Campus France piraté : 18 000 dossiers d’étudiants étrangers en vente sur un forum cybercriminel

L’alerte est tombée le 29 avril 2026 ^[1] sur un forum de cybercriminalité ^[2]. Un acteur malveillant affirme avoir compromis une base de données liée à la plateforme Campus France ^[3], plus précisément au sous-domaine toucan.campusfrance.org ^[4]. Le butin annoncé: environ 18 000 candidatures ^[5], pour un volume de 430 Mo ^[6] au format JSON ^[7].

LES ENJEUX

Souveraineté numérique de l'enseignement supérieur

Les données des candidats internationaux constituent un actif stratégique du soft power français. Leur fuite, si elle est confirmée, expose un angle mort de la cyberdéfense académique.

Cinquième brèche documentée en sept mois

CNOUS, Parcoursup, université d'Angers, France Éducation international, et désormais Campus France: plus de 7 millions de profils ont fuité depuis octobre 2025 sur les seuls cas avérés.

Conformité RGPD à vérifier

L'article 33 du RGPD impose une notification à la CNIL sous 72 heures. Le manquement expose à 20 M€ ou 4 % du CA mondial (art. 83). Aucune communication officielle de Campus France n'est publique à ce stade.

Risque d'hameçonnage ciblé durable

Le format des données (nom, formation, établissement, pays) permettrait, en cas d'authentification, la construction de campagnes d'ingénierie sociale exploitables pendant plusieurs années.

Pourquoi la France explose

23,5 millions de comptes compromis au T1 2026 (+109 %). L'adoption de l'IA double la surface d'attaque, la dette technique des plateformes publiques fait le reste.

Le périmètre exposé serait précis. Nom ^[8], prénom ^[9], adresse email ^[10], date ^[11], description ^[12], pays ^[13], formations ^[14] et établissements ^[15] visés. En clair: tout ce qu’il faut, si la base est authentique, pour reconstituer un profil complet et lancer une campagne d’hameçonnage ciblée. Le bulletin d’alerte le formule sans détour: « Les informations exposées permettent d’identifier directement les personnes concernées et de reconstituer des profils complets » ^[16].

Une revendication, pas encore une certitude

Première précaution: à ce stade, l’authenticité complète des données et l’origine exacte de la fuite restent à confirmer ^[21]. La revendication vise un sous-domaine spécifique, ce qui suggère la compromission d’un service applicatif plutôt que du système central ^[22]. Pourquoi alors traiter l’incident comme s’il était avéré? Parce que la pratique journalistique en cybersécurité impose une logique de précaution: sur les quatre incidents comparables documentés depuis octobre 2025 ^[23] - CNOUS, Angers, Parcoursup, France Éducation international ^[24] - les revendications publiées sur forums se sont à chaque fois confirmées, parfois avec six mois de retard ^[25]. Tant que Campus France ^[26] n’a pas authentifié ou démenti la base, l’analyse de risque doit s’appuyer sur l’hypothèse haute. Tous les développements qui suivent sont donc à lire au conditionnel: ils décrivent les conséquences si la revendication s’avère exacte.

Campus France ^[26], opérateur public chargé de la promotion de l’enseignement supérieur français à l’étranger, est à distinguer de son programme spécialisé CampusArt, animé par l’Agence Campus France ^[27] et regroupant plus de 150 établissements ^[28] partenaires sous le soutien des ministères de l’Enseignement supérieur, de la Recherche et de l’Espace ^[29], de l’Europe et des Affaires étrangères ^[30] et de la Culture ^[31]. La revendication vise toutefois un sous-domaine de campusfrance.org, soit l’opérateur lui-même - pas le réseau CampusArt. Sa mission principale d’attractivité internationale recoupe celle de l’enseignement supérieur sur tout le territoire.

