← AI War Room
Cybersécurité

UNSS piratée : 1,5 million de photos de collégiens sur le darkweb et personne n'a vu venir la 2ème attaque

Tech4B2B · · 3 min (mis à jour le )
Illustration : UNSS piratée : 1,5 million de photos de collégiens sur le darkweb et personne n'a vu venir la 2ème attaque
  • Sujet: UNSS piratée : 1,5 million de photos de collégiens sur le darkweb et personne n'a vu venir la 2ème attaque
  • Date:
L'Union nationale du sport scolaire (UNSS) a confirmé avoir été victime d'un piratage informatique. Le groupe de hackers DumpSec a revendiqué, le 28 février 2026, le vol massif de données concernant des collégiens et lycéens licenciés auprès de la fédération sportive placée sous la tutelle du ministère de l'Éducation nationale. Au total, 1 557 000 photos d'identité d'élèves et 65 gigaoctets de données sensibles auraient été exfiltrés puis proposés à la vente sur le darknet par le groupe DumpSec. La date de l'exfiltration initiale : novembre 2025. La date de publication sur le darkweb : 28 février 2026. Délai entre le vol et la divulgation publique : trois mois. Ce détail, à lui seul, résume l'état de la cybersécurité dans le secteur éducatif français.

Placée sous la tutelle du ministère de l'Éducation nationale, l'UNSS regroupe chaque année environ 1,2 million de licenciés dans les établissements scolaires français. Son outil de gestion numérique, OPUSS, centralise les données de licences sportives scolaires — noms, prénoms, dates de naissance, établissements, photos d'identité, données d'assurance.

Ce qui aggrave considérablement la situation : la fédération sportive avait déjà fait l'objet d'une vaste cyberattaque en mars 2025. En juin 2025, deux jeunes pirates informatiques avaient par ailleurs revendiqué auprès du Parisien avoir forcé l'accès au site intranet. En juin 2025, l'intranet de l'UNSS avait été compromis, exposant potentiellement les données de près de 7,8 millions de profils de licenciés et anciens licenciés, selon une enquête de la presse nationale. Première attaque en mars 2025. Deuxième intrusion en juin 2025. Troisième exfiltration en novembre 2025, révélée publiquement en mars 2026. La séquence est celle d'une cible qui n'apprend pas de ses incidents.

Ce qui a été volé — et pourquoi c'est différent des autres fuites

Les informations concernées incluent notamment les noms, identifiants, dates de naissance, établissements scolaires et données d'assurance des élèves inscrits. Jusqu'ici, on reste dans le registre classique d'une fuite de données personnelles. Ce qui distingue cet incident de toutes les autres fuites de données françaises récentes, c'est la nature du contenu visuel : des photos d'identité de 1,557 million de mineurs, âgés de 11 à 18 ans.

Les clichés diffusés concernent des mineurs identifiables. Dans certains cas, ils sont associés à des noms, établissements scolaires et coordonnées. La combinaison de ces éléments ouvre la porte à des usages frauduleux, à des tentatives d'usurpation d'identité ou à des campagnes de harcèlement ciblé. La photo d'identité combinée à l'établissement scolaire et à la date de naissance constitue un kit de ciblage complet pour des acteurs malveillants — qu'il s'agisse de prédateurs, d'escrocs, ou d'acteurs d'ingénierie sociale ciblant les parents.

La commercialisation de données concernant des élèves du secondaire marque un cap inquiétant dans la monétisation de fuites impliquant des mineurs. Le groupe DumpSec aurait publié des preuves et proposerait la base à la vente. Ce n'est pas une divulgation accidentelle — c'est un marché organisé alimenté par des données scolaires françaises.

Le délai de réaction : trois mois d'exposition silencieuse

L'UNSS indique que l'exfiltration initiale des données remonterait à novembre 2025 et précise avoir immédiatement alerté son prestataire technique. Pourtant, la publication sur le darkweb a eu lieu le 28 février 2026 et la confirmation publique le 2 mars. Entre l'exfiltration et la notification aux familles : environ quatre mois. Les données d'1,5 million de mineurs ont potentiellement circulé sur des forums criminels pendant tout cet hiver sans que les parents ne soient informés.

Ce délai pose une question juridique directe : l'obligation de notification sous 72 heures à la CNIL prévue par le RGPD s'applique à la date de connaissance de la violation — pas à celle de sa publication publique. Si l'UNSS avait connaissance de l'exfiltration en novembre 2025 et n'a notifié la CNIL qu'en mars 2026, l'organisation s'expose à des sanctions significatives.

La responsabilité partagée : UNSS, prestataire, Éducation nationale

En coulisses, le portail semble lié à E-licence/Exalto, déjà associé à une vague d'intrusions en 2025. Le prestataire technique récurrent des fédérations sportives scolaires françaises serait donc impliqué dans plusieurs incidents successifs — sans que des mesures correctives suffisantes aient manifestement été imposées.

En tant que responsable de traitement, l'organisme doit démontrer qu'il a mis en œuvre des mesures de sécurité adaptées à la nature des données collectées. Le RGPD prévoit, en cas de manquement, des sanctions pouvant atteindre 4% du chiffre d'affaires annuel ou 20 millions d'euros. L'UNSS n'est pas une entreprise commerciale, mais la responsabilité administrative et civile peut être engagée. Et derrière l'UNSS, c'est l'Éducation nationale — donc l'État — qui assume in fine la tutelle de l'organisme et la responsabilité de la chaîne de sécurité.

Implications

Pour les DSI du secteur public et éducatif : L'affaire UNSS illustre un problème systémique français : les organismes para-publics gérant des données sensibles (notamment sur des mineurs) n'ont pas les moyens, les compétences, ni les exigences contractuelles pour garantir un niveau de sécurité proportionné à la sensibilité de leurs données. L'UNSS a engagé des mesures complémentaires de sécurisation : renforcement des procédures d'authentification, suppression des comptes inactifs, renouvellement systématique des mots de passe, lancement de nouveaux tests d'intrusion. Ces mesures sont les fondamentaux de la cyberhygiène — elles auraient dû être en place avant la première attaque de mars 2025.

Pour les RSSI : Trois enseignements pratiques. Premièrement : la récurrence des attaques sur la même cible signifie que la faille initiale n'a pas été complètement colmatée. Un incident ne se clôture pas avec une plainte et un communiqué — il se clôture avec un audit indépendant des corrections effectuées. Deuxièmement : les données photos de mineurs nécessitent une architecture de sécurité spécifique (chiffrement des URLs, accès temporaires, purge automatique). Stocker 1,5 million de photos d'identité d'enfants dans un système accessible via des URLs prévisibles est une faute de conception, pas seulement une faute opérationnelle. Troisièmement : le prestataire technique est dans la chaîne de responsabilité — les contrats doivent imposer des audits de sécurité réguliers, des certifications et des pénalités contractuelles en cas d'incident.

Pour les familles et établissements scolaires : Plusieurs réflexes s'imposent : surveiller d'éventuels messages suspects, renforcer les mots de passe liés aux comptes scolaires, signaler toute tentative d'hameçonnage. Plus spécifiquement pour les adolescents concernés : être vigilant face à des tentatives d'ingénierie sociale exploitant des informations scolaires précises (nom, établissement, classe) qui signaleraient normalement un interlocuteur de confiance.

Conclusion

Le piratage de l'UNSS n'est pas un accident isolé — c'est le résultat prévisible d'une chaîne de décisions insuffisantes sur plusieurs années. Trois attaques en douze mois sur la même plateforme, un prestataire récurrent associé à plusieurs incidents, des mesures correctives manifestement insuffisantes après chaque intrusion. Ce qui est en jeu ici dépasse la conformité RGPD : c'est la sécurité physique et numérique de 1,5 million d'enfants dont les visages, noms et établissements scolaires sont désormais dans des mains criminelles. La question que doit se poser l'Éducation nationale n'est pas "comment réagir à cette crise ?" — c'est "combien d'autres OPUSS existent en France, dans combien de fédérations sportives, d'associations périscolaires et d'outils de gestion éducative ?" La réponse est probablement terrifiante.

