Skip to content

Pix Orga : 19 établissements scolaires, 14 817 fiches d'élèves revendiquées

Entre le 29 juin et le 4 juillet, 19 établissements scolaires français revendiqués sur un forum. 14 817 fiches d'élèves au format Pix Orga. Majorité de mineurs.

Publié le 5 min de lecture

Entre le 29 juin et le 4 juillet 2026, un même acteur a revendiqué sur un forum cybercriminel les données de 19 établissements scolaires français — collèges, lycées polyvalents, un lycée professionnel privé sous contrat et un lycée agricole — pour un total revendiqué de 14 817 fiches d'élèves. La structure des échantillons observés par Cyberattaque.org est celle d'un export Pix Orga — le portail d'administration de la plateforme Pix pour les établissements — avec des objets JSON de type sco-organization-participants. La majorité des dates de naissance visibles est comprise entre 2007 et 2010, ce qui place la fuite très majoritairement sur des mineurs.

Ce qui est revendiqué

Le fil de revendications s'étale sur six jours et culmine le 4 juillet, avec une vague de 15 établissements pour 11 533 fiches. Le premier cas identifié est le lycée Ambroise Brugière (Clermont-Ferrand) avec 1 324 fiches revendiquées ; trois établissements supplémentaires sont ajoutés le 30 juin avant la vague du 4 juillet. Les volumes les plus élevés relevés dans la vague du 4 juillet :

ÉtablissementFiches revendiquées
Lycée polyvalent Joseph-Marie Carriat (Bourg-en-Bresse)2 134
Lycée polyvalent Borde Basse1 748
Lycée des Métiers Saint-Exupéry1 572
Lycée Ambroise Brugière (Clermont-Ferrand)1 324

Les collèges revendiqués s'échelonnent de 189 à 711 fiches. Aucun grand lycée parisien ni aucun établissement du réseau AEFE n'apparaît dans la liste à ce stade.

La structure des données

Les échantillons partagés portent des noms de fichiers cohérents avec un export applicatif — élèves.ndjson dans le cas du lycée Ambroise Brugière — et un contenu NDJSON dont chaque ligne est un objet sco-organization-participants. Champs relevés : identité de l'élève, date de naissance, identifiant utilisateur, classe, campagne d'évaluation Pix, statut de participation, date de dernière activité, éligibilité à la certification, authentification via GAR (Gestionnaire d'accès aux ressources déployé par le Ministère de l'Éducation nationale).

Cette structure correspond au modèle d'un compte Pix Orga côté établissement — c'est ce qu'exporte un chef d'établissement ou un référent numérique qui télécharge la liste de ses participants Pix. Ce que le format ne dit pas : si les fichiers proviennent d'une compromission côté plateforme Pix, d'un vol de compte administrateur d'établissement, ou d'un accès obtenu ailleurs permettant de rejouer les exports. Aucune confirmation publique n'a été apportée par Pix, le Ministère ni les rectorats concernés.

Attribution et vecteur

Un même compte revendique l'ensemble des 19 fuites sur la période, ce qui suggère un opérateur unique — mais rien ne permet à ce stade d'attribuer la source à Pix, à un ENT tiers, ni à un prestataire numérique commun. L'acteur n'a pas revendiqué de compromission de la plateforme Pix elle-même. La cohérence du format entre les 19 lots suggère un point d'entrée reproductible, mais sa nature reste ouverte.

Ni Pix, ni la DNE (Direction du numérique pour l'éducation), ni l'ANSSI n'ont publié de communiqué à ce jour. En cas de compromission confirmée d'un traitement contenant des données de mineurs à cette échelle, la notification à la CNIL au titre de l'article 33 du RGPD est requise dans les 72 heures.

Que faire

  1. Chefs d'établissement des 19 lycées et collèges revendiqués — vérifier immédiatement les journaux Pix Orga et GAR. Comptes administrateurs et référents numériques : historique de connexion, IP, exports récents. Rotation des mots de passe des comptes établissement ayant Pix Orga dans leur périmètre.
  2. Rectorats — activer la chaîne de remontée. DAN (Délégation académique au numérique) et DSI académique saisies pour cadrage technique et coordination avec la DNE. La notification CNIL par établissement est distincte de celle que ferait Pix ou la DNE si la source est côté plateforme.
  3. Familles des élèves des établissements listés — vigilance renforcée durant l'été. Les données revendiquées suffisent à un phishing crédible : nom, classe, établissement, campagne récente. Scénarios probables : faux message académique de "convocation à un rattrapage", faux SMS Pix de reconnexion, faux appel administratif demandant un identifiant parent.
  4. Pix (opérateur) — clarifier publiquement l'origine du vecteur. Un point technique bref sur la nature de l'accès (compte établissement, side-load applicatif, incident côté plateforme) éviterait aux 19 établissements de communiquer sur des scénarios contradictoires.
  5. Autres établissements utilisateurs de Pix Orga — revue des comptes administrateurs prioritaire à la rentrée. Comptes anciens, rôles étendus, comptes partagés, MFA effective ou non : c'est la surface d'attaque si le vecteur est côté client.

Contexte

Cette vague s'inscrit dans une année 2026 marquée par des fuites répétées de données scolaires françaises. En avril, une compromission d'ÉduConnect avait exposé 3,5 millions d'élèves mineurs et 7,2 millions de bulletins. En mai, apps.education.fr a vu plus de 143 000 comptes d'agents et personnels de l'Éducation nationale diffusés.

L'écosystème numérique éducatif français — GAR, Pix, ENT, ÉduConnect, apps.education.fr, Pronote, Skolengo — additionne données de mineurs, identifiants pédagogiques et accès délégués à des dizaines d'opérateurs. La surface est vaste, la coordination des notifications faible, et le calendrier d'été laisse la fenêtre ouverte à la vague suivante avant le retour des chefs d'établissement. Chaque incident sans clarification technique côté opérateurs renforce la même hypothèse défensive : les comptes administrateurs des plateformes pédagogiques sont un point d'entrée sous-surveillé, et la volumétrie de mineurs concernés en 2026 dépasse déjà celle des deux années précédentes.

Articles liés