Cinq brèches en sept mois

L’incident, s’il se confirme, ne tombe pas dans le vide. Il s’inscrit dans une série noire que personne n’a encore additionnée. Le 23 mars 2026, le CNOUS confirme une exfiltration depuis mesrdv.etudiant.gouv.fr ^[32] touchant 774 000 étudiants ^[17] sur une période de dix ans ^[33]. Un échantillon de 5 000 lignes ^[34] avait déjà été diffusé par une entité se présentant sous le nom de Dumpsec ^[35]. Le 15 avril 2026, l’université d’Angers dépose plainte ^[36] après l’extraction de 127 400 fiches ^[18] depuis la plateforme ip’Oline ^[37], opérée via AlumnForce ^[38]. En octobre 2025 ^[23], Parcoursup avait déjà perdu 705 000 dossiers ^[19] de candidats des sessions 2023 et 2025 en Occitanie ^[39][40], signalé six mois après les faits ^[25]. En janvier 2026, France Éducation international ^[24] perdait les données d’état civil de 5,8 millions de candidats DELF et DALF ^[20][41][42] depuis 2005 ^[43], via la compromission de trois comptes externes ^[44] avec identifiants valides ^[45].

Additionnez: sur ces seuls quatre cas avérés, plus de sept millions de profils étudiants ou candidats français et étrangers ont fuité en moins d’un an. Avec Campus France ^[26] en cinquième position, le bilan dépasse la circonstance et dessine un schéma. Aucun bilan consolidé n’existe pourtant à l’échelon ministériel.

Pourquoi la France explose

Selon Surfshark ^[46], la France a enregistré 23,5 millions de comptes compromis ^[47] au premier trimestre 2026 ^[48], deuxième pays au monde derrière les États-Unis et leurs 60,3 millions ^[49]. La hausse atteint +109 % ^[50] par rapport au dernier trimestre 2025 ^[51]. Rapporté à un trimestre, cela représente près de trois comptes compromis chaque seconde ^[52] sur le territoire. Depuis 2004 ^[53], la France cumule 211,9 millions d’adresses email uniques touchées ^[54], avec une moyenne de 3,5 compromissions par adresse ^[55]. Les estimations du volume total cumulé de comptes compromis depuis 2004 divergent selon les sources: Surfshark, repris par Les Numériques, avance 740,9 millions ^[56] tandis qu’une seconde source sectorielle (itpro.fr) cite le même chiffre de 740,9 millions ^[57] mais retient 211,9 millions d’adresses uniques ^[58] - les deux publications s’appuient sur la même étude Surfshark mais agrègent différemment les périmètres « comptes » et « adresses uniques ». De même, pour le premier trimestre 2026, Les Numériques situe le total mondial à 210,3 millions de comptes compromis ^[59] quand itpro.fr reprend ce chiffre ^[60]: les volumes français (23,5 millions ^[61]) et américains (60,3 millions ^[49][62]) sont des sous-ensembles nationaux du total mondial.

Comment expliquer ce doublement en un trimestre? La cause structurelle première est l’élargissement de la surface d’attaque. En 2025, 20,2 % des entreprises françaises déclaraient utiliser l’IA ^[63], contre 8,7 % en 2023 ^[64] - un doublement en deux ans qui s’accompagne mécaniquement d’une multiplication des plateformes interconnectées, des API exposées et des bases de données concentrées pour entraîner les modèles. Tomas Stamulis, responsable de la sécurité chez Surfshark ^[65], pose le diagnostic: « À mesure que les entreprises adoptent l’IA, elles stockent davantage de données utilisateurs, multiplient les systèmes numériques et intègrent plus de plateformes. Cela améliore leur efficacité, mais crée aussi davantage de points de vulnérabilité » ^[66].

À cette cause technologique s’ajoute un facteur propre au secteur public académique: la dette technique. Les plateformes Parcoursup, mesrdv.etudiant.gouv.fr, ip’Oline ou GAEL reposent sur des architectures applicatives anciennes, souvent sous-traitées à des prestataires externes (AlumnForce pour Angers, comptes externes pour France Éducation international ^[24]). Trois des quatre incidents documentés avant Campus France ^[26] impliquent un accès via des identifiants valides ou un compte compromis, pas une intrusion par exploit zero-day. Ce n’est pas la défense de pointe qui cède: c’est la chaîne de confiance des accès périphériques. La sous-administration des RSSI dans les opérateurs publics universitaires - rarement nommés, rarement dotés - fait le reste.

