Veille Technologique

Le 23 mars 2026, le CROUS (Centre Régional des Œuvres Universitaires et Scolaires) a été victime d'une cyberattaque ciblant sa plateforme de prise de rendez-vous mesrdv.etudiant.gouv.fr. L'incident a exposé les données de 774 000 étudiants et anciens étudiants sur une période couvrant les dix dernières années. Le groupe de cybercriminels DumpSec a revendiqué l'attaque, affirmant avoir dérobé environ 198 gigaoctets de données.

Le périmètre de la fuite varie selon les profils. Pour 635 000 personnes, les données exposées se limitent aux noms, prénoms, adresses e-mail, ainsi qu'à l'objet et la date des rendez-vous. Pour 139 000 autres personnes, la situation est plus grave : des pièces jointes déposées sur la plateforme ont également été exfiltrées, pouvant inclure des documents d'identité, certificats de scolarité ou fiches de paie. Dès la détection de l'incident, l'accès à la plateforme a été suspendu et le CNOUS a déposé plainte tout en effectuant un signalement auprès de la CNIL et de l'ANSSI.

Cet incident s'inscrit dans un contexte de recrudescence d'attaques ciblant le secteur éducatif français. Il rappelle l'importance cruciale pour tout développeur BTS SIO de placer la sécurité au cœur de la conception applicative ("Security by Design") et de respecter strictement les préconisations de la CNIL et du RGPD.

Le 15 avril 2026, une cyberattaque d'envergure nationale a frappé France Titres, anciennement connue sous le nom d'Agence Nationale des Titres Sécurisés (ANTS), l'organisme chargé de la gestion des titres d'identité et des documents officiels en France. L'incident a conduit à l'exposition des données personnelles d'environ 11,7 millions de comptes, aussi bien des particuliers que des professionnels.

Les données compromises comprennent les noms, prénoms, adresses e-mail, dates de naissance, et dans certains cas des numéros de téléphone et adresses postales. Les autorités ont cependant précisé que les données bancaires, mots de passe, données biométriques et pièces justificatives numérisées n'ont pas été exposés. L'enquête a rapidement permis d'identifier la faille exploitée : il s'agit d'une vulnérabilité de type IDOR (Insecure Direct Object Reference), une faille classique mais redoutable permettant d'accéder à des ressources appartenant à d'autres utilisateurs en manipulant les identifiants dans les requêtes HTTP.

L'affaire a pris une tournure surprenante lorsque les enquêteurs ont identifié l'auteur de l'attaque : un mineur de 15 ans, opérant sous le pseudonyme "breach3d", a été mis en examen pour avoir exploité seul cette vulnérabilité. Cet incident illustre à la fois la sophistication croissante des attaques menées par de très jeunes individus, et la fragilité des infrastructures publiques face à des vulnérabilités de sécurité applicative pourtant connues et documentées de longue date.

Cet événement intervient dans un contexte de multiplication des incidents affectant des organismes d'État français, après l'attaque du CROUS début 2026. Il souligne l'urgence d'un audit systématique des API exposées sur les plateformes gouvernementales et la nécessité d'une approche "Security by Design" dans tout développement logiciel public.

Face à une multiplication sans précédent des cyberattaques visant les organismes d'État français — avec en moyenne trois vols de données par jour enregistrés depuis le début de l'année 2026 selon le Premier ministre Sébastien Lecornu — le gouvernement a annoncé début mai 2026 un plan d'urgence articulé autour de trois axes majeurs.

Le premier axe est financier : une enveloppe de 200 millions d'euros est débloquée pour permettre aux ministères de réaliser des "audits flash", d'identifier leurs vulnérabilités et de renforcer la protection de leurs systèmes d'information. Le second axe est organisationnel : la création d'une Autorité nationale pour le numérique et l'IA, née de la fusion de la DINUM et de la DITP, placée directement auprès du Premier ministre, afin de casser le fonctionnement en "silos" des infrastructures numériques de l'État.

Le troisième axe est technique : le recours accru à l'intelligence artificielle pour la détection de vulnérabilités et la mise en place d'exercices d'auto-attaque (red teaming) pour tester la résilience des systèmes avant qu'ils ne soient exploités. La ministre Anne Le Hénanff a néanmoins tempéré ces annonces, soulignant que ces 200 millions restent insuffisants à long terme face à un sous-investissement chronique : certains ministères ne consacrent que 1 à 5 % de leur budget IT à la cybersécurité, loin du seuil recommandé de 10 %.

La vague de cyberattaques frappant la France en 2026 ne se limite pas aux organismes d'État centraux. L'Agence Nationale des Fréquences (ANFR), chargée de la gestion du spectre radioélectrique en France, ainsi que la Fédération Française de Basketball (FFBB) ont toutes deux subi des violations de données exposant des informations personnelles de leurs utilisateurs, licenciés et représentants légaux.

Ces incidents illustrent un phénomène désormais systémique : aucun secteur n'est épargné, qu'il soit régalien, éducatif ou sportif. Les attaquants ciblent en priorité les organismes dont les systèmes d'information sont anciens, peu maintenus ou exposés sur Internet sans mécanismes de protection modernes. La FFBB, comme beaucoup de fédérations sportives, dispose de ressources IT limitées, ce qui en fait une cible relativement facile pour des groupes organisés.

Ces attaques s'inscrivent dans le contexte alarmant relevé par le Premier ministre : la France enregistre en moyenne trois incidents de vol de données par jour depuis le début de l'année 2026. Ce rythme place le pays parmi les cibles les plus actives en Europe et justifie le plan d'urgence cybersécurité annoncé par le gouvernement ce même mois.