1,557 million de photos d’élèves exposées sur le dark web après le piratage de l’UNSS

1,557 million de photos d’identité d’élèves. 65 Go de données perso. Et un nom qui circule sur les forums du dark web: DumpSec. Fin février, l’UNSS a confirmé s’être fait siphonner une partie de son outil de gestion. Résultat, des collégiens et lycéens licenciés se retrouvent exposés, parfois sans même le savoir.

Le truc, c’est que ce n’est pas juste “une fuite de plus”. Là, on parle de mineurs, de photos d’identité, de dates de naissance, d’établissements scolaires, de données d’assurance. Un kit parfait pour monter des arnaques crédibles, ou pour alimenter des réseaux qui collectionnent tout ce qui touche aux enfants. Et quand une photo sort, bonne chance pour la faire disparaître complètement.

DumpSec revendique le vol, l’UNSS confirme le piratage

Le scénario, sur le papier, est classique. Un groupe de hackers revendique un gros coup, balance quelques extraits pour prouver qu’il ne bluffe pas, puis met le “pack” en vente. Sauf que là, la cible s’appelle l’Union nationale du sport scolaire, une structure sous tutelle du ministère de l’Éducation nationale, avec des licenciés de la 6e à la terminale. Pas exactement une start-up obscure.

Ce qui ressort des informations confirmées: l’exfiltration initiale remonterait à novembre 2025, et la revendication publique est arrivée le 28 février 2026. Donc il y a potentiellement eu des semaines, voire des mois, où des données étaient déjà parties, sans que le grand public en entende parler. C’est souvent comme ça que ça se passe: tu découvres l’incendie quand la fumée sort déjà par les fenêtres.

Dans le lot volé, il y a les photos d’identité et des données administratives: noms, identifiants, dates de naissance, établissements scolaires, données d’assurance. L’UNSS dit que les données financières type RIB et mandats SEPA ne seraient pas concernées, et que les infos relatives au handicap ne le seraient pas non plus. Tant mieux, mais ça ne rend pas le reste “anodin”. Une photo + une date de naissance, c’est déjà une pièce maîtresse.

L’UNSS explique aussi avoir renforcé ses procédures d’authentification et rendu inopérants les liens d’accès aux images. C’est le minimum vital après une fuite. Mais soyons honnêtes: renforcer après coup, c’est comme changer la serrure après le cambriolage. Ça évite la récidive immédiate, ça ne remet pas les données dans le coffre. Et le coffre, là, il est déjà sur le marché noir.

Ce que contiennent les 65 Go: photos, dates de naissance, établissements

65 gigaoctets, ça parle peu au grand public. Traduis-le en concret: ce n’est pas un petit fichier égaré, c’est une base bien remplie, structurée, exploitable. Et surtout, ce sont 1,557 million de photos d’identité. Pas des photos de classe floues prises au smartphone, des portraits qui ressemblent à ce qu’on te demande pour un dossier officiel. Du pain bénit pour des usages tordus.

Ajoute à ça les noms, les identifiants, les dates de naissance, les établissements. Ce combo permet des attaques très crédibles. Exemple simple: un mail qui arrive au nom d’un collège, avec le bon prénom, la bonne classe supposée, et une référence à l’UNSS. Tu vois le genre. Même si le pirate n’a pas le numéro de téléphone, il peut viser les boîtes mail des familles, ou les messageries d’établissement, en jouant sur la panique.

Les données d’assurance, c’est un autre sujet qui gratte. Sans inventer des détails qu’on n’a pas, on peut dire une chose: tout ce qui ressemble à une info administrative “sérieuse” augmente la crédibilité d’une arnaque. Un escroc n’a pas besoin d’avoir tout le dossier. Il lui faut juste assez pour te faire douter deux secondes. Et deux secondes, sur un lien piégé, ça suffit.

Le point qui fait vraiment mal, c’est que les victimes ne sont pas des clients adultes qui ont “choisi” un service. Ce sont des élèves, pour la plupart mineurs, inscrits dans une logique scolaire. Tu peux faire attention à tes mots de passe, activer la double authentification, éviter de trop t’exposer. Un gamin de 13 ans, lui, dépend des choix techniques d’une plateforme et des décisions d’adultes. Et là, ça a craqué.

Pourquoi une photo d’identité d’élève vaut de l’or sur le dark web

Une photo d’identité, c’est une pièce de puzzle qui s’emboîte partout. Tu la combines avec un nom et une date de naissance, et tu obtiens un profil “vérifiable”. Pas forcément pour ouvrir un compte bancaire direct, mais pour alimenter des dossiers frauduleux, des faux comptes, des demandes d’accès, des usurpations plus lentes. La cyberfraude moderne adore les petits morceaux vrais, parce que ça passe sous les radars.

