Stych : fuite de données d'élèves de l'auto-école en ligne
L'auto-école en ligne française Stych a confirmé en novembre 2025 une violation de données personnelles, une base d'environ 1,34 million d'enregistrements ayant ensuite été mise en vente sur un forum.
- Organisation
- Stych (stych.fr)
- Secteur
- Éducation
- Pays
- France
- Date des faits
- Notification officielle aux utilisateurs le 7 novembre 2025 ; mise en vente sur forum vers le 8 mars 2026, puis nouveau dump revendiqué mi-mai 2026
- Ampleur
- Environ 1,34 million d'enregistrements clients revendiqués par le pirate (volume non confirmé officiellement)
- Vecteur
- Non précisé publiquement ; exfiltration de base de données suivie d'une mise en vente sur forum cybercriminel
- Données exposées
- Nom et prénom, Date de naissance, Adresse e-mail, Numéro de téléphone, Adresse postale, Données liées au profil élève et à la formation (alléguées), Nationalité (alléguée), Statut de compte (allégué)
Stych, plateforme française d’auto-école en ligne (préparation au code et au permis de conduire), a confirmé une violation de données personnelles. Dans un courriel adressé à ses utilisateurs daté du 7 novembre 2025, l’entreprise a fait état d’une récente violation ayant compromis certaines informations personnelles, en précisant que les données bancaires, les documents personnels et les mots de passe n’auraient pas été touchés. Stych indique avoir renforcé ses mesures de sécurité et notifié la CNIL, conformément aux obligations des articles 33 et 34 du RGPD.
Selon la communication de l’entreprise, les données concernées comprennent notamment nom, prénom, date de naissance, adresse e-mail, numéro de téléphone et adresse postale. Stych a invité ses utilisateurs à se méfier des e-mails, SMS et appels suspects susceptibles de suivre, le profil des personnes touchées, jeunes conducteurs et candidats au permis, étant propice aux campagnes d’hameçonnage et d’usurpation se faisant passer pour Stych ou l’ANTS.
Plusieurs agrégateurs de veille font ensuite état d’une mise en vente de la base sur un forum cybercriminel. Une annonce attribuée à un acteur surnommé « keta » apparaît vers le 8 mars 2026, suivie mi-mai 2026 d’un nouveau dump revendiqué par un acteur nommé « Lagui ». Ces sources évoquent environ 1 342 952 enregistrements et des champs additionnels (nationalité, données de formation, statut de compte). Ce volume et le contenu exact du jeu de données restent toutefois des affirmations de l’attaquant, non confirmées officiellement par Stych ni par la CNIL.
À ce stade, la violation elle-même est confirmée par l’organisation, tandis que l’ampleur chiffrée et l’authenticité du dump diffusé en 2026 relèvent d’allégations à confirmer indépendamment. La date indicative fournie par l’agrégateur (8 mars 2026) correspond à la mise en vente sur forum et non à la révélation initiale, qui remonte à la notification officielle de novembre 2025. L’image d’agrégateur signalée n’a pas été utilisée comme source primaire.