Un piratage a entraîné la fuite de 705 000 candidats liés aux sessions Parcoursup 2023 et 2025 en Occitanie, avec des données personnelles, scolaires et familiales particulièrement sensibles. Surtout, l’affaire révèle qu’un simple accès frauduleux à un module interne a suffi à exposer un volume massif d’informations, dans un contexte où les cyberattaques contre les services publics s’accumulent.
L’ampleur de l’incident est principalement due à la nature des données volées. Les informations volées ne se limitent pas aux noms, prénoms ou coordonnées : elles comprennent également la nationalité, la date de naissance, les détails de la formation, le statut de bourse et le parcours de formation des candidats concernés.
Pour les mineurs, le périmètre est encore plus sensible. Le lien de parenté ainsi que la catégorie socioprofessionnelle des tuteurs légaux figurent également parmi les données exfiltrées, ce qui augmente fortement les risques de ciblage en cas de fraude ou d’usurpation d’identité.
L’incident n’a pas été détecté au moment des événements d’octobre 2025, mais a été signalé au ministère en mars. Selon les informations communiquées aujourd’hui, l’attaque a été rendu possible par l’utilisation frauduleuse d’un compte donnant accès à un module de gestion de données Parcoursup normalement réservé aux personnels de la région académique Occitanie.
Ce point est central car il montre que le compromis ne repose pas sur une simple exposition publique de la plateforme. Il passe par un compte autorisé, utilisé frauduleusement, ce qui pose directement la question de la protection des accès internes et des droits accordés aux outils administratifs sensibles.
Le ministère indique avoir saisi la CNIL et déposé une plainte auprès du parquet de Paris. Il affirme également que les équipes techniques ont été immédiatement mobilisées pour renforcer la sécurité du système.
Une nouvelle alerte sur les données éducatives
Le ministère appelle désormais les utilisateurs concernés à être vigilants face à d’éventuelles tentatives de phishing, de fraude ou d’usurpation d’identité. Ce type de fuite est particulièrement exploitable car il combine l’identité, les coordonnées et les informations générales qui peuvent rendre les messages frauduleux plus crédibles.
Ce cas n’est pas isolé. Au début du mois, le ministère de l’Éducation nationale évoquait déjà les données des étudiants exposées après une cyberattaque visant ÉduConnect, tandis qu’en mars le portail Compas a divulgué les informations de 243 000 agents et stagiaires, principalement des enseignants.
Le constat devient encore plus large avec l’ANTS (qui gère notamment les cartes d’identité et les permis de conduire), où sont concernés 11,7 millions de comptes. Parcoursup s’ajoute ainsi à une série d’incidents qui remettent en cause la sécurité des bases de données publiques contenant des données personnelles à grande échelle.
