● 01net 📅 24/04/2026 à 08:47

Fuite de données chez Parcoursup : la cyberattaque est passée inaperçue pendant cinq mois

Géopolitique 👤 Florian Bayard
Illustration
© Unsplash Les données personnelles de 705 000 anciens candidats à Parcoursup ont été volées. La cyberattaque est survenue l’automne dernier. Il aura fallu cinq mois au ministère pour s’apercevoir de l’exfiltration des informations…. La cyberattaque s’est déroulée dans l’ombre. En octobre 2025, un attaquant est parvenu à s’infiltrer dans un module informatique interne de Parcoursup, le portail national d’orientation post-bac utilisé par des centaines de milliers de lycéens chaque année. Le pirate n’a pas lancé une attaque frontale contre les serveurs de Parcoursup. Il s’est simplement servi des identifiants d’un agent de la région académique Occitanie. Avec les identifiants en sa possession, il a pu se faire passer pour l’agent et entrer dans le système. Sans se faire repérer, il a pu accéder tranquillement à un outil interne de gestion des données. C’est l’une des techniques les plus répandues dans les cyberattaques visant les services publics français. Comme toujours, les fuites de données alimentent d’autres fuites de données. Plus il y a d’informations en ligne, plus les cybercriminels disposent de munitions pour orchestrer d’autres cyberattaques. À lire aussi : Hack de l’Agence Nationale des Titres Sécurisés – 2 failles de sécurité n’ont jamais été corrigées, tacle un chercheur Les données de 705 000 personnes dans la nature Une fois entré par la grande porte, le pirate a pu s’emparer des données personnelles des candidats ayant formulé des vœux ou résidant en Occitanie lors des sessions 2023 et 2025. Selon les équipes du ministère de l’Enseignement supérieur, de la Recherche et de l’Espace, la fuite concerne 705 000 anciens candidats. L’étendue des informations volées est particulièrement vaste. Parmi les informations compromises, on trouve les noms, prénoms, dates de naissance et nationalités des victimes, les adresses postales, adresses e-mail et les numéros de téléphone. Des données scolaires ont aussi été piratées, comme la filière suivie, la formation envisagée, et le statut de boursier. Dans le cas des candidats mineurs, l’attaquant a aussi pu mettre la main sur des informations sur leurs parents ou tuteurs légaux, comme le lien de parenté et la catégorie socioprofessionnelle. Toutes ces données peuvent alimenter des arnaques ciblées. Avec un nom, un prénom, une adresse e-mail et des informations sur le parcours scolaire, un escroc peut rédiger un message très crédible, personnalisé et difficile à distinguer d’une communication authentique de Parcoursup ou du ministère. Le ministère appelle « l’ensemble des usagers concernés à la vigilance sur d’éventuelles tentatives d’hameçonnage (phishing), d’escroquerie ou d’usurpation d’identité qui restent possibles à la suite de cette divulgation ». À lire aussi : Les Magasins U ont été piratés – les données des clients ont été compromises Une cyberattaque qui a failli passer inaperçue Conformément à la loi et au RGPD, le ministère a saisi la CNIL (Commission nationale de l’informatique et des libertés) et déposé plainte auprès du parquet de Paris. Des mesures de sécurité renforcées ont été mises en place à la suite de la découverte de la fuite. Les « équipes techniques ont été immédiatement mobilisées pour mettre en place les mesures de sécurisation renforcées : anonymisation du module de gestion affecté pour toutes les sessions, session 2026 comprise ; révision des identifiants et mots de passe et durcissement des conditions d’accès », détaille le communiqué. Ce qui rend cet incident particulièrement préoccupant, c’est le délai de réaction des autorités concernées. L’attaque n’a en effet été signalée aux équipes du ministère de l’Enseignement supérieur que « courant mars » 2026, soit près de cinq mois après les faits. En d’autres termes, la fuite a bien failli passer inaperçue. Pour le moment, on ignore comment le ministère s’est finalement rendu compte de la cyberattaque. Le communiqué parle uniquement « d’un signalement », qui pourrait provenir d’un chercheur en sécurité. À ce stade, on ignore si les informations compromises sont déjà diffusées sur des marchés noirs du dark web. Cette nouvelle fuite survient quelques jours après le piratage de l’Agence Nationale des Titres Sécurisés (ANTS), organisme chargé de délivrer cartes d’identité, passeports, permis de conduire et certificats d’immatriculation. Elle s’ajoute à la longue liste des fuites de données survenues en France ces derniers mois et qui ont touché énormément de services publics, tels que l’Éducation nationale, et Service-public.gouv.fr. Face à la résurgence des attaques, la France a contre-attaqué en interpellant l’un des hackers responsables de l’explosion des fuites, un pirate qui se fait appeler « HexDex ». 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. cyberattaquefrancefuite de donnéesvol de données Florian Bayard Sur le même sujet Hack de l’Agence Nationale des Titres Sécurisés : 2 failles de sécurité n’ont jamais été corrigées, tacle un chercheur Fuite de données : la France arrête le hacker responsable de l’explosion des cyberattaques Les Magasins U ont été piratés : les données des clients ont été compromises Cartes d’identités, passeports, permis : 12 millions de comptes victimes de la fuite de données de l’ANTS Meilleur antivirus 2026 : quel est le meilleur choix ? Quel est le meilleur VPN ? Meilleur stockage cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes 2026 Meilleur gestionnaire de mots de passe : le guide en avril 2026 Meilleur VPN gratuit : 7 services à choisir et 2 à fuir Les dernières actualités Instagram lance une appli inspirée de Snapchat et BeReal Fuite de données chez Parcoursup : la cyberattaque est passée inaperçue pendant cinq mois Coros lance une nouvelle Pace 4 : la monte de sport coûte toujours moins de 300 euros Google Photos : gros changements en vue pour l’onglet Collections Test Apple AirPods Max 2 : le casque qui règne en maître… et refuse de vieillir La TV Mini LED TCL à prix bas pour préparer la coupe du monde chez Boulanger Écrans géants et 728 km d’autonomie : la nouvelle BMW i7 se dévoile La Chine est la championne mondiale du recyclage d’appareils électroniques Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour