Une nouvelle série de fuites de données revendiquées vise directement des établissements scolaires français. En isolant les collèges, lycées et établissements de formation présents dans la liste, on recense 19 établissements concernés pour un total d’au moins 14 817 personnes ou fiches élèves revendiquées.
Cette vague touche principalement des collèges et lycées publics, mais aussi un lycée professionnel privé sous contrat et un établissement agricole. Les données exposées semblent liées à des fichiers d’élèves ou à des exports issus d’environnements scolaires numériques, notamment autour de la plateforme Pix Orga.
Près de 20 établissements scolaires ciblés en quelques jours
Les revendications s’étalent sur une période très courte, entre le 29 juin et le 4 juillet 2026. Le premier cas identifié concerne le lycée Ambroise Brugière, à Clermont-Ferrand, avec 1 324 fiches d’élèves revendiquées. Le 30 juin, trois autres lycées sont ajoutés à la liste. Le 4 juillet, une nouvelle vague beaucoup plus large vise 15 établissements supplémentaires.
Dans la seule vague du 4 juillet 2026, les 15 établissements recensés représentent 11 533 personnes concernées. En ajoutant les cas précédents, le total atteint 14 817 fiches revendiquées.
Les établissements scolaires visés
| Établissement | Type | Date | Volume revendiqué |
|---|---|---|---|
| Collège Albert Triboulet | Collège public | 04 juillet 2026 | 189 personnes |
| Collège Compère Morel | Collège public | 04 juillet 2026 | 473 personnes |
| Collège de l’Hermitage | Collège public | 04 juillet 2026 | 711 personnes |
| Collège des Châteaux | Collège public | 04 juillet 2026 | 427 personnes |
| Collège François Rabelais | Collège public | 04 juillet 2026 | 584 personnes |
| Collège Henri Laugier | Collège public | 04 juillet 2026 | 481 personnes |
| Collège Henri Ulrich | Collège public | 04 juillet 2026 | 304 personnes |
| Collège Jean Delacour | Collège public | 04 juillet 2026 | 523 personnes |
| Lycée Polyvalent La Fayette | Lycée public | 04 juillet 2026 | 1 121 personnes |
| Lycée général Lavoisier | Lycée public | 04 juillet 2026 | 547 personnes |
| Lycée Polyvalent Borde Basse | Lycée public | 04 juillet 2026 | 1 748 personnes |
| Lycée Polyvalent Georges Imbert | Lycée public | 04 juillet 2026 | 497 personnes |
| Lycée Polyvalent Joseph-Marie Carriat | Lycée public | 04 juillet 2026 | 2 134 personnes |
| Lycée des Métiers Saint-Exupéry | Lycée public | 04 juillet 2026 | 1 572 personnes |
| LPA Belleville | Lycée agricole public | 04 juillet 2026 | 222 personnes |
| Lycée professionnel Sainte-Anne de Roanne | Lycée professionnel privé sous contrat | 30 juin 2026 | 84 personnes |
| Lycée polyvalent Paul Moreau | Lycée public | 30 juin 2026 | 716 personnes |
| Lycée polyvalent Blaise Cendrars | Lycée public | 30 juin 2026 | 1 160 personnes |
| Lycée Ambroise Brugière | Lycée public | 29 juin 2026 | 1 324 personnes |
11 533 élèves dans la vague du 4 juillet
La vague la plus importante est celle du 4 juillet 2026. Elle regroupe à elle seule 15 établissements et 11 533 fiches revendiquées. Les volumes les plus élevés concernent le lycée polyvalent Joseph-Marie Carriat avec 2 134 personnes, le lycée polyvalent Borde Basse avec 1 748 personnes et le lycée des Métiers Saint-Exupéry avec 1 572 personnes.
Plusieurs collèges sont également touchés, avec des volumes allant de 189 à 711 personnes. Cette concentration de collèges rend la fuite particulièrement sensible, car elle implique très probablement des élèves mineurs.
Des fichiers qui semblent liés à Pix Orga
Les échantillons observés dans plusieurs cas présentent une structure proche d’un export applicatif scolaire. Dans le cas du lycée Ambroise Brugière, le fichier revendiqué porte le nom élèves.ndjson et contient des objets de type sco-organization-participants.
Les champs visibles évoquent un environnement de suivi pédagogique ou d’évaluation numérique : identité de l’élève, date de naissance, identifiant utilisateur, classe, campagne d’évaluation, statut de participation, dernière activité, éligibilité à une certification et authentification via le GAR.
La présence de noms de campagnes comme Rentrée Seconde, Rentrée Première, Rentrée Terminale, SNT Web 2NDE ou encore des parcours autour de l’intelligence artificielle laisse penser à des données liées à des usages pédagogiques numériques, et non à une simple liste administrative d’élèves.
Quelles données sont exposées ?
Les données revendiquées varient selon les établissements, mais les échantillons publiés montrent plusieurs informations récurrentes :
- nom ;
- prénom ;
- date de naissance ;
- classe ou division ;
- identifiant utilisateur ;
- nom d’utilisateur ;
- adresse email lorsque le champ est renseigné ;
- statut de compte ;
- authentification via GAR ;
- nombre de participations ;
- date de dernière participation ;
- nom de campagne pédagogique ;
- type de campagne ;
- statut de participation ;
- statut de certification ou date d’éligibilité.
