. L’auteur de la publication affirme détenir les informations de 8 727 agents, issues du domaine metropole.rennes.fr.
Le fichier présenté sous le nom rennes_contacts_merged.csv contiendrait 8 728 lignes. Le nombre exact de personnes uniques reste à confirmer, mais la revendication évoque 8 727 utilisateurs concernés.

Rennes visée par une revendication de 8 727 agents
La publication est signée par l’acteur misere, déjà associé à plusieurs revendications récentes. L’auteur indique ne plus se souvenir de la vulnérabilité exploitée, ce qui empêche d’établir publiquement le scénario technique exact de la fuite.
À ce stade, cette fuite reste une revendication non confirmée officiellement. Les échantillons publiés montrent toutefois une base structurée regroupant des contacts professionnels d’agents, avec leur organisation et leur fonction.
Des contacts professionnels et fonctions internes exposés
Les champs mentionnés dans la base revendiquée sont relativement simples, mais sensibles lorsqu’ils sont regroupés à grande échelle :
- nom ;
- prénom ;
- adresse email professionnelle ;
- numéro de téléphone ;
- organisation ou pôle de rattachement ;
- fonction ;
- source de la donnée.
Les exemples diffusés citent notamment des agents rattachés à des pôles de direction, comme le Pôle Ressources, le Pôle Solidarité Citoyenneté Culture, le Pôle Stratégie Développement Aménagement ou encore le Pôle Ingénierie et Services Urbains.
Une base qui cartographie l’organisation interne
Le point sensible ne réside pas uniquement dans les emails ou les numéros de téléphone. La base permet surtout de reconstituer une partie de l’organigramme opérationnel de la collectivité, avec les noms, postes, pôles et chaînes hiérarchiques associées.
Dans les extraits publiés, plusieurs fonctions de direction et d’assistance apparaissent. Ce type d’information peut être utilisé pour comprendre qui contacter, qui imiter et comment construire une attaque crédible contre une administration locale.
Une origine à manier avec prudence
Le champ source visible dans les exemples indique notamment organigramme. Cela peut suggérer une extraction, une consolidation ou une aspiration de données issues d’un organigramme ou d’un annuaire professionnel, plutôt qu’un vol direct d’une base critique.
En l’absence de confirmation officielle, plusieurs scénarios restent possibles : aspiration automatisée de pages publiques, accès à un annuaire interne, export mal sécurisé, fuite d’un fichier de contacts ou compromission d’un outil tiers. La revendication ne permet pas, à elle seule, de conclure à une compromission complète de l’infrastructure de Rennes Métropole.
Des risques importants de phishing ciblé
Une base de contacts d’agents publics peut être exploitée pour des campagnes de phishing ciblé, d’usurpation d’identité ou de fraude au président. Les attaquants peuvent utiliser les noms, fonctions et pôles de rattachement pour rédiger des messages très crédibles.
Les services administratifs, assistants de direction, directions générales adjointes et pôles ressources peuvent être particulièrement exposés. Un email frauduleux mentionnant un supérieur hiérarchique, un service interne ou un dossier administratif réel peut facilement gagner en crédibilité.
Un risque pour les agents et la collectivité
Pour les agents, le risque concerne surtout les sollicitations frauduleuses, les appels ciblés, les faux messages internes ou les tentatives de récupération d’identifiants. Pour la collectivité, le danger porte sur la cartographie de son organisation, qui peut servir de base à des attaques plus élaborées.
Même lorsque certaines informations sont professionnelles ou partiellement publiques, leur regroupement massif dans un fichier unique change l’échelle du risque. Une liste centralisée de plusieurs milliers d’agents devient un outil pratique pour l’ingénierie sociale.
Une fuite à confirmer officiellement
À ce stade, le nombre exact de personnes concernées, l’origine technique de la fuite et la période couverte par les données restent à confirmer. La revendication ne mentionne pas de mots de passe, de données bancaires ou de documents internes dans les échantillons fournis.
La publication doit néanmoins alerter, car les bases d’agents publics sont particulièrement utiles aux cybercriminels. Elles permettent d’identifier les bons interlocuteurs, de cibler les services sensibles et de préparer des attaques plus crédibles contre une collectivité locale.