Un prétendu cybercriminel a tenté de discréditer la SNCF avec une fausse base de données mise en ligne. Le fichier partagé en ligne contient des données improbables, probablement créées avec un outil d’intelligence artificielle.
Comme un goût de buzz programmé. Le 11 juin, un prétendu cybercriminel a affirmé détenir une base de données exfiltrée de SNCF Connect, l'application de réservation de billets de la plateforme ferroviaire. Un échantillon a été publié en ligne à titre de « preuve ». Très vite, les experts en cybersécurité ont décelé plusieurs éléments trompeurs, dont un en particulier : la présence d'un Iban et d'un Bic (que l'on trouve sur les relevés d'identité bancaire)s dans la liste d'infos clients. Or, rappelons-le, il n'est pas nécessaire de fournir son Iban pour acheter un billet sur SNCF Connect.
Contactée par La Tribune, la SNCF nous a indiqué qu'« une enquête approfondie a immédiatement été lancée ». Le groupe précise qu'« à ce stade, rien ne permet de confirmer que les données concernées proviennent de nos systèmes ou appartiennent à SNCF Connect. La protection des données de nos clients est notre priorité et nous poursuivons les investigations ».
Pour l'instant, le principal soupçon est que cette base soit en réalité un faux généré par un chatbot d'intelligence artificielle. Un hackeur éthique contacté par La Tribune n'a pas écarté cette hypothèse après analyse de l'échantillon, même s'il reste difficile de l'attester formellement.
De fausses bases de données facilement générées par IA
De fait, ce procédé a déjà été utilisé récemment. Début 2024, un hackeur avait affirmé avoir dérobé une vaste base de données clients d'Europcar. Après enquête, il s'était avéré que toutes les informations avaient été générées par IA. En 2025, des pirates avaient également tenté de faire chanter des établissements scolaires à l'aide de données artificielles.
Il demeure difficile, voire impossible, dans bien des cas, de prouver qu'une ligne de données a été produite par un chatbot. Seuls des éléments improbables ou incohérents peuvent trahir un fichier fictif.
Newsletter
Tech & IA
Chaque jour à 13h, l’essentiel de l’actualité tech.
Pour un malfaiteur, cela peut ne prendre que quelques heures : il suffit de copier la structure d'une base existante, puis de générer un fichier suffisamment volumineux en le faisant passer pour celui d'un grand groupe. Pour l'entreprise visée, en revanche, cela implique un réel travail d'investigation pour vérifier qu'aucune donnée n'a été exfiltrée, même en passant par un partenaire.