Ces informations ne correspondent pas à des mots de passe ou à des coordonnées bancaires. Mais leur sensibilité est élevée, car elles concernent des élèves, parfois mineurs, et associent leur identité à leur établissement, leur classe et leur activité sur une plateforme éducative.
Des mineurs au cœur de la fuite
Le point le plus préoccupant concerne le profil des personnes visées. Les établissements touchés sont majoritairement des collèges et lycées. Les dates de naissance observées dans les échantillons précédents montrent des élèves nés entre 2007 et 2010, ce qui confirme la présence probable de mineurs dans plusieurs fichiers.
Une fuite de données scolaires n’a pas le même impact qu’une fuite d’annuaire professionnel. Elle peut exposer des adolescents, leurs classes, leur établissement, leur progression dans des campagnes numériques et parfois des identifiants de compte. Ces informations peuvent être utilisées pour cibler directement des élèves ou leurs familles.
Comment une telle fuite peut se produire ?
À ce stade, l’origine technique exacte n’est pas confirmée. Plusieurs scénarios restent possibles : compromission d’un compte d’établissement, récupération d’un export, mauvaise configuration d’un espace de stockage, accès non autorisé à une API, faille dans un outil tiers ou extraction depuis un environnement de suivi pédagogique.
La structure des données suggère toutefois un export ou une réponse applicative, plutôt qu’un fichier constitué manuellement. La répétition de cas similaires sur plusieurs établissements laisse aussi envisager une origine commune : même outil, même type d’export, même méthode d’accès ou même chaîne applicative utilisée dans différents collèges et lycées.
Des risques concrets pour les élèves et les familles
Les risques principaux concernent le phishing ciblé, l’usurpation d’identité, le harcèlement, le doxing et les tentatives d’escroquerie visant les familles. Un message frauduleux peut reprendre le nom de l’établissement, la classe de l’élève, une campagne Pix ou une date d’activité pour paraître crédible.
Les cybercriminels peuvent aussi utiliser ces données pour envoyer de faux messages autour d’une certification, d’une évaluation, d’un compte bloqué, d’un devoir numérique, d’un accès ENT ou d’une prétendue mise à jour de dossier scolaire.
La présence de dates de naissance et d’identifiants utilisateurs augmente également le risque de recoupement avec d’autres bases. Même sans mot de passe, ces informations peuvent faciliter des tentatives de prise de contact, de manipulation ou de récupération d’accès.
Un risque aussi pour les établissements
Pour les établissements scolaires, cette vague expose un risque de perte de confiance, mais aussi un risque opérationnel. Les directions, enseignants et référents numériques peuvent être ciblés par de faux messages d’assistance, de fausses demandes d’export, de faux supports Pix ou de faux emails académiques.
La diffusion de listes d’élèves peut aussi compliquer la gestion interne, en particulier lorsque les données concernent des classes précises, des campagnes pédagogiques en cours ou des comptes connectés à des services éducatifs.
Une revendication encore non confirmée officiellement
À ce stade, ces incidents restent des revendications cybercriminelles. Les volumes annoncés doivent être pris comme des chiffres revendiqués, et non comme un bilan officiel. Le nombre exact de personnes uniques concernées peut varier en fonction des doublons, des comptes archivés, des élèves sortis de l’établissement ou des lignes techniques présentes dans les exports.
En revanche, la répétition des publications, la cohérence des champs et les échantillons diffusés rendent cette vague suffisamment crédible pour justifier une vérification urgente par les établissements, les académies et les responsables des plateformes concernées.
Que doivent faire les familles ?
Les familles doivent se montrer vigilantes face aux emails, SMS ou messages évoquant une plateforme scolaire, Pix, l’ENT, une certification, une campagne d’évaluation ou une mise à jour de compte. Toute demande de mot de passe, de code, de document ou de paiement doit être vérifiée directement auprès de l’établissement.
Les élèves doivent aussi être sensibilisés à ne pas répondre à des inconnus qui mentionneraient leur classe, leur établissement ou une activité scolaire réelle. Le fait qu’un message contienne des informations exactes ne signifie pas qu’il provient d’un service officiel.
Que doivent vérifier les établissements ?
Les établissements concernés doivent identifier l’origine des exports, vérifier les comptes administrateurs, contrôler les journaux d’accès, révoquer les sessions suspectes, renforcer les mots de passe et vérifier les droits accordés aux personnels sur les plateformes pédagogiques.
Il est également essentiel de vérifier si les données proviennent d’un export manuel, d’un accès API, d’un compte compromis ou d’un outil tiers. Si la fuite concerne un service commun à plusieurs établissements, la réponse doit être coordonnée au niveau académique ou national.
Une nouvelle alerte majeure pour l’éducation
Cette série de revendications confirme que le secteur éducatif reste une cible de choix. Les plateformes scolaires concentrent des données sur des mineurs, des identifiants, des classes, des parcours pédagogiques et des historiques d’activité. Même lorsqu’elles ne contiennent pas de mots de passe, ces informations peuvent être très sensibles une fois regroupées et diffusées publiquement.
Avec 19 établissements isolés et 14 817 fiches revendiquées, cette vague doit être considérée comme une alerte sérieuse pour les collèges, lycées, familles et autorités éducatives. Le risque ne se limite pas à la fuite elle-même : il concerne surtout les attaques ciblées qui peuvent suivre, en exploitant la confiance des élèves et des parents envers les outils scolaires.