Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Malo Guillou
Veille Informatique
les informations personnelles de 310 000 jeunes mises en vente sur le darkweb
La Région Occitanie a subi une cyberattaque permettant à un groupe de hackeurs de voler les données de 310 000 jeunes bénéficiaires de la « Carte Jeune Région ». Nom, prénom, coordonnées, mais aussi photo individuelle et établissement scolaire figureraient sur cette base de données. La Région a déposé plainte.
France Télévisions utilise votre adresse e-mail afin de vous envoyer la newsletter « La Quotidienne Société ». Vous pouvez vous désinscrire à tout moment via le lien en bas de cette newsletter. Notre politique de confidentialité
Mardi 10 mars 2026, French Breaches, un site web indépendant dédié au suivi et à la documentation des fuites de données en France, a révélé que 310 000 jeunes bénéficiaires de la « Carte Jeune Région » en Occitanie auraient vu leurs informations personnelles dérobées et mises en vente sur le darkweb.
Contactée par France 3 Occitanie, la Région a confirmé avoir appris dès jeudi 5 mars par son prestataire de service qu’un « incident de sécurité sur le système informatique de la Carte Jeune » s’était produit, sans pouvoir préciser le nombre de personnes touchées. Le dispositif « Carte Jeune » permet aux 230 000 lycéens de la région, ainsi qu’aux jeunes apprenants en établissements spécialisés, d’accéder à des « bons plans » commerciaux et culturels, ainsi qu’à leur établissement scolaire.
Données potentiellement sensibles
Selon le site internet French Breaches, captures d’écran à l’appui, la base de données ayant fuité contiendrait de nombreuses informations personnelles. Nom, prénom, date de naissance, adresse postale et courriel, numéro de téléphone, établissement et niveau scolaires, numéro du dossier administratif, statut administratif et date d’inscription auraient ainsi été exposées. Les coordonnées des représentants légaux figureraient également sur cette base.
De son côté, la Région ne confirme pour l’heure qu’une partie de ces informations. Interrogée par France 3, elle affirme que seuls les « nom, prénom, date de naissance, courriel, numéro de téléphone », mais aussi « le téléphone et courriel des représentants légaux », figurent sur la base. « Des analyses plus poussées sont actuellement en cours », prévient toutefois la Région.
Lundi 9 mars, la Direction de l’Éducation, de la Jeunesse et de l’Orientation scolaire à la Région adressait un mail aux victimes de la cyberattaque affirmant « qu’aucune donnée sensible », notamment bancaire, « n’a été compromise ».
Le site French Breaches, animé par une « équipe de passionnés » de cybersécurité, assure pourtant que parmi les 310 000 jeunes, 270 783 auraient également vu leur photo d’identité fuiter, soit 41 gigaoctets de photos. Les données biométriques sont définies par la CNIL comme des données sensibles.
Mise en vente sur le darkweb
Sollicité par France 3 Occitanie, le site French Breaches indique avoir détecté la fuite de données mardi 10 mars, lorsqu’un groupe de hackeurs appelé « DumpSec » a mis en ligne les données confidentielles des bénéficiaires de la Carte Jeune. Selon French Breaches, elles seraient actuellement disponibles à la vente sur le darkweb, une partie d’Internet non indexée par les moteurs de recherche classique.
La vente de données personnelles est une pratique répandue sur le darkweb. Ces informations peuvent être exploitées par des entreprises dans le cadre de campagnes de publicité ciblée. Mais elles suscitent également la convoitise de cybercriminels, qui les utilisent pour des opérations de « hameçonnage » ou « phishing », une pratique consistant à usurper l’identité d’une personne pour extorquer de l’argent. Il existe enfin un risque que ces informations soient instrumentalisées dans le cadre de campagnes d’influence ou de manipulation.
Le groupe DumpSec est connu pour avoir déjà piraté plusieurs organisations, dont l’Union nationale du sport scolaire (UNSS), principale fédération du sport scolaire, début mars. La Région Occitanie indique avoir « immédiatement signalé cet incident à la CNIL et déposé plainte ».
À lire aussi : « Personne n’est à l’abri d’une cyberattaque » : comment entreprises et chercheurs s’unissent pour lutter contre le piratage informatique
Mesures de précaution
Les jeunes ayant été touchés par la fuite de données sont invités à changer le mot de passe de leur espace personnel « Carte Jeune Région ». Il est également conseillé de rester très vigilant à toute tentative d’hameçonnage, se manifestant par des messages ou appels inhabituels.
La Région a mis à disposition un numéro de téléphone et une adresse mail en cas de doute ou question : 05 32 30 00 40 (du lundi au vendredi de 8h30 à 18h30) – dpd@laregion.fr.
