Ransomware MedusaLocker frappe l’Académie de Montpellier : 15 000 $ exigés
Le groupe cybercriminel menace de publier des données éducatives et administratives sensibles si la rançon n'est pas versée
Le groupe ransomware MedusaLocker a revendiqué le 5 mai 2026 une cyberattaque contre l'Académie de Montpellier et son domaine CSJM. Une rançon de 15 000 dollars est exigée. Des extraits de données ont déjà été mis en ligne.
Le groupe ransomware MedusaLocker a revendiqué le 5 mai 2026 une cyberattaque contre l’Académie de Montpellier / CSJM, réseau public d’enseignement couvrant quelque 1 200 établissements et 150 000 élèves dans l’Hérault et une partie de la Lozère. Une rançon de 15 000 dollars est exigée. Des extraits de données compromises ont d’ores et déjà été publiés sur le site de fuite du groupe.
L’essentiel
- Date : Revendication publiée le 5 mai 2026 sur le site de fuite de MedusaLocker, confirmée par ransomware.live.
- Rançon : 15 000 dollars exigés pour ne pas diffuser les données compromises.
- Périmètre : L’Académie de Montpellier gère environ 1 200 établissements et 150 000 élèves.
- Données menacées : Identifiants, documents administratifs confidentiels, informations sur le personnel éducatif, selon les experts qui ont documenté la fuite.
- Contexte national : L’éducation représente 34 % des incidents cyber traités par l’ANSSI en 2025, sur 1 366 cas recensés.
Ce qui s’est passé le 5 mai
La revendication est apparue le 5 mai 2026 sur le site de fuite de MedusaLocker. Le compte @argus_bd, spécialisé dans le suivi des victimes de ransomware, l’a signalée en temps réel :
La plateforme ransomware.live a confirmé de façon indépendante la publication de la victime, identifiée sous le nom « Académie de Montpellier / CSJM ». Le CSJM désigne un domaine administratif et éducatif lié à l’Académie, rattaché à un établissement situé à Béziers (domaine csjm.beziers), selon les données de ransomware.live et le site officiel de l’Académie.
L’expert @Frenchbreaches, qui suit les fuites de données francophones, a détaillé la menace :
Des extraits de données ont été mis en ligne par le groupe, selon HookPhish et RedPacket Security, deux médias spécialisés en cybersécurité. Ces extraits comprennent potentiellement des identifiants de connexion, des documents administratifs confidentiels et des informations sur le personnel éducatif. MedusaLocker conditionne la non-diffusion complète au paiement de la rançon.
Aucune déclaration officielle du rectorat
Au 6 mai 2026, aucune déclaration publique n’avait été publiée par l’Académie de Montpellier ni par le rectorat, selon la consultation du site officiel ac-montpellier.fr. L’ANSSI n’avait pas non plus communiqué sur cet incident à cette date. Les raisons du silence institutionnel n’ont pas été précisées.
Cette attaque fait écho à la cyberattaque sur ÉduConnect, qui avait déjà mis en lumière les failles de cybersécurité dans les systèmes éducatifs publics français. Elle rappelle aussi le piratage de impôts.gouv.fr, où 1,2 million d’IBAN avaient été dérobés, illustrant la vulnérabilité persistante des infrastructures numériques publiques.
Qui est MedusaLocker
MedusaLocker est un groupe ransomware actif depuis 2019, documenté par le laboratoire Fraunhofer (malpedia.caad.fkie.fraunhofer.de). Il est connu pour des attaques opportunistes, notamment via compromission de comptes, ciblant préférentiellement l’éducation et les services publics. Le groupe opère un modèle classique de double extorsion : chiffrement des données et menace de publication.
Le montant de 15 000 dollars est relativement bas pour ce type d’opération, ce qui peut indiquer une cible jugée peu solvable ou une attaque automatisée à faible coût opérationnel. La raison exacte de ce montant n’a pas été précisée par le groupe.
La mise en cause récente d’un hacker russe lié au groupe Sector16 pour des attaques contre des infrastructures françaises montre que la menace cyber sur des opérateurs publics s’est intensifiée en 2025-2026.
Contexte dans l’Hérault
L’Académie de Montpellier est l’une des plus importantes académies du sud de la France. Elle couvre le département de l’Hérault ainsi qu’une partie de la Lozère, avec environ 1 200 établissements scolaires et 150 000 élèves sous sa tutelle, selon les données officielles de l’académie et Wikipedia. Son infrastructure numérique administre des données personnelles massives : dossiers d’élèves, données RH du personnel, informations financières et administratives.
En mars 2026, l’Éducation nationale avait déjà subi une attaque de grande ampleur via l’application Compas, exposant les données de 243 000 enseignants, selon DataBreaches.net. Cette attaque contre l’Académie de Montpellier s’inscrit dans cette série d’incidents affectant spécifiquement le secteur éducatif public.
Au niveau national, l’ANSSI a recensé 1 366 incidents cyber traités en 2025, dont 34 % dans le secteur éducation-recherche - soit le secteur le plus touché. L’agence a enregistré 144 compromissions par rançongiciel sur la même période, un niveau stable mais élevé, selon son Panorama de la cybermenace 2025.
Risques pour le personnel et les établissements
Si les données compromises incluent effectivement des identifiants de connexion aux systèmes académiques, le risque de rebond est réel : utilisation des comptes pour des attaques de phishing ciblé, accès à des environnements numériques de travail, ou divulgation d’informations personnelles sur le personnel. La nature exacte des fichiers exfiltrés n’a pas été précisée par l’Académie à ce stade.
La fuite des données de 2 millions de licenciés de la FFBB avait démontré les conséquences concrètes de ce type d’exposition : usurpations d’identité, hameçonnage et démarches administratives longues pour les victimes.
Prochaine étape
L’Académie de Montpellier dispose d’un délai imposé par MedusaLocker avant la diffusion complète des données - ce délai n’a pas été rendu public. Une déclaration du rectorat ou une notification à la CNIL, obligatoire en cas de violation de données personnelles sous le RGPD, est attendue dans les prochains jours.
Sources
