UNSS : fuite de données d'élèves licenciés

L’Union nationale du sport scolaire (UNSS), fédération placée sous la tutelle du ministère de l’Éducation nationale et regroupant chaque année environ 1,2 million de licenciés âgés de 11 à 18 ans, a confirmé fin février 2026 avoir été informée de la publication illégale, sur un site du darknet, d’extraits de données issues de son outil de gestion OPUSS. Selon les éléments rapportés par la presse, l’exfiltration aurait eu lieu dès novembre 2025, les données ayant ensuite été mises en vente début 2026 par un groupe se présentant sous le nom DumpSec.

Les données exposées comprennent des informations d’identification d’élèves mineurs, notamment noms, prénoms, genre, dates de naissance, adresses postales et e-mail, établissements scolaires, classes, dates d’inscription, numéros d’adhérents ainsi que des URL de photographies d’identité. L’UNSS a indiqué que les liens permettant d’accéder aux images avaient été rendus inopérants et a précisé que les données financières (coordonnées bancaires, mandats SEPA) et les informations relatives au handicap n’étaient pas concernées.

L’incident a été notifié à la CNIL et l’ANSSI a été saisie pour analyser l’attaque. La fédération indique avoir déposé plainte et mis en place des mesures de renforcement de la sécurité, dont la suppression des comptes inactifs, le renouvellement généralisé des mots de passe, le renforcement de l’authentification et de nouveaux tests d’intrusion.

Certains chiffres relayés par des agrégateurs de veille, comme un volume de 65 Go et un total de 1 557 000 photos d’élèves, n’ont pas été validés publiquement par l’UNSS et doivent être considérés avec prudence. Le périmètre exact du nombre de personnes réellement affectées restait à préciser à la date de révélation publique. La mention « UNSS #2 » relevée par l’agrégateur source paraît correspondre à une seconde alerte relative au même incident, sans constituer une fuite distincte confirmée.