Vous avez déjà pris rendez-vous en ligne pour renouveler votre carte d’identité ou votre passeport ? Moi oui, des dizaines de fois. C’est pratique, rapide, et on se dit que c’est sécurisé parce que c’est la mairie, quand même. Et puis arrive ce mail, un vendredi soir, qui vous glace le sang : vos données personnelles viennent de fuiter. Pas chez un géant du e-commerce, non. Chez votre mairie. Bienvenue dans la nouvelle réalité 2025.
Une brèche béante dans le quotidien administratif des Français
Imaginez : plus de 1 300 communes, de Brest à La Rochelle en passant par Clichy ou Issy-les-Moulineaux, touchées par le même incident. L’outil qui permet de réserver son créneau pour l’état civil a été piraté. Résultat ? Des dizaines de milliers de noms, prénoms, adresses mail, numéros de téléphone et codes postaux se baladent désormais quelque part sur le dark web ou entre les mains de escrocs particulièrement motivés.
Ce n’est pas une petite fuite. C’est une hémorragie. Et le plus rageant, c’est que ça aurait pu être évité avec des mesures toutes bêtes que l’on répète pourtant depuis des années.
Comment tout a commencé : un mot de passe recyclé
Le point d’entrée ? Un compte employé d’une mairie. Rien de sophistiqué. Les pirates ont simplement repris un duo email + mot de passe qui traînait déjà dans d’anciennes fuites (vous savez, ces bases de données vendues 10 euros sur certains forums). On appelle ça du credential stuffing. Et ça marche encore en 2025, malheureusement.
Une fois dedans, les attaquants ont exploité une faille dans le logiciel de prise de rendez-vous – un module qui, visiblement, n’était pas assez blindé. Quelques lignes de code plus tard, ils exportaient tranquillement les informations de tous les usagers ayant pris rendez-vous durant le mois d’octobre.
« Un mot de passe malheureusement utilisé sur d’autres plateformes a été recyclé » – c’est l’aveu même de l’entreprise concernée.
Autrement dit : quelqu’un, quelque part, a utilisé le même mot de passe pour son compte Netflix, son forum préféré et… le logiciel administratif de sa mairie. Et boum.
Quelles données exactement sont parties en balade ?
- Nom et prénom complet
- Adresse mail personnelle
- Numéro de téléphone portable (souvent)
- Code postal et parfois ville précise
- Date et heure du rendez-vous prévu
- Type de démarche (passeport, CNI, acte de naissance…)
Heureusement, pas de données bancaires, pas de copies de documents officiels, pas de mots de passe. Mais franchement, est-ce que ça rassure vraiment ? Avec un nom, un numéro et une adresse mail, un escroc un peu doué peut faire des ravages.
Pourquoi ça nous touche tous, même si notre mairie n’est pas dans la liste
Parce que l’effet domino est déjà en route. Ces données vont être revendues, croisées avec d’autres fuites, et utilisées pour des campagnes de phishing ultra-ciblées. « Bonjour Madame Dupont, nous confirmons votre rendez-vous passeport du 12 décembre à 14h30, merci de cliquer ici pour finaliser votre dossier… » Vous voyez le genre.
J’ai déjà vu des amis tomber dans des pièges similaires. Une dame de 72 ans qui a donné ses coordonnées bancaires parce que « c’était la mairie qui appelait ». Sauf que non.
Que faire concrètement si vous êtes concerné (ou pensez l’être)
Première chose : vous avez probablement reçu un mail d’information. Lisez-le attentivement. L’entreprise a déployé un outil pour prévenir automatiquement les victimes.
- Vigilance maximale sur vos mails et SMS – ne cliquez sur aucun lien qui prétend venir de la mairie si ce n’est pas le site officiel.
- Activez l’authentification à deux facteurs partout où c’est possible, surtout sur votre boîte mail.
- Changez vos mots de passe si vous pensez avoir réutilisé le même quelque part (et utilisez un gestionnaire de mots de passe, sérieusement).
- Soyez particulièrement méfiant les prochains mois : appels suspects, messages étranges, tout est possible.
- Signalez toute tentative d’arnaque sur la plateforme officielle du gouvernement ou directement à votre mairie.
Et non, changer votre mot de passe mairie ne sert à rien : il n’y en a pas, c’est l’employé qui était compromis, pas vous directement.
Le paradoxe français : on numérise tout, mais on sécurise mal
On nous vante FranceConnect, le dossier numérique unique, la dématérialisation totale d’ici 2030… Et dans le même temps, des outils utilisés par des milliers de mairies reposent sur des bases de sécurité dignes des années 2010.
Je ne jette la pierre à personne – les petites communes n’ont ni les moyens ni les compétences internes pour gérer ça. Mais confier la prise de rendez-vous à un prestataire extérieur sans audit régulier, sans double authentification obligatoire pour les comptes administrateurs, c’est jouer à la roulette russe.
Quand la sécurité repose sur la bonne volonté des utilisateurs finaux, on sait déjà comment ça finit.
Et maintenant ? Vers une prise de conscience collective ?
Cet incident n’est pas isolé. On a vu les mêmes scénarios chez des opérateurs télécom, des enseignes de surgelés, des plateformes d’emploi publiques… La liste est interminable. À un moment, il va falloir que l’État impose des standards minimaux de cybersécurité à tous les prestataires qui touchent aux données des Français.
Parce que sinon, on continue à rafistoler après chaque catastrophe. La faille a été corrigée, l’incident déclaré à la CNIL, une plainte déposée. Ok. Et la prochaine ?
Personnellement, je trouve ça épuisant. On demande aux citoyens d’être ultra-vigilants, de ne plus réutiliser leurs mots de passe, de vérifier chaque mail… pendant que des outils critiques tournent avec des protections minimales. Il y a comme un déséquilibre.
Le mot de la fin : on n’a plus le choix
Cet épisode chez plus de 1 300 mairies n’est qu’un symptôme. La numérisation massive de l’administration est en marche, et elle est globalement une bonne chose. Mais elle doit s’accompagner d’une cybersécurité à la hauteur. Pas après coup. Pas quand c’est déjà trop tard.
En attendant, on garde les yeux ouverts, on se méfie des appels et des mails trop bien informés, et on croise les doigts pour que la prochaine fuite concerne quelqu’un d’autre.
Même si, soyons honnêtes, on sait tous que ce n’est qu’une question de temps.
Prenez soin de vos données. Elles sont devenues la nouvelle monnaie d’échange du XXIe siècle – et visiblement, tout le monde veut sa part.