Souveraineté numérique: l’angle mort

Voilà l’angle que les communiqués évitent. Campus France ^[26] est l’opérateur du soft power universitaire français. Ses bases de données contiennent les noms, pays d’origine, formations visées et établissements ciblés par les candidats internationaux qui choisissent la France plutôt que les États-Unis, le Royaume-Uni ou l’Allemagne. Ce sont précisément ces données qu’un État rival, ou un acteur travaillant pour son compte, chercherait à exploiter pour identifier et démarcher des talents en amont de leur arrivée sur le sol français. Les 42 000 étudiants marocains ^[67] présents en France en 2025 selon Campus France ^[68] illustrent l’enjeu géopolitique.

Plus largement, les bases de candidatures étrangères ne sont pas un dommage collatéral: elles peuvent constituer un objectif pour des acteurs étatiques ou para-étatiques. Le bulletin d’alerte ne nomme pas l’auteur. Le format JSON, la taille modeste de 430 Mo et la mise en vente publique évoquent un acteur cybercriminel classique. Mais une fois la base diffusée, elle est consultable par n’importe quel service de renseignement.

Le cadre légal qui s’imposerait à Campus France

L’article 33 du Règlement général sur la protection des données impose au responsable de traitement de notifier toute violation de données à caractère personnel à l’autorité de contrôle - en France, la CNIL - dans un délai de 72 heures après en avoir pris connaissance. Selon la CNIL ^[71], l’opérateur doit procéder à une notification initiale dans les meilleurs délais à la suite de la constatation de la violation ^[72], puis à une notification complémentaire dans le délai de 72 heures ^[69] après la notification initiale ^[73]. Si le délai est dépassé, les motifs du retard doivent être expliqués ^[74]. L’article 34 du RGPD impose lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, d’informer directement les personnes concernées ^[70].

La notification doit indiquer le nombre approximatif de personnes concernées ^[75], les catégories d’enregistrements ^[76], les conséquences probables ^[77] et les mesures prises pour éviter la répétition ^[78]. Le manquement à ces obligations de notification relève de l’article 83§4 du RGPD, qui prévoit une amende administrative pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total - le montant le plus élevé étant retenu. Les manquements aux principes de base du traitement (art. 83§5) relèvent quant à eux du plafond supérieur de 20 millions d’euros ou 4 % du chiffre d’affaires. À la date de publication, aucune communication officielle de Campus France ^[26] n’a été rendue publique sur cet incident.

Ce que les sources ne disent pas

Trois questions demeurent sans réponse. Premièrement, l’identité de l’acteur malveillant: aucun nom, aucun pseudonyme attribué à cette revendication précise du 29 avril, contrairement à Dumpsec ^[35] pour le CNOUS ou HexDex ^[79] pour Parcoursup. Deuxièmement, le prix de vente de la base: le bulletin mentionne « diffusion ou mise en vente » ^[3] sans préciser. Troisièmement, et c’est l’absence la plus frappante: aucune source consultée ne documente la chronologie de la détection par Campus France ^[26], ni la date de notification à la CNIL. L’alerte vient d’un veilleur privé, pas de l’opérateur public. C’est la marque récurrente des cinq incidents documentés en sept mois: la fuite est révélée par les attaquants ou par des chercheurs, rarement par l’établissement victime.

Verdict

Sur 23,5 millions de comptes français compromis au premier trimestre ^[47], 18 000 candidatures Campus France pèsent peu. Mais le poids ne fait pas le risque. Une base de candidats internationaux, vendue 430 Mo en JSON sur un forum, c’est - si elle est authentique - un kit d’ingénierie sociale clé en main. Tomas Stamulis le résume: « Les fuites ont des effets: les données volées peuvent circuler et être exploitées pendant des années, bien après l’incident initial » ^[80]. Dit autrement: un candidat marocain à un établissement français ayant déposé son dossier en 2026 ^[48] serait ciblable plusieurs années plus tard. La messe est dite. L’enseignement supérieur français a perdu sept millions de profils en douze mois sur les seuls cas avérés. Personne ne tient le compte consolidé. C’est précisément le problème.