Une importante base de données attribuée au portail laregion.fr a été publiée sur un forum cybercriminel. L’auteur de la revendication affirme détenir 318 751 dossiers liés à des élèves ainsi qu’un second ensemble de fichiers contenant des photographies de visages d’étudiants et de lycéens.
Les informations diffusées semblent être liées au dispositif de cartes jeunes et aux services numériques proposés par la Région Occitanie aux lycéens, apprentis et étudiants. Les échantillons publiés montrent des données récentes concernant des mineurs scolarisés dans de nombreux établissements de la région.
Des données personnelles d’élèves et de responsables légaux
Selon les extraits diffusés, chaque enregistrement contient un niveau de détail particulièrement important sur les bénéficiaires du dispositif.
- nom et prénom de l’élève ;
- date de naissance ;
- adresse postale complète ;
- numéro de téléphone ;
- adresse e-mail ;
- nom du responsable légal ;
- coordonnées téléphoniques du parent ;
- adresse e-mail du parent ;
- établissement scolaire fréquenté ;
- niveau ou formation suivie ;
- numéro de carte ;
- statut de la carte ;
- date de mise à jour du dossier.
Plus inquiétant encore, l’auteur de la publication affirme également diffuser un second fichier contenant les photographies des bénéficiaires. Si cette affirmation est confirmée, la fuite ne concernerait pas uniquement des données administratives mais également des données biométriques indirectes permettant d’identifier visuellement les personnes concernées.
Une population principalement composée de mineurs
Les dates de naissance visibles dans les exemples publiés montrent que de nombreux dossiers concernent des adolescents nés entre 2008 et 2010. Les établissements mentionnés correspondent à des lycées généraux, technologiques et professionnels de la région Occitanie.
La présence simultanée des coordonnées des élèves et de celles de leurs parents augmente fortement la sensibilité de cette exposition. Les cybercriminels disposent potentiellement d’informations permettant de reconstituer des cellules familiales complètes, associées à un établissement scolaire précis.
La carte jeune de la Région Occitanie potentiellement concernée
Les champs observés dans les échantillons rappellent fortement les informations utilisées dans le cadre de la Carte Jeune Région Occitanie, un dispositif destiné aux lycéens et apprentis permettant d’accéder à différentes aides régionales, avantages culturels, équipements scolaires et services numériques.
Les numéros de cartes, les statuts associés et les références de formation visibles dans les données semblent cohérents avec ce type de plateforme de gestion des bénéficiaires.
Comment une telle fuite pourrait-elle être exploitée ?
Une base contenant à la fois les coordonnées d’élèves, les informations de leurs parents, leur établissement scolaire et potentiellement leur photographie représente une cible particulièrement attractive pour les acteurs malveillants.
Ces informations pourraient notamment être utilisées pour mener des campagnes de phishing ciblées se faisant passer pour la Région, un lycée, un organisme d’aide aux étudiants ou encore une plateforme de transport scolaire. Les données permettent également de personnaliser fortement les messages frauduleux afin d’augmenter leur crédibilité.
La présence de photographies ouvre également la porte à d’autres usages malveillants comme la création de faux profils, l’usurpation d’identité ou l’entraînement de systèmes de reconnaissance faciale non autorisés.
Une revendication qui reste à confirmer
Comme pour toute publication réalisée sur un forum cybercriminel, les informations avancées doivent être considérées avec prudence tant qu’aucune analyse technique complète ou confirmation officielle n’a été publiée.
Néanmoins, les échantillons diffusés montrent des données cohérentes et suffisamment détaillées pour laisser penser que les informations proviennent d’un système réel lié à la gestion des bénéficiaires de services régionaux en Occitanie.
Au moment de notre publication, aucune communication officielle concernant cette revendication n’avait été identifiée.