Fuite massive de données Parcoursup : une cyberattaque silencieuse de cinq mois

Une intrusion méthodique exploitant les identifiants d’un agent public

En octobre 2025, un attaquant a infiltré le système Parcoursup non pas via une faille technique, mais en exploitant les identifiants d’un agent de la région académique Occitanie. Cette technique, dite de compromission de compte légitime, est devenue monnaie courante dans les cyberattaques ciblant les administrations françaises. Le pirate a utilisé ces identifiants pour se faire passer pour un utilisateur autorisé, contournant ainsi les mécanismes de détection basés sur l’authentification classique.

L’attaque s’est déroulée dans un module interne de Parcoursup, un portail centralisant les vœux des lycéens pour l’enseignement supérieur. Contrairement à une attaque frontale contre les serveurs, cette méthode permet de rester indétectable plus longtemps, car l’activité semble légitime aux yeux des systèmes de surveillance. Les logs d’accès n’ont révélé aucune anomalie, faute de détection comportementale avancée.

Exfiltration ciblée : 705 000 profils compromis sur trois années

Une fois infiltré, l’attaquant a ciblé les données des candidats ayant formulé des vœux ou résidant en Occitanie lors des sessions 2023, 2024 et 2025. Au total, 705 000 profils ont été exfiltrés, incluant des informations sensibles comme les noms, prénoms, adresses e-mail, numéros de téléphone et parfois des données bancaires liées aux frais de dossier. La durée de l’intrusion (cinq mois) a permis une extraction progressive, limitant les risques de détection par des analyses de trafic réseau.

Les données volées couvrent une période étendue, ce qui augmente leur valeur pour les cybercriminels. Elles peuvent être utilisées pour des attaques par phishing, du chantage, ou vendues sur le dark web. Les services publics, souvent perçus comme moins sécurisés que le secteur privé, deviennent des cibles privilégiées pour des attaques à grande échelle.

Déficiences des mécanismes de détection : l’illusion de la sécurité

Le ministère de l’Éducation nationale a mis cinq mois à détecter l’exfiltration, malgré l’utilisation d’outils de surveillance standard. Cette latence s’explique par plusieurs facteurs : absence de détection en temps réel, manque de corrélation entre les logs d’accès et les comportements anormaux, et absence de segmentation réseau stricte. Les systèmes de Parcoursup, comme beaucoup de plateformes publiques, reposent sur des architectures monolithiques où les accès internes ne sont pas suffisamment isolés.

Les audits de sécurité post-incident ont révélé que les alertes automatiques étaient configurées pour des seuils trop élevés, rendant les intrusions lentes et discrètes invisibles. De plus, l’absence de chiffrement au repos pour certaines données sensibles a facilité leur extraction. Ces lacunes illustrent un retard criant dans l’adoption des bonnes pratiques de cybersécurité, notamment dans les administrations.

Architecture de Parcoursup : un maillon faible dans la chaîne publique

Parcoursup repose sur une architecture centralisée, hébergée sur des serveurs internes du ministère, avec des interfaces web et des API pour les établissements scolaires. Le module compromis, utilisé pour la gestion des données candidates, était connecté à une base de données SQL non segmentée, accessible via des requêtes directes. Cette conception, typique des systèmes hérités, ne respecte pas le principe de moindre privilège, où chaque utilisateur n’a accès qu’aux données nécessaires à sa fonction.

Les logs d’accès étaient stockés localement, sans réplication en temps réel vers un système de détection d’intrusion (IDS) externe. Cette centralisation des données et des logs limite la résilience face aux attaques. Par ailleurs, l’absence de multi-factor authentication (MFA) pour les comptes administratifs a joué un rôle clé dans la réussite de l’attaque, malgré les recommandations de l’ANSSI.

Conséquences juridiques et réputationnelles : un coût bien au-delà des données

Cette fuite de données expose le ministère à des sanctions du RGPD, avec des amendes potentielles pouvant atteindre 4% du budget annuel de l’institution, soit plusieurs millions d’euros. Au-delà de l’aspect financier, la réputation de Parcoursup est durablement affectée, avec un risque de perte de confiance des lycéens et de leurs familles. Les données exfiltrées pourraient aussi être utilisées pour des attaques en chaîne, comme des usurpations d’identité ou des fraudes aux diplômes.

Les candidats concernés devront surveiller leurs comptes bancaires et leurs e-mails pour détecter d’éventuelles tentatives de phishing. Le ministère a annoncé un renforcement des mesures de sécurité, mais la question reste : pourquoi une telle faille a-t-elle persisté si longtemps ? Les réponses pourraient venir d’un audit indépendant, comme celui réalisé après l’attaque contre l’ANTS en 2024.

Recommandations techniques pour éviter de nouvelles fuites

Pour prévenir de futures intrusions, le ministère devrait implémenter une segmentation réseau stricte, isolant les modules internes des accès externes. L’adoption d’un SIEM (Security Information and Event Management) permettrait une corrélation en temps réel des logs, avec des alertes configurées pour des comportements anormaux, comme des accès hors heures de bureau ou des téléchargements massifs de données.

La généralisation du MFA pour tous les comptes administratifs, y compris ceux des agents régionaux, est une priorité. De plus, le chiffrement des données sensibles au repos et en transit, couplé à des audits réguliers des permissions d’accès, réduirait significativement les risques. Enfin, la formation des agents à la détection des techniques d’ingénierie sociale (comme le phishing) est cruciale pour limiter les compromissions de comptes.

Parcoursup dans le viseur : un symbole des failles systémiques

Cette attaque n’est pas un cas isolé, mais le symptôme d’un problème plus large : la cybersécurité des services publics français reste en retard par rapport aux standards internationaux. Les systèmes hérités, souvent maintenus pour des raisons de compatibilité, sont des cibles faciles pour des attaquants motivés. Les budgets alloués à la cybersécurité sont souvent insuffisants, et les priorités se concentrent sur l’innovation plutôt que sur la protection des données.

Le cas Parcoursup rappelle que même les plateformes les plus critiques, comme celles gérant l’orientation des jeunes, peuvent être vulnérables. La question n’est plus de savoir si une nouvelle fuite surviendra, mais quand. Et cette fois, avec des données aussi sensibles, les conséquences pourraient être bien plus graves que cinq mois de silence.

Entre négligence et fatalisme, la cybersécurité publique reste un chantier ouvert

On pourrait ironiser sur le fait que Parcoursup, un outil censé guider les futurs étudiants vers leur avenir, a mis cinq mois à réaliser qu’un intrus fouillait dans ses données. Mais derrière l’anecdote se cache une réalité moins drôle : celle d’une administration qui, malgré les alertes répétées, tarde à moderniser ses défenses. Entre budgets serrés, inertie organisationnelle et sous-estimation des risques, la cybersécurité publique ressemble parfois à un jeu de patience… où le perdant est toujours le citoyen.