Piratage de Parcoursup : 705 000 candidats victimes d’une fuite de données
Une nouvelle faille de sécurité d’ampleur a été révélée dans le système d’orientation post-bac français. Le ministère de l’Enseignement supérieur a confirmé qu’environ 705 000 candidats aux sessions 2023 et 2025 de Parcoursup, dans la région académique Occitanie, ont été affectés par une fuite de données massive.
Une intrusion silencieuse et tardivement révélée
L’incident, qui remonte à l’automne 2025, a vu des pirates informatiques exploiter des identifiants de connexion légitimes d’employés administratifs pour accéder à un module interne de gestion de Parcoursup. Ces accès non autorisés sont restés indétectés pendant plusieurs mois, la brèche n’étant signalée qu’en mars 2026, soit un décalage de près de cinq mois. Cette longue période d’invisibilité a permis aux cybercriminels de dérober une quantité considérable d’informations personnelles.
Données compromises : un profil quasi complet
Les données dérobées sont particulièrement sensibles. Elles incluent pour chaque candidat :
- État civil complet
- Date de naissance
- Nationalité
- Adresse postale, adresse e-mail et numéro de téléphone
- Informations scolaires (filière, formations demandées, statut de boursier)
La situation est d’autant plus préoccupante que pour les candidats mineurs au moment de leur inscription, les informations relatives à leurs parents ou tuteurs légaux, y compris leur lien de parenté et leur catégorie socio-professionnelle, ont également été compromises.
Les risques pour les victimes : phishing et usurpation d’identité
Suite à la découverte de la faille, le ministère a immédiatement notifié la CNIL et déposé une plainte. Les mesures correctives ont été prises, incluant la sécurisation et l’anonymisation du module affecté, ainsi que la réinitialisation des identifiants du personnel et le renforcement des règles d’accès.
Cependant, le préjudice est déjà causé. Les données volées peuvent être revendues ou exploitées illicitement. Le ministère appelle donc les personnes concernées à la plus grande vigilance face aux potentielles tentatives de phishing, aux arnaques et aux risques d’usurpation d’identité qui pourraient découler de cette fuite. L’incident souligne une nouvelle fois la vulnérabilité des systèmes informatiques de l’administration française face aux cyberattaques.
