Cyberattaque contre le Crous : plus de 770 000 étudiants touchés

L'incident informatique s'inscrit dans une série noire pour les institutions éducatives françaises. Le 24 mars 2026, le Centre national des œuvres universitaires et scolaires (Cnous) a officialisé l'intrusion sur son site dédié aux démarches sociales. 

Une intrusion massive ciblant dix ans d'archives du Crous

Le piratage a visé spécifiquement la plateforme mesrdv.etudiant.gouv.fr, un outil très fréquenté par les étudiants pour gérer leurs demandes de logement ou d'aide sociale. L'extraction illicite porte sur les archives de la dernière décennie, totalisant 1,9 million de rendez-vous. Si l'on ramène ce volume au nombre d'individus, ce sont 774 000 personnes qui voient leurs informations compromises.

Le Cnous précise que la gravité de la fuite varie selon les cas. Pour 635 000 usagers, le vol se limite aux coordonnées classiques telles que le nom, le prénom et l'adresse électronique. En revanche, 139 000 individus ont subi l'exfiltration de leurs pièces jointes. Ces documents particulièrement sensibles incluent des copies de cartes d'identité et des bulletins de salaire. Conformément à la législation européenne encadrant les données personnelles, l'organisme a procédé à une notification obligatoire auprès de la Commission nationale de l'informatique et des libertés (CNIL).

Une offensive coordonnée contre le monde de l'éducation

Cette effraction informatique n'est pas un acte isolé. Il s'agit de la troisième attaque d'envergure frappant le secteur éducatif en l'espace d'une dizaine de jours. Le 15 mars, le ministère de l'Éducation nationale déplorait déjà la compromission des informations de 243 000 agents. Quelques jours plus tard, le 21 mars, le Secrétariat général de l'Enseignement catholique (SGEC) recensait 1,5 million de personnes impactées, illustrant l'ampleur systémique de la menace pesant sur les réseaux scolaires.

Derrière l'incident du Crous, le groupe de pirates informatiques "DumpSec" a revendiqué l'opération, annonçant la mise en vente de 200 Go de données sur des plateformes cybercriminelles. Face à l'urgence de la situation, les autorités ont immédiatement suspendu l'accès au site visé. « Une investigation technique approfondie a été engagée afin d’en identifier les causes », a indiqué le Cnous dans son communiqué, ajoutant qu'une plainte est en préparation. « Cet incident fait l’objet d’un suivi attentif et d’une mobilisation complète des services compétents », assure l'institution.

Conséquences pour les victimes et mesures de protection

La nature des informations subtilisées ouvre la porte à des actes malveillants sévères. En possession de justificatifs d'identité et de revenus complets, les escrocs disposent des outils nécessaires pour contracter des crédits à la consommation ou ouvrir des comptes bancaires factices au nom des étudiants lésés.

Pour limiter les dégâts, le réseau des Crous garantit que « chaque personne concernée sera informée de la situation », que ce soit par courrier électronique ou postal. En attendant ces notifications officielles, les spécialistes recommandent une vigilance absolue. 

Il est impératif de se méfier des courriels inattendus demandant des informations supplémentaires, une technique de hameçonnage (phishing) courante après de telles fuites. Les victimes potentielles doivent surveiller leurs relevés bancaires avec minutie.