774 000 étudiants piratés après la cyberattaque du Crous, quels risques concrets ?

774.000 étudiants ou ex-étudiants sont concernés par une exfiltration de données liée au Crous, via la plateforme de prise de rendez-vous mesrdv. etudiant. gouv. fr, utilisée pour contacter les services sociaux et logement. Le Centre national des uvres universitaires et scolaires, le Cnous, dit avoir pris connaissance de l’incident le 23 mars 2026 et a engagé les démarches réglementaires, dont une déclaration à la Cnil et un dépôt de plainte.

Dans le détail, l’organisme distingue deux niveaux d’exposition. 139.000 personnes auraient vu des pièces jointes déposées sur la plateforme exfiltrées, tandis que 635.000 autres n’auraient été touchées que par des données dites limitées, comme l’identité, l’adresse mail, l’objet et la date du rendez-vous. La fuite a été revendiquée par un groupe se présentant sous le nom de DumpSec, avec la promesse d’une base de données volumineuse mise en vente.

Le Cnous confirme 774.000 victimes via mesrdv. etudiant. gouv. fr

Le point de départ identifié par le Cnous concerne mesrdv. etudiant. gouv. fr, la plateforme de prise de rendez-vous des services sociaux et logement des Crous. L’établissement parle d’une exfiltration de données portant sur des rendez-vous pris sur les dix dernières années. Concrètement, cela signifie que des personnes sorties du système universitaire depuis longtemps peuvent être concernées, au même titre que des étudiants actuellement inscrits.

Le chiffre officiellement communiqué est de 774.000 personnes. La précision compte, parce que des estimations plus hautes ont circulé, en mélangeant parfois le volume de rendez-vous et le nombre de victimes. Pour le grand public, la nuance est technique, mais elle change la perception du risque, et surtout le nombre de personnes à informer. Le Cnous promet de prévenir chaque personne concernée.

Dans les données dites très limitées, l’organisme évoque le nom, le prénom, l’adresse mail, l’objet et la date du rendez-vous. Même sans numéro de sécurité sociale ni coordonnées bancaires mentionnés dans ce périmètre, ce type d’informations suffit à monter des scénarios de fraude. Un mail qui reprend votre nom et une date de rendez-vous peut sembler crédible, surtout dans un contexte de précarité étudiante.

Un responsable cybersécurité d’une université francilienne, interrogé dans le cadre de cet article, résume le problème de façon très concrète, quand un attaquant connaît l’objet d’un rendez-vous, il tient un angle d’attaque psychologique, logement, aide sociale, urgence financière. Le Cnous reconnaît le caractère systémique des menaces, ce qui revient à admettre que l’éducation est devenue une cible régulière, pas un accident isolé.

139.000 pièces jointes exfiltrées, l’hypothèse des documents d’identité

Le Cnous indique que 139.000 personnes ont fait l’objet d’une exfiltration de pièces jointes déposées dans l’application. L’organisme ne détaille pas la nature exacte des fichiers, et c’est là que la zone d’ombre commence. Dans les échanges liés à des dossiers de logement ou d’aide sociale, les pièces jointes peuvent être très variées, justificatifs, attestations, documents administratifs.

Des informations publiques attribuées au groupe se présentant comme DumpSec évoquent une base d’environ 200 Go et la présence de copies de pièces d’identité ou de bulletins de salaire. Le Cnous, sollicité sur ce point, ne confirme pas si ces éléments figurent dans ce qui a été compromis. Cette prudence est classique dans une gestion de crise, tant que l’analyse forensique n’a pas listé précisément les fichiers.

Si des documents d’identité figurent dans les pièces jointes, l’impact potentiel change d’échelle. Une copie de carte d’identité ou de passeport peut alimenter des tentatives d’usurpation, ouverture de comptes, location frauduleuse, ou constitution de dossiers falsifiés. Même quand la fraude échoue, la victime passe du temps à prouver qu’elle n’est pas à l’origine des démarches, avec parfois des conséquences sur l’accès au logement.

Je n’ai pas envie de découvrir dans six mois qu’un dossier de location a été monté avec mon nom, glisse Clara, 22 ans, étudiante à Lyon, qui utilise la plateforme de rendez-vous pour des questions de logement. Elle dit surtout craindre les relances par mail, un faux message qui parle du Crous et qui demande de renvoyer une pièce jointe, je peux tomber dedans. Ce risque d’hameçonnage ciblé est l’un des plus immédiats.

DumpSec revendique la fuite, FrenchBreaches évoque 1,9 million de rendez-vous

La fuite a été revendiquée par un groupe se présentant comme DumpSec, déjà cité dans d’autres incidents touchant des organismes publics. Dans ce type de cas, la revendication sert souvent un objectif simple, créer de la crédibilité pour vendre. Les attaquants publient parfois un échantillon de données, puis annoncent un volume massif pour attirer des acheteurs sur des forums clandestins.

