Une cyberattaque a touché la plateforme Parcoursup. Le ministère de l’Enseignement supérieur a annoncé, jeudi 23 avril, que les données personnelles de 705 000 candidats avaient été dérobées lors d’un piratage informatique survenu en octobre 2025.
Cette fuite de données concerne des candidats liés aux sessions Parcoursup 2023 et 2025 dans la région Occitanie. L’incident n’a été signalé aux équipes du ministère qu’au mois de mars 2026, soit plusieurs mois après la cyberattaque.
Dans un communiqué, le ministère précise que plusieurs types d’informations personnelles et scolaires ont été compromis. Les autorités appellent désormais les usagers concernés à rester vigilants face aux risques d’arnaques ou d’usurpation d’identité.
Une fuite de données Parcoursup concernant 705 000 candidats
Selon les informations communiquées par le ministère, 705 000 candidats ayant utilisé la plateforme Parcoursup ont été touchés par cette fuite de données.
Les candidats concernés sont ceux qui résidaient en Occitanie ou avaient formulé des vœux dans cette région lors des sessions Parcoursup 2023 ou 2025.
La cyberattaque remonte à octobre 2025, mais elle n’a été détectée et signalée aux équipes du ministère que courant mars 2026, soit près de six mois plus tard. L’information a finalement été rendue publique le 23 avril. Les candidats concernés ont été informés individuellement par les autorités.
Quelles données Parcoursup ont été piratées ?
La fuite des données concerne plusieurs catégories d’informations personnelles stockées dans le système. Parmi les données piratées figurent notamment :
- Les noms et prénoms ;
- La nationalité ;
- La date de naissance ;
- L’adresse postale ;
- L’adresse électronique ;
- Les numéros de téléphone.
Mais les pirates ont également eu accès à des informations liées à la scolarité des candidats. Cela inclut par exemple :
- Le statut de boursier ;
- Des éléments sur la scolarité ;
- Le parcours de formation suivi par les candidats.
Pour les candidats mineurs, certaines données concernant leurs responsables légaux ont également été compromises. Il s’agit notamment du lien de parenté et de la catégorie socioprofessionnelle.
Ces informations peuvent être sensibles, car elles permettent parfois de cibler plus facilement certaines personnes dans des tentatives de fraude.
Une cyberattaque rendue possible par un accès interne
D’après les premières informations communiquées par le ministère, la cyberattaque n’est pas liée à une faille directe de la plateforme Parcoursup elle-même.
La fuite de données aurait été rendue possible par l’utilisation frauduleuse d’un compte permettant d’accéder à un module de gestion des données. Cet outil est normalement réservé aux personnels de la région académique Occitanie. Grâce à cet accès, les pirates ont pu consulter et extraire les informations présentes dans le système. Le ministère indique que les équipes techniques ont été immédiatement mobilisées après la découverte de l’incident afin de renforcer les mesures de sécurité et de bloquer les accès concernés. Les données compromises ne sont désormais plus accessibles.
Le ministère saisit la CNIL et dépose plainte
À la suite de cette fuite de données, le ministère de l’Enseignement supérieur a saisi la Commission nationale de l’informatique et des libertés (CNIL), l’autorité chargée de veiller à la protection des données personnelles en France.
Une plainte a également été déposée auprès du parquet de Paris afin d’ouvrir une enquête sur cette cyberattaque.
Dans ce type de situation, les autorités doivent informer les personnes concernées et mettre en place des mesures pour limiter les risques liés à la diffusion des données.
Parcoursup : les candidats appelés à la vigilance
Même si la faille a été corrigée, les autorités invitent les candidats concernés à faire preuve de vigilance dans les prochaines semaines.
Une fuite de données personnelles peut en effet être exploitée par des fraudeurs pour mener différentes attaques, notamment :
- Des tentatives de phishing (hameçonnage) ;
- Des escroqueries en ligne ;
- Des tentatives d’usurpation d’identité.
Concrètement, les candidats doivent rester prudents face aux e-mails, messages ou appels qui demanderaient des informations personnelles.
Il est conseillé de ne jamais transmettre de données sensibles et de vérifier systématiquement l’identité de l’expéditeur avant de cliquer sur un lien ou de répondre à un message.
