ChimeraZ : trois fuites massives de données françaises en un jour

Le 14 mai 2026, le hacker ChimeraZ a revendiqué trois nouvelles fuites de données ciblant des institutions françaises : EFC Formation, le Collège de France et l’Union Professionnelle des Associations. Au total, plus de 61 000 records sont exposés, dont des IBAN, noms complets et adresses parisiennes.

Ce qui s’est passé le 14 mai 2026

En une seule journée, ChimeraZ a publié simultanément trois brèches sur des forums underground. L’information a été relayée par le compte expert @VECERTRadar sur X, qui monitore les publications de threat actors ciblant des organisations françaises.

La fuite la plus volumineuse concerne EFC Formation, organisme de formation professionnelle. Selon @VECERTRadar et cyberattaque.org, environ 49 000 records (1,3 GB) ont été publiés. Les données incluent noms, prénoms, numéros d’inscription, dates d’inscription et adresses. Une seconde archive, selon cyberattaque.org, contiendrait plus de 60 683 documents PDF pour un volume total de 41 GB, proposée à la vente sur un forum cybercriminel.

La fuite du Collège de France - établissement public d’enseignement supérieur et de recherche basé à Paris - porte sur 1 600 records. L’identité précise des personnes concernées (chercheurs, personnels administratifs, auditeurs) n’a pas été confirmée à ce stade. L’Union Professionnelle des Associations est la troisième cible : 11 000 records liés aux données d’associations professionnelles et commerciales ont été publiés, selon @VECERTRadar.

Des données bancaires et personnelles dans la nature

C’est la fuite EFC Formation qui présente le niveau de risque le plus élevé pour les individus concernés. Les échantillons examinés par @DarkWebInformer montrent des documents particulièrement sensibles : livrets de formation, formulaires signés, certificats, factures, et surtout des relevés d’identité bancaire (RIB) incluant des IBAN via Monabanq.

La présence d’IBAN dans les données exposées est particulièrement préoccupante. Combinés à des noms complets, adresses parisiennes et dates de naissance, ces éléments constituent un ensemble de données suffisant pour des tentatives de phishing ciblé, de fraude bancaire ou d’usurpation d’identité. Cyberattaque.org confirme la présence de ces données dans ses observations des échantillons publiés. Ces fuites rappellent la compromission d’1,2 million d’IBAN sur impôts.gouv.fr, qui avait mis en lumière l’ampleur des risques liés à l’exposition de coordonnées bancaires.

Un hacker actif depuis au moins 48 heures

ChimeraZ n’est pas inconnu des observateurs spécialisés. Dès le 13 mai 2026, soit la veille, le même threat actor avait publié deux autres fuites françaises : 28 000 records de La Boite Immo et 6 400 records de Thales Group, selon @VECERTRadar et @IBreaches. La cadence - cinq fuites françaises en moins de 48 heures - distingue cette activité d’une publication isolée.

Le profil de ChimeraZ reste à documenter. L’origine, la motivation (revente, extorsion, exposition idéologique) et les méthodes d’intrusion utilisées n’ont pas été établies publiquement à ce stade. Les fuites sont publiées sur des forums underground ; leur authenticité complète n’a pas été vérifiée de façon indépendante par une autorité officielle.

Contexte dans le département de Paris (75)

Paris concentre un nombre élevé d’institutions d’enseignement supérieur, de centres de recherche et de structures associatives, ce qui en fait une cible privilégiée pour les acteurs malveillants cherchant à accéder à des bases de données volumineuses. Le Collège de France, fondé en 1530 et implanté dans le 5e arrondissement, accueille des chercheurs de rang international. EFC Formation et l’Union Professionnelle des Associations sont également des structures à rayonnement national dont les sièges sont en région parisienne.

Ces incidents s’inscrivent dans un contexte de menace cyber en hausse sur le secteur éducatif et associatif français. En mars 2026, une brèche au CNOUS (Centre national des œuvres universitaires et scolaires) avait exposé les données de près de 770 000 étudiants, selon les agences Ilkha et Anadolu Agency. La répétition de ces incidents souligne des vulnérabilités structurelles dans la gestion des données personnelles au sein d’institutions qui traitent de larges volumes de PII. Le sujet rejoint aussi les préoccupations exprimées autour des données d’élèves, comme en témoigne la mobilisation en Seine-Saint-Denis sur les conditions d’accueil dans les établissements scolaires.

Aucune réaction officielle à ce stade

Ni EFC Formation, ni le Collège de France, ni l’Union Professionnelle des Associations n’ont publié de déclaration publique au 14 mai 2026 au soir, selon cyberattaque.org. La CNIL (Commission nationale de l’informatique et des libertés), autorité compétente pour recevoir les notifications de violations de données personnelles, n’a pas non plus communiqué sur ces incidents. En France, le RGPD impose aux responsables de traitement de notifier la CNIL dans les 72 heures suivant la découverte d’une brèche susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

L’absence de réaction officielle peut s’expliquer par la temporalité très récente des publications - le jour même - mais aussi, potentiellement, par une absence de détection en interne à ce stade.

Recommandations pour les personnes potentiellement concernées

En l’absence de communication officielle, les experts cyber recommandent aux étudiants, enseignants et personnels ayant eu un lien avec EFC Formation de prendre plusieurs précautions immédiates : surveiller leurs relevés bancaires, signaler toute opération inhabituelle à leur établissement bancaire, et ne pas répondre à des sollicitations inattendues par email ou SMS demandant des informations personnelles ou bancaires.

Pour les organisations concernées, les recommandations standard incluent l’audit immédiat des accès aux systèmes d’information, la vérification des journaux de connexion pour détecter d’éventuelles exfiltrations, le patching des vulnérabilités connues et la mise en place d’une surveillance renforcée. Des ressources de préparation aux voies professionnelles existent également dans d’autres cadres publics, comme le programme PrépaTalents de l’IRA Lille, qui rappelle l’importance de sécuriser les données des candidats dans les processus de formation publique.

La CNIL dispose d’une procédure de plainte en ligne pour les personnes estimant que leurs données ont été compromises. Les personnes potentiellement touchées par la fuite EFC Formation peuvent également signaler l’incident sur la plateforme cybermalveillance.gouv.fr.

Prochaine étape

Les 72 heures suivant la découverte d’une brèche constituent le délai légal de notification à la CNIL sous le RGPD : la fenêtre court jusqu’au 17 mai 2026 au plus tard pour les institutions concernées. Une prise de parole publique d’EFC Formation ou du Collège de France, ainsi qu’une éventuelle ouverture d’enquête par la CNIL, permettront de préciser l’étendue réelle des données compromises et les mesures correctives engagées.