Skip to content
Fuite de donnéesInconnu

Campus France : 18 000 candidatures exposées après une fuite visant un service public

Le 29 avril 2026, un acteur malveillant a mis en ligne une base partielle issue de toucan.campusfrance.org, la plateforme de candidature de l'agence publique Campus France, exposant environ 18 000 dossiers d'étudiants étrangers (près de 430 Mo au format JSON) incluant noms, e-mails et formations visées.

Victime
Campus France
données
18.0K

Le 29 avril 2026, Campus France — l'agence publique française chargée de promouvoir l'enseignement supérieur à l'étranger et de gérer les candidatures des étudiants internationaux — a été touchée par une fuite de données lorsqu'un acteur malveillant a mis en vente une base partielle sur un forum cybercriminel. Les données étaient rattachées à toucan.campusfrance.org, la plateforme de candidature en ligne de l'agence, ce qui suggère la compromission de ce service applicatif spécifique plutôt que des systèmes centraux de Campus France.

L'archive divulguée était présentée comme représentant environ 430 Mo au format JSON et contenait près de 18 000 dossiers de candidature. L'auteur de la publication a été identifié dans certains comptes rendus sous le pseudonyme « ChimeraZ », tandis que d'autres relevaient l'absence de pseudonyme confirmé ; l'authenticité et l'étendue exacte des données n'ont pas été vérifiées de manière indépendante.

Les dossiers exposés comprendraient :

  • Nom et prénom du candidat
  • Adresse e-mail
  • Pays de résidence et pays de naissance
  • Numéro de dossier
  • Choix de formations et établissements visés
  • Historique de traitement du dossier
  • Contacts administratifs

Comme l'ensemble concerne des étudiants étrangers engagés dans des démarches d'admission en France, les informations exposées se prêtent particulièrement bien à l'hameçonnage, aux arnaques aux faux frais administratifs ou au logement, et à l'usurpation d'identité. Au moment des premiers signalements, aucune communication officielle n'avait été publiée par Campus France, et rien ne confirmait publiquement une notification à la CNIL, laissant le statut de l'incident inconnu.

Sources

  1. cyberattaque.orghttps://www.cyberattaque.org/campus-france-18-000-candidatures-exposees-chez-un-service-public-de-letat/
  2. info.frhttps://info.fr/campus-france-pirate-18000-dossiers-etudiants-etrangers-fuite-donnees/
  3. brinztech.comhttps://www.brinztech.com/breach-alerts/brinztech-alert-alleged-database-leak-targeting-campusfrance-toucan-campusfrance-org

Incidents liés

Fuite de donnéesEn cours

422 adresses e-mail exposées dans une fuite de données revendiquée chez Union-prof.asso.fr

Le 14 mai 2026, le cybercriminel ChimeraZ a publié environ 11 000 documents (près de 8,6 Mo de fichiers JSON et PDF) attribués à l’UPPCTSC (Union-prof.asso.fr), exposant des conventions de centres de formation, des informations d’établissements, des adresses e-mail professionnelles et des journaux de téléchargement horodatés.

Victim
Union-prof.asso.fr