Selon des publications diffusées sur les réseaux sociaux par le chercheur en cybersécurité Clément Domingo, alias SaxX, une plateforme aurait été compromise après l’utilisation d’un mot de passe particulièrement faible appartenant à un agent gouvernemental. L’attaque aurait permis l’exposition des données professionnelles de près de 60 000 agents publics. À ce stade, l’incident et son ampleur réelle reste toutefois à confirmer.
Une compromission qui partirait d’un mot de passe faible
L’alerte proviendrait d’un message publié sur les réseaux sociaux par Clément Domingo, connu sous le pseudonyme SaxX. Selon lui, la compromission d’une plateforme exposant des données professionnelles d’agents de l’État aurait été rendue possible à la suite de l’utilisation d’un mot de passe très simple : « Monmotdepasse1! ».
Cette faiblesse dans les pratiques d’authentification aurait permis à un attaquant d’accéder à un ensemble de données professionnelles. Toujours selon ces publications, près de 60 000 fiches d’agents auraient été extraites puis diffusées.
Les informations concernées seraient exclusivement professionnelles. Elles incluraient notamment le nom complet des agents, leur numéro de téléphone professionnel fixe et mobile, l’adresse de leur service, leur fonction ainsi que l’entité administrative à laquelle ils appartiennent.
🚨🔴🇫🇷 CYBERALERT | Le mot de passe “Monmotdepasse1!” d’un agent du gouvernement a permis le piratage d’une plateforme exposant les données professionnelles de 60 000 agents de l’état… 👇🏾
👉🏾 Nom complet
👉🏾 téléphone pro fixe
👉🏾 téléphone pro mobile
👉🏾 adresse du service
👉🏾… pic.twitter.com/qKT3EpfVgt— SaxX ¯\_(ツ)_/¯ (@_SaxX_) March 17, 2026
Des administrations et institutions publiques potentiellement concernées
Les données diffusées mentionneraient des agents issus de nombreuses administrations et institutions publiques. Parmi les organisations qui apparaîtraient dans les listes évoquées figureraient notamment plusieurs ministères et directions de l’État.
Les domaines associés aux adresses email concernées incluraient notamment developpement-durable.gouv.fr, justice.fr, dgfip.finances.gouv.fr, interieur.gouv.fr, diplomatie.gouv.fr ou encore intradef.gouv.fr. D’autres organismes publics apparaîtraient également, comme culture.gouv.fr, agriculture.gouv.fr, gendarmerie.interieur.gouv.fr ou douane.finances.gouv.fr.
Des institutions culturelles seraient aussi mentionnées dans les données publiées, notamment le Louvre ou la Bibliothèque nationale de France. Selon les messages diffusés, les profils concernés couvriraient une large diversité de fonctions : gendarmes, diplomates, responsables de service, directeurs d’unités, secrétaires ou encore agents administratifs.
Une exposition qui reposerait sur des identifiants retrouvés dans des logs
Dans ses publications, SaxX évoquerait également la présence d’identifiants dans des journaux techniques. Ces informations auraient été retrouvées sous la forme de chaînes de type URL:LOGIN:PASSWORD, ce qui laisserait penser que certains identifiants auraient été exposés dans des logs.
À ce stade, aucune confirmation officielle n’a été apportée concernant l’ampleur exacte de l’incident ou l’authenticité des données évoquées.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) appelait la semaine dernière à relativiser certaines revendications de cybercriminels. Dans un entretien accordé au Parisien, l’agence estimait qu’il existe souvent « beaucoup de bluff dans les vols de données ». Les semaines à venir diront s’il s’agit de bluff cette fois-ci, ou non.
