skip to content
Gravité élevée alléguée

AlumnForce : fuite de données alumni

Une base d'environ 2,7 millions de profils alumni issus de la plateforme française AlumnForce a été mise en vente en avril 2026, plusieurs établissements clients confirmant l'incident.

Organisation
AlumnForce
Secteur
Éducation
Pays
France
Date des faits
Revendication apparue le week-end des 4 et 5 avril 2026, signalement public le 6 avril 2026. Second volet notifié par AlumnForce à ses établissements clients le 3 juillet 2026 (exfiltration de pièces jointes de dossiers), notification de l'ENS Paris-Saclay à 244 élèves et étudiants le 7 juillet 2026
Ampleur
Environ 2,7 millions de profils revendiqués par l'attaquant (dont environ 1,83 million d'adresses email uniques et environ 651 000 numéros de téléphone), chiffres non confirmés officiellement par AlumnForce
Vecteur
Compromission alléguée de la plateforme SaaS AlumnForce, base de données mise en vente par un acteur malveillant sur un forum cybercriminel
Données exposées
Nom et prénom, Adresse email, Numéro de téléphone, Ville et code postal, Parcours de formation et établissement, Poste et expériences professionnelles, Préférences de recherche d'emploi, Fourchette de rémunération souhaitée, Pièces jointes de dossiers de stages (volet de juillet 2026 : conventions de stage, CV, lettres de motivation, attestations de scolarité, éventuelles copies de pièces d'identité selon les dossiers)

En avril 2026, une base de données attribuée à la plateforme française AlumnForce, éditeur de solutions de gestion de réseaux d’anciens élèves pour des universités et grandes écoles, a été mise en vente sur un forum cybercriminel. La revendication, apparue le week-end des 4 et 5 avril et relayée publiquement le 6 avril 2026, fait état d’environ 2,7 millions de profils issus de 49 établissements, dont environ 1,83 million d’adresses email uniques et environ 651 000 numéros de téléphone.

Selon les sources consultées, les données exposées dépasseraient les simples coordonnées et incluraient l’identité, l’email, le téléphone, la ville, le parcours de formation, les expériences professionnelles, les préférences de recherche d’emploi et les fourchettes de rémunération souhaitées. Cette combinaison d’informations RH détaillées accroît le risque d’hameçonnage ciblé, d’usurpation d’identité professionnelle et d’arnaques au recrutement.

Plusieurs établissements clients ont indiqué être concernés, parmi lesquels l’Université de Strasbourg, l’Université Grenoble Alpes, ICN, l’Université Côte d’Azur, l’Université de Bordeaux et l’Université de Pau et des Pays de l’Adour, certains ayant déclaré avoir saisi les autorités compétentes au titre du RGPD. À ce stade, aucun communiqué officiel d’AlumnForce ni décision de la CNIL n’a pu être identifié.

Un second volet est apparu début juillet 2026 : AlumnForce a informé ses établissements clients le vendredi 3 juillet d’une attaque qualifiée de nationale ayant conduit à l’exfiltration de pièces jointes de dossiers, sans compromission des identifiants ni des mots de passe selon l’éditeur, qui indique avoir corrigé la faille dès sa détection. L’ENS Paris-Saclay a notifié par e-mail, le 7 juillet, 244 de ses élèves et étudiants concernés au titre de la gestion des stages : conventions de stage, CV, lettres de motivation, attestations de scolarité et, selon les dossiers, d’éventuelles copies de pièces d’identité, comportant identité, date de naissance, coordonnées et signature. L’école a saisi la CNIL et les autorités compétentes, et précise qu’à sa connaissance ces données n’ont été ni diffusées ni mises en vente. Ce volet est confirmé officiellement par l’établissement, mais les sources ne permettent pas d’établir s’il relève de la même intrusion que la revendication d’avril ou d’une nouvelle compromission de la plateforme ; la mention d’une attaque nationale laisse penser que d’autres établissements clients sont concernés, sans autre notification identifiée à ce stade.

Les volumétries d’avril proviennent de la revendication de l’attaquant et n’ont pas été confirmées par l’éditeur ou un régulateur, ce qui justifie un statut « alléguée » pour ce volet principal. Les faits sont toutefois recoupés par plusieurs sources indépendantes et par les confirmations d’établissements clients. L’image d’agrégateur fournie comme piste initiale n’a pas été retenue comme source, et aucune donnée fuitée n’est reproduite ici.