Cyberattaque contre l’ Union Nationale du Sport Scolaire : noms, dates de naissance et 1,5 million de photos d’élèves exposés

1.557.000 photos d’identité d’élèves, des noms, des dates de naissance, des établissements scolaires, des infos d’assurance… et tout ça qui se retrouve sur le darknet. L’UNSS, la grosse machine du sport scolaire au collège et au lycée, confirme avoir été visée par plusieurs cyberattaques, avec une exfiltration qui remonterait à novembre 2025 sur son intranet OPUSS. Là, on ne parle pas d’un bug sur un site vitrine, mais de données liées à des mineurs.

Cyberattaque UNSS: 1,5 million de photos d’élèves exposées, ce que la fuite dit du sport scolaire

Le truc, c’est que l’UNSS n’est pas un petit club de quartier. Elle revendique 1,2 million de licenciés par an, sous tutelle du ministère de l’Éducation nationale. Résultat: l’affaire dépasse largement la fédé. Elle touche des familles, des établissements, des profs d’EPS, et tout l’écosystème qui gère inscriptions, compétitions, certificats, assurances. Et quand des photos d’ados circulent, tu peux oublier le “c’est pas grave, c’est juste des données”.

Ce qui a fuité: photos, identifiants, école, assurance

Dans cette fuite, il n’est pas seulement question d’une liste de noms. Les éléments cités sont ceux qui permettent d’identifier un élève sans trop d’efforts: nom, identifiant, date de naissance, établissement scolaire, et des données d’assurance liées à l’inscription UNSS. Ajoute à ça les URL des photos d’identité. Et là, tu obtiens un kit parfait pour du ciblage, du harcèlement, ou des arnaques qui sonnent “vrai”.

Les chiffres qui tournent sont massifs: 65 Go de données sensibles et 1.557.000 photos d’élèves de la 6e à la terminale, selon un site spécialisé dans le suivi des fuites. L’UNSS, interrogée, n’a pas validé ces volumes au chiffre près. Mais elle reconnaît le piratage et la diffusion illégale d’extraits issus de son outil de gestion. Donc on n’est pas sur une rumeur TikTok, plutôt sur un incident sérieux, documenté, et déjà exploité.

Autre point qui glace un peu: dans une affaire précédente, des pirates disaient avoir indexé 7.795.940 profils, avec des archives sur six saisons, et un moteur de recherche. Même si tout n’est pas confirmé au mot près, l’idée est claire: les bases UNSS peuvent contenir de l’historique, pas juste “l’élève de cette année”. Du coup, un ancien licencié peut se retrouver concerné sans avoir remis les pieds à l’UNSS depuis un moment.

L’UNSS affirme que les liens permettant d’accéder aux images ont été rendus inopérants. Tant mieux, mais ça ne remet pas le dentifrice dans le tube. Si les données ont été exfiltrées puis publiées, le fait de couper un accès direct sur le serveur ne supprime pas les copies déjà parties. Et sur le darknet, une fois que c’est repackagé, reuploadé, recopié, ça vit sa vie – longtemps.

Pourquoi l’UNSS est une cible facile pour les cybercriminels

Une fédération comme l’UNSS, c’est un mélange explosif: beaucoup d’utilisateurs, des flux saisonniers (rentrée, inscriptions, compétitions), des accès distribués (établissements partout en France), et des outils métiers pas toujours pensés comme des forteresses. Quand tu as des profs, des gestionnaires, des bénévoles, des personnels administratifs qui se connectent, la surface d’attaque grimpe vite. Et les attaquants adorent les systèmes “utiles mais vieux”.

Le point d’entrée évoqué, c’est l’intranet OPUSS. Ce genre d’outil concentre tout: gestion des licenciés, pièces justificatives, attestations, parfois des exports. Un seul compte compromis, une mauvaise configuration, une authentification trop faible, et tu peux aspirer des volumes énormes sans te faire repérer tout de suite. D’autant que l’exfiltration est décrite comme “dispersée” en novembre 2025 – donc potentiellement étalée, plus difficile à détecter.

Il y a aussi un facteur très français: la multiplication des structures sportives et para-scolaires qui se digitalisent à marche forcée, avec des budgets serrés. Dans le sport, ces derniers mois, plusieurs fédérations ont pris des coups. Ce n’est pas un hasard, c’est une tendance. Les cybercriminels cherchent des organisations qui stockent des données personnelles mais qui n’ont pas forcément le même niveau de défense qu’une banque ou un opérateur télécom.

Et puis il y a la valeur du “profil mineur”. Ce n’est pas juste une ligne dans un fichier: c’est une identité exploitable pour des arnaques, des usurpations, des tentatives d’accès à d’autres services. Un spécialiste en cybersécurité me disait récemment – off, parce que personne n’aime citer ses clients – que les attaquants aiment les bases “éducation” car elles donnent des infos stables: date de naissance, établissement, parfois la classe. Ça sert à fabriquer des scénarios crédibles.

Les risques concrets pour les familles et les établissements

Le risque numéro un, c’est l’ingénierie sociale. Tu reçois un mail ou un SMS qui parle de l’UNSS, d’une licence, d’une assurance, d’un “dossier incomplet”, avec le nom de ton enfant et son collège. Beaucoup de parents cliquent, parce que ça ressemble à la vraie vie. Et derrière, on te demande une pièce d’identité, un paiement, ou de “réinitialiser ton compte”. Ce n’est pas de la science-fiction, c’est la mécanique classique après une fuite.