Des informations relayées par le site de veille FrenchBreaches ont évoqué jusqu’à 1,9 million d’éléments, présentés comme des étudiants concernés. La lecture la plus prudente, reprise dans la couverture spécialisée, est qu’il s’agirait plutôt du nombre de rendez-vous ou d’enregistrements, pas du nombre de personnes distinctes. Dans les bases administratives, une même personne peut apparaître plusieurs fois sur dix ans.

FrenchBreaches a aussi parlé de 329.000 documents exposés, un chiffre qui, là encore, ne correspond pas nécessairement à 329.000 victimes différentes. Ce type d’écart entre estimations et communication officielle alimente une défiance, on nous cache des choses, même quand l’explication est simplement statistique. La difficulté, pour le Cnous, est de rassurer sans minimiser, et de préciser sans fournir d’indices utiles aux fraudeurs.

Un consultant en réponse à incident, Marc L., décrit ce moment comme la phase où tout le monde compte différemment. Il rappelle qu’une base peut contenir des doublons, des champs incomplets, des pièces jointes multiples par dossier. Son point de vigilance est ailleurs, ce qui compte, c’est la qualité des données, pas seulement le volume. Un seul document d’identité bien lisible vaut plus, sur le marché noir, que mille lignes d’emails.

Quels risques pour les étudiants: phishing, usurpation, pression psychologique

Le premier risque, le plus probable et le plus rapide, est l’hameçonnage. Avec un nom, un prénom, une adresse mail, et surtout l’objet d’un rendez-vous, un escroc peut envoyer un message très crédible, votre dossier logement est incomplet, votre rendez-vous a été déplacé. Même sans lien malveillant, une simple demande de renvoi de document peut suffire à récupérer une pièce d’identité.

Deuxième risque, l’usurpation d’identité si des pièces jointes sensibles ont été exfiltrées. Une copie de document officiel peut être réutilisée pour des démarches variées. Le danger est renforcé par la situation de nombreuses victimes potentielles, étudiants, alternants, jeunes actifs, souvent en phase de recherche de logement. Les fraudeurs savent que la pression du calendrier, rentrée, examens, fin de bail, rend les gens moins vigilants.

Troisième risque, moins visible mais réel, la pression psychologique et la manipulation. Le fait qu’un rendez-vous ait eu lieu avec un service social peut être intime. Même si le contenu n’est pas détaillé, l’objet du rendez-vous peut révéler une difficulté financière, un besoin d’aide, une situation personnelle. Ce type d’information peut être utilisé pour pousser à payer vite, ou pour faire peur, avec des messages qui menacent de bloquer un dossier.

Sur le terrain, les réflexes de protection sont connus mais inégalement appliqués. Ne pas cliquer sur un lien reçu par mail, vérifier l’adresse d’expéditeur, passer par les canaux officiels, et changer les mots de passe si une réutilisation existe. Un responsable informatique d’un Crous régional rappelle une règle simple, aucune demande urgente de documents ne doit passer uniquement par mail. La difficulté, c’est que les étudiants vivent déjà dans l’urgence administrative.

Le Crous face à une série noire éducative et aux obligations Cnil

Le Cnous dit avoir effectué une déclaration auprès de la Cnil et engagé un dépôt de plainte. Dans le cadre du RGPD, la notification et l’information des personnes concernées sont des étapes clés, tout comme la documentation des mesures prises. Pour les victimes, ce calendrier compte, parce qu’il conditionne la capacité à réagir vite, surveiller ses comptes, se méfier des sollicitations, et garder des preuves.

Cette affaire s’inscrit dans une séquence plus large touchant le monde éducatif. Des données d’environ 243.000 agents de l’Éducation nationale ont été piratées à la mi-mars, et l’Enseignement catholique a annoncé une attaque exposant des données administratives de 1,5 million de personnes. Le Crous n’est donc pas une exception, mais un maillon de plus dans une chaîne d’organismes fortement numérisés et très sollicités.

La critique qu’on entend déjà, c’est pourquoi une plateforme de rendez-vous conserve dix ans d’historique. La réponse n’est pas toujours simple, parce que l’archivage et la traçabilité sont aussi des obligations. Mais une conservation longue augmente mécaniquement l’impact d’une fuite. L’enjeu est de limiter ce qui est stocké, de segmenter, et de réduire la surface d’attaque, plutôt que d’empiler des fonctionnalités sans revoir l’architecture.

Le Cnous affirme renforcer sa politique de sécurité de façon continue. C’est nécessaire, mais la formule peut sembler trop générale pour des victimes qui veulent des faits, quelles données, quel périmètre, quelles pièces jointes, quelles protections. La prochaine étape attendue est une information claire, personnalisée, et surtout actionnable. Sans cela, la crise se déplace, du piratage initial vers une vague de fraudes opportunistes qui exploitent la confusion.