“Ce ne sont que des emails”… jusqu’au jour où ça ne l’est plus
À chaque nouvelle fuite de données, le même refrain revient en boucle :
“Rien de sensible”, “Données déjà publiques”, “Pas de piratage des systèmes”.
Circulez, il n’y a rien à voir.
Sauf que si.
Et l’affaire récente concernant 127 membres de l’Assemblée nationale française est une démonstration presque pédagogique de cette mauvaise habitude bien française : minimiser ce qu’on ne comprend pas encore.
Parmi les élus concernés figurent François Ruffin, Olivier Faure, Alexis Corbière, Aymeric Caron et Benjamin Haddad, ainsi que d’autres élus actuels ou passés. Les données exposées comprennent des emails professionnels, des numéros de téléphone, ainsi que diverses informations PERSONNELLES, dont des adresses postales professionnelles et PRIVÉES.
🧠Spoiler : ce n’est pas une fuite. C’est pire.
Non, les systèmes de l’Assemblée nationale n’ont pas été piratés.
Non, aucune base interne n’a été siphonnée.
Mais oui, des données personnelles ont été publiées.
Et non, ce n’est absolument pas rassurant.
Pourquoi ?
Parce que ces informations ont été reconstituées par corrélation, à partir :
- de fuites télécoms,
- de bases e-commerce compromises,
- de prestataires logistiques un peu trop bavards,
- de bases RH oubliées sur un serveur,
- et de données institutionnelles librement accessibles.
👉 Autrement dit : le SI n’a pas fui, l’écosystème oui.
📂 “Ce ne sont que des données basiques” — vraiment ?
Les données exposées incluent :
- 📧 adresses email professionnelles,
- 📞 numéros de téléphone personnels et pro,
- 🏠adresses postales professionnelles… et parfois privées.
Pas de mots de passe.
Pas de numéros de carte bancaire.
Pas de secrets d’État.
Et pourtant… c’est exactement ce que veulent les attaquants.
Parce que ce type d’informations permet :
- de lancer du phishing ultra ciblé,
- de faire de l’ingénierie sociale crédible,
- d’usurper une identité sans forcer,
- de préparer des attaques indirectes (assistants, collaborateurs, proches),
- ou tout simplement de nourrir des bases de données “premium”.
🧩 Le vrai danger : le puzzle, pas la pièce
Une adresse email seule ? Peu d’intérêt.
Un numéro de téléphone seul ? Bof.
Une adresse postale seule ? Anecdotique.
Mais assemblez le tout.
Ajoutez une fonction, un mandat, une exposition médiatique.
Croisez avec d’autres bases.
🎯 Et vous obtenez un profil exploitable, souvent plus fiable qu’un CRM mal maintenu.
En cybersécurité, le risque n’est jamais isolé.
Il est cumulatif.
Progressif.
Silencieux.
❓ “Mais est-ce que les numéros sont exacts ?”
Bonne question.
Et mauvaise excuse.
Même si certains numéros étaient obsolètes ou erronés, cela ne change rien :
- un attaquant n’a pas besoin de 100 % de précision,
- il a besoin de vraisemblance.
Un email bien formulé, un appel crédible, un ton assuré…
Et la cible fait le reste toute seule.
🚨 L’erreur classique : confondre public et inoffensif
Dire “ces infos sont déjà publiques” est l’un des raisonnements les plus dangereux en cybersécurité.
Ce qui pose problème, ce n’est pas :
- que l’information existe,
- mais qu’elle soit agrégée, structurée et exposée avec une intention malveillante.
Une info dispersée est pénible à exploiter.
Une info centralisée devient un levier.
🛡️ Conclusion — La cybersécurité, ce n’est pas que du firewall
Cette affaire rappelle une vérité simple, mais dérangeante :
👉 la cybersécurité ne se limite pas à protéger des serveurs.
Elle concerne aussi :
- la maîtrise de son empreinte numérique,
- la gestion des données personnelles,
- la responsabilité des partenaires,
- et surtout… la culture du risque.
Parce qu’en matière de fuite de données,
👉 ce n’est jamais grave tout de suite.
👉 C’est grave plus tard.
Et c’est souvent là que tout le monde fait semblant de tomber des nues.