Deuxième risque: le ciblage des établissements. Si tu sais qu’un élève est dans tel collège, né tel jour, tu peux tenter de joindre la vie scolaire, de te faire passer pour un parent, ou d’obtenir une info manquante. Les secrétariats sont déjà sous l’eau, et quand un interlocuteur arrive avec des détails précis, ça peut tromper. Le but n’est pas toujours l’argent direct: ça peut être l’accès à d’autres systèmes, ou juste récupérer encore plus de données.

Troisième risque, plus sale: l’exploitation d’images de mineurs. On parle de photos d’identité, donc pas des clichés “fun” de réseaux sociaux, mais des images standardisées, frontales, faciles à réutiliser. Même si ce ne sont pas des photos intimes, elles peuvent servir à du doxxing, à des faux comptes, à du harcèlement ciblé. Dans un monde où une photo peut être recollée n’importe où, le fait qu’elle soit associée à un nom et une école change tout.

Et il y a un effet domino: profs d’EPS et chefs d’établissement se retrouvent à gérer l’angoisse, les questions, parfois la colère. “On fait quoi?”, “Mon enfant est dedans?”, “On doit porter plainte?”. Une CPE en région parisienne me racontait que dès qu’un sujet comme ça sort, tu as une vague de parents qui appellent, et des élèves qui s’envoient des captures d’écran. Même quand l’école n’a rien à voir avec la faille, elle se prend la tempête.

CNIL, ANSSI, plainte: ce que l’UNSS a enclenché

Côté institutionnel, l’UNSS dit avoir notifié l’incident à la CNIL et saisi l’ANSSI. C’est la procédure attendue quand tu as une violation de données personnelles, surtout avec des mineurs. La CNIL, elle, va regarder la nature des données, les mesures de sécurité, le délai de détection, et la façon dont les personnes concernées sont informées. L’ANSSI peut aider sur l’analyse technique et les recommandations de remédiation.

L’UNSS a aussi déposé plainte après la diffusion illégale d’extraits issus de son outil de gestion. Ça ne garantit pas qu’on retrouvera les auteurs – soyons honnêtes, les groupes se planquent, se renommant, se revendant les accès – mais ça enclenche une chaîne judiciaire et permet de centraliser des éléments. Et dans ce type de dossier, ce qui compte, c’est le temps: plus tu tardes, plus les données circulent et se dupliquent.

La fédération explique que la mise en vente récente des données a conduit à une nouvelle mobilisation des équipes et à l’activation des procédures prévues en matière de cybersécurité. Traduction: ils ont dû repasser en mode crise. En pratique, ça veut dire audits, rotation de mots de passe, revue des droits, surveillance des connexions, et parfois coupure temporaire de services. C’est souvent invisible pour le grand public, sauf quand les plateformes deviennent instables.

Point important: l’UNSS indique que les données financières (RIB, mandats de prélèvement Sepa) et les données relatives au handicap ne seraient pas concernées. C’est une nuance qui compte, parce que ça réduit certains risques très lourds. Mais ça ne doit pas servir d’excuse pour minimiser le reste. Une photo + identité + établissement, c’est déjà un cocktail suffisant pour des attaques ciblées, surtout sur des familles qui n’ont pas l’habitude de se méfier.

Ce que tu peux faire maintenant (et ce que l’État doit arrêter de bricoler)

Si ton enfant est licencié UNSS, la première chose, c’est de se préparer à une hausse de tentatives de phishing. Concrètement: tu ne cliques pas sur un lien reçu par mail/SMS “UNSS” sans vérifier l’expéditeur, tu ne donnes pas de documents sur un formulaire inconnu, et tu appelles l’établissement en passant par le numéro officiel si on te met la pression. Les arnaques jouent sur l’urgence, donc tu ralentis le tempo.

Deuxième réflexe: surveiller les réutilisations d’identité. Pour un mineur, c’est plus rare que pour un adulte, mais ça existe: création de comptes, demandes d’accès, faux profils. Si tu vois le nom et la photo de ton enfant traîner sur un compte chelou, tu captures, tu signales, et tu préviens l’établissement. Et si tu gères des mots de passe liés à des comptes scolaires ou associatifs, tu changes ceux qui pourraient être proches de l’identifiant UNSS.

Troisième point, et là je vais être un peu dur: il faut arrêter de faire porter tout le poids aux familles. On peut répéter “soyez vigilants” à longueur de journée, mais une base de 1,2 million de licenciés par an, sous tutelle de l’Éducation nationale, ça mérite une hygiène de sécurité au niveau. Authentification renforcée, segmentation, journaux d’accès analysés, tests d’intrusion réguliers, et surtout une culture du “on limite ce qu’on stocke”. Moins de données, moins de casse.

Et ce débat dépasse l’UNSS. Quand un groupe comme DumpSec revendique aussi des vols de données administratives à grande échelle, on voit bien le fil rouge: des systèmes trop exposés, des accès qui s’empilent, et des organisations qui courent derrière. On verra si cette affaire pousse vraiment à investir dans la sécurité des outils utilisés par l’école et ses satellites, ou si on repart pour un tour de communication, puis l’oubli jusqu’à la prochaine fuite.