Le ministère de l’Education nationale, Bercy ou encore l’ANTS (l’Agence nationale des titres sécurisés qui édite passeports et cartes d’identité)… ces dernières semaines, les services de l’Etat sont particulièrement visés par des cyberattaques. Et cela continue à en croire les informations de Clubic. Cette fois-ci, c’est Parcoursup, la plateforme nationale d'admission en première année des formations de l'enseignement supérieur, qui a été la victime de cybercriminels. En réalité, si le ministère de l’Education nationale vient de révéler l’affaire, elle date d’il y a six mois, en octobre 2025.
Mais la découverte n'a été faite qu’à la suite d’un signalement en mars dernier. Cette fuite de données concerne pas moins de 705 000 profils d’étudiants, tous résidant en région Occitanie. Comment ont-ils procédé ? Tout simplement en utilisant des identifiants de connexion valides. En effet, en octobre dernier, des pirates du web dérobent des logins et mots de passe de personnels de la région académique. Grâce à ces données, ils sont parvenus à pénétrer dans un espace de gestion interne réservé notamment au personnel administratif, expliquent nos confrères.
Statut boursier, scolarité, catégorie socio-professionnelle des parents…
Selon les éléments dévoilés par le ministère, et relayés par France 3 Occitanie, «l'exfiltration non autorisée de données à caractère personnel» concerne des candidatures rattachées aux sessions Parcoursup 2023 et 2025. Si elles sont terminées, elles posent question, car de nombreuses données personnelles se seraient évaporées dans la nature, des noms et prénoms aux dates de naissance, en passant par certaines adresses postales, adresses email ou numéros de téléphone. Et ce n’est pas tout !
Selon le ministère de l’Education nationale, des informations concernant le parcours de formation des candidats, leur statut boursier, leur scolarité et même des éléments ayant trait à la catégorie socio-professionnelle de leurs responsables légaux auraient fuité. Ce dernier élément ne concerne que les élèves mineurs au moment des faits. Si le ministère a été mis au courant au mois de mars, il a donc fallu plus d’un mois pour que les faits soient dévoilés publiquement.
Selon Clubic, la CNIL (Commission nationale de l'informatique et des libertés) a été informée, une plainte a été déposée auprès de la procureure de la République de Paris et les élèves concernés ont été informés personnellement. Depuis, les accès à ces espaces administratifs ont été considérablement renforcés, peut-on apprendre, notamment pour éviter qu’un simple login et mot de passe ne suffise pour avoir accès à ces données. En attendant, les étudiants de la région Occitanie des deux sessions concernées par cette cyberattaque sont invités à la plus grande prudence, notamment face au risque de phishing.
