Un million et demi de photos d’enfants en vente libre. Pas dans un scénario dystopique, pas dans un rapport alarmiste de la CNIL. Cela vient de se passer en France en 2026 alors qu’Emmanuel Macron martèle depuis le début de son premier mandat qu’il souhaitait que le pays devienne une « start-up nation. »

Le 28 février, le groupe de cybercriminels DumpSec a revendiqué le piratage de l’Union nationale du sport scolaire et la mise en vente, sur des forums clandestins, de 65 gigaoctets de données extraites de ses serveurs. Le butin est vertigineux : exactement 1 557 000 photographies d’élèves de collèges et lycées, accompagnées de leurs noms, prénoms, dates de naissance, classes, établissements fréquentés, adresses complètes et noms d’assureurs. Autrement dit, la fiche d’identité numérique détaillée de plus d’un million de mineurs français, livrée clé en main à quiconque y mettra le prix.

L’UNSS est censée organiser le sport scolaire dans le secondaire. Elle encadre les compétitions entre collégiens et lycéens, gère les inscriptions, stocke les dossiers. Protéger les données des enfants qu’on lui confie devrait être un prérequis, pas une option.

Le mot de passe « France-98 » : une fable devenue habitude

Le plus effarant dans cette affaire, c’est qu’elle n’est même pas nouvelle. En juin 2025, deux adolescents de 13 et 17 ans — pseudos « Mizad » et « Mensonge » — avaient déjà forcé l’accès à Opuss, l’intranet de l’UNSS, et aspiré les données de 7,8 millions de profils sur six saisons d’archives. Le Parisien avait révélé l’affaire. Le mode opératoire tenait du sketch : le plus jeune avait trouvé le mot de passe d’un fonctionnaire à Bordeaux. Ce mot de passe ? « France-98 ». On ne plaisante pas. Huit caractères, zéro imagination, zéro sécurité.

Lors de ce premier raid, 889 000 photos avaient été siphonnées. L’UNSS avait juré avoir « pris de nouvelles mesures, notamment la double authentification, pour sécuriser les connexions dès la rentrée ». Huit mois plus tard, DumpSec en extrait 668 000 de plus, porte le total à 1,5 million et met le tout en vente. Les nouvelles mesures ont visiblement fonctionné aussi bien que le mot de passe « France-98 ».

DumpSec : habitués des institutions françaises

Le nom DumpSec n’est pas inconnu des spécialistes. Ce même groupe russophile a revendiqué, la même semaine, le piratage de Cegedim Santé, exposant les données administratives de 15 millions de patients français — y compris, selon France 2, des annotations médicales mentionnant l’orientation sexuelle ou le statut VIH de certains d’entre eux. Interrogée par l’AFP, la CNIL a répondu avec sa prudence coutumière qu’elle n’était « pas en capacité, à ce stade, de confirmer l’ampleur de la violation alléguée ». On respire.

En clair, un seul groupe de hackers a mis à nu en quelques jours les données de santé de 15 millions de Français et les photos d’identité de 1,5 million d’écoliers, et la réponse officielle tient en un conditionnel poli. Guillaume Champeau, fondateur de Numerama, résumait la situation dès décembre dernier : « Le RGPD est devenu une blague pour les responsables de traitement. Au lieu d’envoyer le signal qu’il fallait protéger les données, on a envoyé celui qu’on pouvait s’en foutre. »

Des enfants livrés aux prédateurs

Derrière les chiffres, il y a des visages. Des gamins de sixième dont la photo, le nom, l’adresse et le collège circulent désormais sur des forums où l’on ne vient pas chercher des résultats de cross scolaire. Le site French Breaches, qui a documenté la fuite, parle d’une « extraction structurée » — pas un accident, pas une brèche isolée, mais un aspirateur méthodique ayant vidé les serveurs de l’UNSS dans les règles de l’art.

Les risques sont concrets et le mot est faible. Usurpation d’identité de mineurs, harcèlement ciblé, escroqueries calibrées, et plus grave encore : des photos d’enfants identifiés, localisés, accompagnées de leur date de naissance, accessibles à n’importe quel prédateur disposé à payer. Le spécialiste en cybersécurité Clément Domingo, alias SaxX, posait sur les réseaux sociaux la question qui fâche : « Comment vouloir imposer une vérification de l’âge avec des pièces d’identité ou des selfies, si on ne s’occupe même pas de la sécurité de sites où sont stockées les données de nos enfants ? »

L’État numérique : un château de cartes

Le scandale de l’UNSS n’est pas un cas isolé. C’est un symptôme. En décembre 2025, les données de 1,6 million de jeunes suivis par les Missions locales avaient déjà fuité via France Travail. La CFDT s’est fait dérober 1,4 million de dossiers d’adhérents. Les hôpitaux tombent les uns après les autres. À chaque fois, le même scénario : des systèmes d’information sous-dimensionnés, des mots de passe grotesques, des alertes ignorées pendant des mois, et au bout de la chaîne, une CNIL qui « analyse avec attention » et une ANSSI qui « recommande la vigilance ».

Malgré le signalement officiel de l’intrusion de juin 2025 aux autorités, la base de données de l’UNSS était apparemment toujours accessible à d’autres hackers des mois plus tard. Le mot « réactivité » n’a pas la même définition partout.

La France dépense des milliards en transformation numérique, en identité numérique, en dématérialisation des services publics. Mais elle oublie systématiquement l’essentiel : verrouiller la porte avant d’y entreposer les données de ses citoyens. Et quand ce sont des enfants, l’oubli devient une faute.

Un million et demi de photos de mineurs français sont en vente sur le dark web. C’est un fait. La seule question qui vaille désormais, c’est de savoir si quelqu’un, quelque part dans l’appareil d’État, compte faire autre chose que « suivre la situation avec attention ». Et tout cela marque irrémédiablement l’effondrement général de l’Etat français.