Les données personnelles de 705 000 anciens candidats à Parcoursup ont été volées. La cyberattaque est survenue l’automne dernier. Il aura fallu cinq mois au ministère pour s’apercevoir de l’exfiltration des informations….
La cyberattaque s’est déroulée dans l’ombre. En octobre 2025, un attaquant est parvenu à s’infiltrer dans un module informatique interne de Parcoursup, le portail national d’orientation post-bac utilisé par des centaines de milliers de lycéens chaque année. Le pirate n’a pas lancé une attaque frontale contre les serveurs de Parcoursup. Il s’est simplement servi des identifiants d’un agent de la région académique Occitanie.
Avec les identifiants en sa possession, il a pu se faire passer pour l’agent et entrer dans le système. Sans se faire repérer, il a pu accéder tranquillement à un outil interne de gestion des données. C’est l’une des techniques les plus répandues dans les cyberattaques visant les services publics français. Comme toujours, les fuites de données alimentent d’autres fuites de données. Plus il y a d’informations en ligne, plus les cybercriminels disposent de munitions pour orchestrer d’autres cyberattaques.
À lire aussi : Hack de l’Agence Nationale des Titres Sécurisés – 2 failles de sécurité n’ont jamais été corrigées, tacle un chercheur
Les données de 705 000 personnes dans la nature
Une fois entré par la grande porte, le pirate a pu s’emparer des données personnelles des candidats ayant formulé des vœux ou résidant en Occitanie lors des sessions 2023 et 2025. Selon les équipes du ministère de l’Enseignement supérieur, de la Recherche et de l’Espace, la fuite concerne 705 000 anciens candidats.
L’étendue des informations volées est particulièrement vaste. Parmi les informations compromises, on trouve les noms, prénoms, dates de naissance et nationalités des victimes, les adresses postales, adresses e-mail et les numéros de téléphone. Des données scolaires ont aussi été piratées, comme la filière suivie, la formation envisagée, et le statut de boursier. Dans le cas des candidats mineurs, l’attaquant a aussi pu mettre la main sur des informations sur leurs parents ou tuteurs légaux, comme le lien de parenté et la catégorie socioprofessionnelle. Toutes ces données peuvent alimenter des arnaques ciblées.
Avec un nom, un prénom, une adresse e-mail et des informations sur le parcours scolaire, un escroc peut rédiger un message très crédible, personnalisé et difficile à distinguer d’une communication authentique de Parcoursup ou du ministère. Le ministère appelle « l’ensemble des usagers concernés à la vigilance sur d’éventuelles tentatives d’hameçonnage (phishing), d’escroquerie ou d’usurpation d’identité qui restent possibles à la suite de cette divulgation ».
À lire aussi : Les Magasins U ont été piratés – les données des clients ont été compromises
Une cyberattaque qui a failli passer inaperçue
Conformément à la loi et au RGPD, le ministère a saisi la CNIL (Commission nationale de l’informatique et des libertés) et déposé plainte auprès du parquet de Paris. Des mesures de sécurité renforcées ont été mises en place à la suite de la découverte de la fuite. Les « équipes techniques ont été immédiatement mobilisées pour mettre en place les mesures de sécurisation renforcées : anonymisation du module de gestion affecté pour toutes les sessions, session 2026 comprise ; révision des identifiants et mots de passe et durcissement des conditions d’accès », détaille le communiqué.
Ce qui rend cet incident particulièrement préoccupant, c’est le délai de réaction des autorités concernées. L’attaque n’a en effet été signalée aux équipes du ministère de l’Enseignement supérieur que « courant mars » 2026, soit près de cinq mois après les faits. En d’autres termes, la fuite a bien failli passer inaperçue. Pour le moment, on ignore comment le ministère s’est finalement rendu compte de la cyberattaque. Le communiqué parle uniquement « d’un signalement », qui pourrait provenir d’un chercheur en sécurité. À ce stade, on ignore si les informations compromises sont déjà diffusées sur des marchés noirs du dark web.
Cette nouvelle fuite survient quelques jours après le piratage de l’Agence Nationale des Titres Sécurisés (ANTS), organisme chargé de délivrer cartes d’identité, passeports, permis de conduire et certificats d’immatriculation. Elle s’ajoute à la longue liste des fuites de données survenues en France ces derniers mois et qui ont touché énormément de services publics, tels que l’Éducation nationale, et Service-public.gouv.fr. Face à la résurgence des attaques, la France a contre-attaqué en interpellant l’un des hackers responsables de l’explosion des fuites, un pirate qui se fait appeler « HexDex ».
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.