TL;DR

1,557 million de photos d'identité de collégiens et lycéens français, leurs noms, établissements et dates de naissance — volés en novembre 2025, mis en vente sur le darkweb en mars 2026 par le groupe DumpSec. Troisième attaque en douze mois sur la même cible.

  • Le groupe criminel DumpSec propose à la vente 65 Go de données dont 1,557 million de photos de mineurs identifiables avec leur établissement scolaire — une combinaison qui crée un risque direct de harcèlement, prédation et usurpation d'identité.
  • L'UNSS avait déjà été attaquée en mars 2025 et juin 2025 sans mesures correctives suffisantes. L'exfiltration de novembre 2025 n'a été divulguée publiquement qu'en mars 2026 — quatre mois d'exposition silencieuse, potentiellement en violation du délai de 72h RGPD.
  • La faille structurelle : un prestataire technique récurrent (E-licence/Exalto) associé à plusieurs incidents, des contrats de prestation sans exigences de cybersécurité proportionnées à la sensibilité des données, et une architecture de stockage des photos de mineurs sans chiffrement des URLs.


Questions fréquentes

Quels risques concrets les familles doivent-elles anticiper ?

Trois vecteurs principaux. L'ingénierie sociale : un inconnu qui connaît le nom, l'établissement, la classe et ressemble à la photo de votre enfant peut se faire passer pour un parent d'élève, un professeur ou un organisateur sportif. L'hameçonnage ciblé : des emails ou SMS contenant des informations scolaires précises (nom de l'établissement, date d'inscription UNSS) pour paraître légitimes auprès des parents. La création de faux profils : les photos associées à une identité complète peuvent alimenter des profils de réseaux sociaux frauduleux, du cyberharcèlement, ou pire. La recommandation immédiate pour les familles concernées : vérifier régulièrement les résultats de recherche Google pour le nom de votre enfant, activer les alertes Google, et sensibiliser l'adolescent aux tentatives de contact exploitant ses données scolaires.

L'UNSS et l'État sont-ils juridiquement responsables ?

L'UNSS est responsable de traitement au sens du RGPD — elle doit démontrer avoir mis en œuvre des mesures de sécurité "appropriées" à la sensibilité des données traitées. Après trois incidents en douze mois impliquant le même système, la démonstration sera difficile à faire. La CNIL dispose du pouvoir de sanctionner jusqu'à 20 millions d'euros ou 4% du budget. Mais la vraie question est celle du délai de notification : si l'exfiltration était connue en novembre 2025 et que la notification CNIL n'est intervenue qu'en mars 2026, le délai réglementaire de 72 heures n'a manifestement pas été respecté — ce qui constitue une violation distincte et sanctionnable. Des actions de groupe initiées par des associations de parents d'élèves sont juridiquement possibles en cas de préjudice démontré.

Comment les DSI du secteur public peuvent-ils éviter un incident similaire ?

Trois mesures prioritaires applicables immédiatement : (1) Audit des architectures de stockage de photos de mineurs — vérifier que les URLs d'accès aux images sont aléatoires, temporaires, et ne peuvent pas être devinées ou listées. (2) Revue des contrats avec prestataires de gestion — imposer des certifications de sécurité (HDS, ISO 27001), des tests d'intrusion annuels et des pénalités contractuelles en cas d'incident lié à leur infrastructure. (3) Plan de notification 72h — avoir un protocole documenté et testé pour notifier la CNIL et les personnes concernées dans les délais réglementaires, avec un arbre de décision clair sur ce qui constitue une "violation" à notifier.

Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.