Skip to content
Fuite de donnéesContenu

Fuite chez ESPCI

Fin février 2026, l’ESPCI Paris (école d’ingénieurs et de recherche de l’Université PSL) a révélé qu’une faille dans le contrôle d’accès avait permis à des acteurs non identifiés de moissonner son annuaire interne, exposant les données d’identité et de contact d’étudiants, de personnels et d’intervenants extérieurs ; les mots de passe n’ont pas été touchés.

Victime
ESPCI

Le 26 février 2026, l’ESPCI Paris — prestigieuse école d’ingénieurs de physique et de chimie de l’Université PSL — a révélé une fuite de données personnelles touchant sa communauté académique. Selon la direction des systèmes d’information de l’école, une faille dans le contrôle d’accès a permis à des acteurs non identifiés de moissonner l’annuaire interne de l’établissement.

L’incident ne relève ni d’un rançongiciel ni d’un logiciel destructeur : il découle d’une mauvaise configuration ayant laissé les fiches de l’annuaire insuffisamment protégées. Point important, les mots de passe des comptes n’ont pas été exposés. Les informations concernées portent sur les étudiants, les personnels, les prestataires, les partenaires et les intervenants extérieurs figurant dans l’annuaire.

Catégories de données signalées comme exposées :

  • Civilité, nom et prénom d’usage, courriel professionnel et, le cas échéant, courriel personnel renseigné
  • Nom d’utilisateur (mais pas le mot de passe)
  • Fonction, affectation et permissions d’accès aux services et aux locaux
  • Photo (sauf si réservée au badge) et abonnements aux listes de diffusion
  • Pour les étudiants : inscriptions pédagogiques
  • Pour le personnel : employeur, domaine d’activité (BAP, section CNRS et CNU), et pour le personnel salarié de la régie le corps et la date de fin de contrat
  • Pour les prestataires, partenaires et extérieurs : employeur et catégorie socioprofessionnelle

L’ESPCI a informé l’ensemble des titulaires de comptes et signalé l’incident à la CNIL au titre de l’article 33 du RGPD. La direction informatique a indiqué qu’elle renforcerait ses mesures de sécurité afin d’éviter toute récidive. Aucun nombre exact de personnes concernées n’a été publié.

Sources

  1. next.inkhttps://next.ink/brief_article/fuite-de-donnees-personnelles-a-lecole-dingenieurs-espci/
  2. fuitesinfos.frhttps://fuitesinfos.fr/article/2026-02-27-espci-paris

Incidents liés

Fuite de donnéesEn cours

422 adresses e-mail exposées dans une fuite de données revendiquée chez Union-prof.asso.fr

Le 14 mai 2026, le cybercriminel ChimeraZ a publié environ 11 000 documents (près de 8,6 Mo de fichiers JSON et PDF) attribués à l’UPPCTSC (Union-prof.asso.fr), exposant des conventions de centres de formation, des informations d’établissements, des adresses e-mail professionnelles et des journaux de téléchargement horodatés.

Victim
Union-prof.asso.fr