Skip to content
Fuite de donnéesContenu

Crous : 770 000 étudiants touchés par une fuite massive

En mars 2026, le Cnous a confirmé qu'un attaquant avait exfiltré les données de 774 000 personnes depuis la plateforme de rendez-vous des Crous mesrdv.etudiant.gouv.fr, dont 139 000 individus dont les pièces jointes volées contenaient des documents d'identité.

Victime
Crous
données
774.0K

Le 24 mars 2026, le Crous — le réseau français des œuvres universitaires, coordonné au niveau national par le Cnous — a confirmé une cyberattaque ayant exposé les données personnelles de 774 000 étudiants et anciens étudiants. La fuite, découverte le 23 mars 2026, provient de la compromission de mesrdv.etudiant.gouv.fr, la plateforme de prise de rendez-vous avec les services sociaux et de logement des Crous.

L'attaquant a extrait des données de rendez-vous accumulées sur près de dix ans, avant de revendiquer puis de diffuser ces informations en ligne. Le groupe DumpSec a revendiqué l'attaque, affirmant détenir environ 200 Go de données (quelque 1,9 million d'enregistrements de rendez-vous) et a publié un échantillon d'environ 5 000 lignes sur des forums cybercriminels. Ce même groupe a été associé à d'autres fuites récentes visant le secteur éducatif français.

L'ampleur de l'exposition varie selon les personnes :

  • 635 000 personnes ont vu fuiter des données d'identité de base — nom, prénom, adresse e-mail — ainsi que les détails de leurs rendez-vous.
  • 139 000 personnes ont été plus gravement touchées : les pièces jointes stockées dans leur dossier Crous ont été volées, notamment des documents d'identité tels que des copies de cartes d'identité et de passeports, les exposant à un risque accru d'usurpation d'identité, d'hameçonnage ciblé et de fraude administrative ou financière.

Le Cnous a reconnu publiquement la fuite et confirmé le nombre de victimes. L'incident s'inscrit dans une vague plus large d'attaques visant les établissements éducatifs français révélées à la même période.

Sources

  1. cyberattaque.orghttps://www.cyberattaque.org/crous-770-000-etudiants-touches-par-une-fuite-massive/
  2. it-connect.frhttps://www.it-connect.fr/piratage-du-crous-les-donnees-de-774-000-etudiants-dans-la-nature-mars-2026/
  3. generation-nt.comhttps://www.generation-nt.com/actualites/crous-piratage-donnees-etudiants-cyberattaque-cnous-2073068

Incidents liés

Fuite de donnéesEn cours

422 adresses e-mail exposées dans une fuite de données revendiquée chez Union-prof.asso.fr

Le 14 mai 2026, le cybercriminel ChimeraZ a publié environ 11 000 documents (près de 8,6 Mo de fichiers JSON et PDF) attribués à l’UPPCTSC (Union-prof.asso.fr), exposant des conventions de centres de formation, des informations d’établissements, des adresses e-mail professionnelles et des journaux de téléchargement horodatés.

Victim
Union-prof.asso.fr