Il y a aussi un angle plus glauque, qu’on préfère éviter mais qu’on ne peut pas ignorer: les images d’enfants circulent énormément dans des réseaux criminels. Des chiffres existent sur ce que le dark web héberge déjà. Le Centre canadien de protection de l’enfance a repéré près de trois millions d’images et vidéos d’enfants exploités sexuellement sur le dark web depuis 2017, et parle aussi de dizaines de millions de contenus sur le web visible. Ça te donne l’échelle du problème.

Dans ce contexte, balancer 1,5 million de photos d’identité, même si ce n’est pas “du contenu illégal” au départ, c’est offrir une matière première. Tri, classement, reconnaissance faciale, recoupements. Le truc, c’est que les criminels ne fonctionnent pas comme nous: ils ne voient pas des visages, ils voient des datasets. Et un dataset, ça se revend, ça se mélange, ça se duplique, ça s’archive.

Un expert en cybersécurité me disait récemment, appelons-le Marc, un vieux de la vieille qui fait de la réponse à incident: “Le pire avec les photos, c’est la permanence. Un mot de passe, tu le changes. Une photo, tu ne peux pas la changer.” Il exagère à peine. Même si tu refais une photo, l’ancienne reste un identifiant visuel. Et sur internet, surtout dans ses coins sombres, l’oubli n’existe pas.

CNIL, ANSSI, plainte: ce que l’UNSS a déclenché après coup

Quand une structure française se prend une fuite de cette ampleur, il y a un chemin balisé. L’UNSS indique avoir déposé plainte après la diffusion illégale d’extraits issus de son outil de gestion. L’incident a aussi été signalé à la CNIL, et l’ANSSI a été saisie. Sur le papier, c’est la procédure normale: plainte pour lancer l’enquête, notification pour encadrer, appui technique pour comprendre et colmater.

Le renforcement des procédures d’authentification, c’est le passage obligé aussi. Ça peut vouloir dire plein de choses: mots de passe plus robustes, restrictions d’accès, double facteur, segmentation des droits, surveillance renforcée. On n’a pas le détail, donc on ne brode pas. Mais on peut le dire franchement: si l’exfiltration date de novembre 2025, ça pose la question du délai de détection. Les attaques qui durent, c’est rarement bon signe.

Il y a un autre point à garder en tête: même quand l’État s’en mêle, ça ne veut pas dire que les données vont être “récupérées”. Une fois que c’est sorti, c’est copié. La CNIL peut sanctionner, l’ANSSI peut accompagner, la police peut remonter des pistes. Mais sur le dark web, les vendeurs changent de pseudo, migrent de forum, et la marchandise circule. Ce n’est pas du défaitisme, c’est juste la mécanique.

La nuance importante, parce qu’il faut la dire: toutes les fuites ne se valent pas. Là, l’UNSS affirme que les RIB et mandats SEPA ne sont pas concernés. Si c’est exact, ça réduit certains risques immédiats de fraude bancaire directe. Mais l’usurpation d’identité, les arnaques au faux support, les tentatives de phishing ciblé, ça reste largement sur la table. Et quand tu ajoutes la dimension “mineurs”, le niveau de gravité monte d’un cran.

Ce que les parents et établissements peuvent faire dès maintenant

Première chose: surveiller les messages qui jouent sur l’urgence et l’autorité. Un mail “UNSS” ou “collège” qui te demande une vérification, un paiement, un document, un clic, c’est non. Même si le mail cite le bon prénom et la bonne date de naissance. Justement, c’est ça le piège. Tu passes par les canaux officiels que tu connais déjà, tu appelles l’établissement, tu ne réponds pas dans la foulée.

Deuxième réflexe: parler aux ados. Pas un discours panique, plutôt un brief simple. “Si quelqu’un te contacte en disant qu’il a ta photo UNSS, tu m’en parles.” “Si tu reçois un lien bizarre, tu ne cliques pas.” Le but, c’est de réduire la honte et le silence, parce que les arnaques marchent quand la victime se sent isolée. Et dans les histoires d’images, la honte est un carburant puissant.

Côté établissements, il y a aussi du concret. Les équipes peuvent rappeler les règles de communication: pas de demande de pièces sensibles par mail, pas de liens courts, pas de formulaires improvisés. Et elles peuvent anticiper les tentatives d’usurpation: un escroc peut appeler le secrétariat en se faisant passer pour un parent, avec des infos justes. Là, un protocole interne, même basique, fait la différence. Question de vérification, de contre-appel, de traces.

Dernier point, et il va grincer: on a pris l’habitude de voir des fuites toutes les semaines, donc on banalise. Sauf que là, c’est un fichier massif de mineurs, lié à l’école, avec des photos d’identité. Ça mérite autre chose qu’un communiqué vite fait. Si tu es parent, tu as le droit de demander des explications sur les mesures prises. Si tu bosses dans l’Éducation, tu as le droit d’exiger des outils mieux sécurisés. Parce que sinon, la prochaine base partira pareil, et on refera le même cinéma.