Un hacker a mis en ligne une base de données attribuée à service-civique.gouv.fr, la plateforme officielle du Service Civique en France. Quelques jours après la revendication, l’Agence du Service Civique a officiellement confirmé avoir été victime d’un incident de cybersécurité ayant entraîné un accès non autorisé à certaines données personnelles. :contentReference[oaicite:0]{index=0}
La publication, diffusée sur un forum cybercriminel par un utilisateur se présentant sous le pseudonyme 0xBAADF00D, évoquait initialement la fuite de données de contact et d’informations liées à l’écosystème du Service Civique. L’agence confirme désormais que l’incident a été détecté le 6 mai 2026 et qu’une notification a été adressée aux personnes concernées conformément au RGPD.
L’État confirme une violation de données
Dans un courrier adressé aux utilisateurs concernés, l’Agence du Service Civique reconnaît qu’un accès non autorisé à des données personnelles a eu lieu sur sa plateforme de formation destinée aux organismes d’accueil de volontaires et de jeunes en mobilité.
Les données officiellement reconnues comme potentiellement exposées incluent :
- Nom et prénom
- Civilité
- Adresse électronique
- Adresse postale complète (dans certains comptes)
- Numéro de téléphone
- Données liées aux structures (raison sociale et numéro d’agrément)
L’agence précise également avoir saisi la CNIL et déposé plainte afin de permettre la conduite des investigations.
Des contacts rattachés à des structures agréées
Les éléments analysés montrent une base principalement centrée sur des contacts liés à des structures agréées, et non directement sur des dossiers complets de volontaires.
Les échantillons observés contiendraient notamment :
- Noms et prénoms
- Civilités
- Adresses email
- Numéros de téléphone
- Adresses postales
- Codes postaux, villes et régions
- Noms des structures ou organismes
- Numéros d’agrément
Un large éventail d’organismes concernés
Les structures visibles dans les échantillons couvriraient un périmètre très large :
- Associations
- Collectivités locales et mairies
- Établissements scolaires
- Structures médico-sociales et EHPAD
- Fédérations sportives
- Acteurs culturels
- Administrations publiques
Ces données concernent principalement des référents ou responsables au sein d’organismes accueillant des missions de Service Civique.
Des risques de phishing et d’usurpation
La nature des informations exposées pourrait faciliter des campagnes de phishing particulièrement crédibles ciblant des structures officielles et associatives.
Les risques incluent notamment :
- Usurpation d’identité au nom du Service Civique
- Faux échanges administratifs liés aux agréments
- Prises de contact frauduleuses avec des structures
- Collecte d’informations complémentaires via ingénierie sociale
- Campagnes d’hameçonnage par email, SMS ou téléphone
L’Agence du Service Civique recommande d’ailleurs aux personnes concernées de modifier leurs mots de passe, de surveiller attentivement leurs comptes et de rester particulièrement vigilantes face à toute sollicitation inhabituelle.
Une diffusion accompagnée d’un lien de téléchargement
Le message publié sur le forum cybercriminel inclut un lien de téléchargement protégé par mot de passe permettant d’accéder aux données revendiquées. L’auteur affirme également détenir des informations techniques supplémentaires, sans qu’il soit possible à ce stade d’en vérifier précisément la portée.
Une cyberattaque désormais confirmée
Alors que la fuite n’était au départ qu’une revendication publiée sur un forum spécialisé, l’Agence du Service Civique a désormais officiellement confirmé l’incident de sécurité et la compromission d’une partie des données hébergées sur sa plateforme.
L’ampleur exacte de la fuite, le nombre précis de personnes concernées ainsi que l’origine technique de l’intrusion n’ont pas encore été détaillés publiquement.
