Environ 705 000 candidats Parcoursup des sessions 2023 et 2025 ont été victimes d'une fuite de données massive, comme le révèle le ministère de l'Enseignement supérieur ce jeudi 23 avril.
C'est en pleine session Parcoursup 2026 que le ministère de l'Enseignement supérieur annonce, ce jeudi, qu'un piratage a ciblé les données d'anciens candidats. Après des mois de silence et 705 000 profils aspirés, on apprend que des pirates ont utilisé des identifiants légitimes pour s'introduire dans un module interne de gestion Parcoursup dédié à la région académique Occitanie. De nombreuses informations personnelles sont dans la nature. La catastrophe continue pour les acteurs étatiques, quelques jours à peine après une nouvelle fuite de données chez les plus jeunes, au sein du ministère de l'Éducation nationale.
Un accès fantôme dans les entrailles de Parcoursup, et l'activité des pirates découverte des mois plus tard
Il faut remonter à l'automne 2025 pour comprendre que les hackers ont agi dans la plus grande discrétion. À ce moment-là, des pirates s'emparent des identifiants de connexion (donc login et mot de passe) d'employés de la région académique Occitanie, et s'en servent pour accéder à un espace de gestion interne de Parcoursup normalement réservé au personnel administratif. Une intrusion invisible, qui ne sera signalée qu'en mars 2026, soit cinq mois plus tard.
Dans leurs bagages, les cybercriminels ont emporté bien plus qu'une simple liste de noms. Pour chacun des 705 000 candidats concernés, ils disposent désormais d'une fiche quasi complète. Parmi les informations tombées entre leurs mains, on retrouvé tout ce qui est état civil, date de naissance, nationalité, mais aussi adresse postale, e-mail et numéro de téléphone. Auxquels s'ajoutent des données scolaires (filière suivie, formations demandées, statut de boursier) issues des sessions 2023 et 2025.
Pour les candidats qui étaient mineurs au moment de leur inscription, l'exposition est encore plus importante. Les fichiers volés contiennent en effet des informations sur leurs parents ou tuteurs légaux. Les pirates connaissent ainsi leur lien avec le candidat, mais aussi leur catégorie socio-professionnelle. Concrètement, le piratage ne touche pas seulement les jeunes concernés, mais il écorne aussi, indirectement, la vie privée de leurs familles.
Phishing, usurpation d'identité, les vrais risques qui guettent les 705 000 victimes de Parcoursup
Mis au courant courant mars 2026, le ministère de l'Enseignement supérieur a choisi de jouer franc jeu, même si l'annonce publique a tardé, jusqu'au 23 avril. La CNIL, le gendarme français de la protection des données personnelles, a été officiellement notifiée. Une plainte a par ailleurs été déposée auprès de la procureure de la République de Paris, et les candidats directement touchés ont reçu un message les informant de la situation.
Sur le plan technique, les équipes du ministère expliquent aussi leur démarche. Le module de gestion compromis a été sécurisé et anonymisé pour toutes les sessions, y compris celle de 2026 en cours. Les identifiants et mots de passe des personnels ont été réinitialisés, et les règles d'accès aux outils internes considérablement renforcées, pour éviter qu'un login volé ne suffise à nouveau à ouvrir des portes qui n'auraient jamais dû l'être.
Ces mesures ne referont pas l'histoire. Des données numériques volées ne se récupèrent pas. Elles peuvent continuer à circuler, être revendues ou exploitées longtemps après l'incident. Le ministère appelle d'ailleurs les personnes concernées à rester sur leurs gardes face aux e-mails suspects, aux arnaques en tout genre et aux tentatives d'usurpation d'identité qui pourraient survenir dans les prochains jours, les prochaines semaines. Des risques concrets lorsque nom, adresse et numéro de téléphone se retrouvent entre de mauvaises mains. Et une nouvelle cyber-déconvenue pour l'État français.
et je ne le vois pas s’auto condamner.
