Synthèse de l'incident

Le 6 avril 2026, un acteur malveillant a mis en vente la base de données complète d'AlumnForce, la plateforme de réseaux d'anciens élèves utilisée par de nombreuses universités et grandes écoles françaises. 2,7 millions de profils sont exposés, contenant des données particulièrement sensibles : parcours professionnels complets, rémunérations souhaitées, compétences, disponibilité et diplômes. L'Université de Strasbourg a confirmé l'incident et saisi la CNIL.

Ce n'est pas une simple liste d'emails. C'est un annuaire professionnel complet de 2,7 millions de diplômés français, avec leurs salaires souhaités et leurs compétences. Une mine d'or pour le social engineering ciblé.

Qu'est-ce qu'AlumnForce ?

AlumnForce est une plateforme SaaS française qui fournit des solutions de gestion de réseaux d'anciens élèves (alumni) aux établissements d'enseignement supérieur. La plateforme est utilisée par :

  • Universités publiques : Strasbourg, Bordeaux, Lyon, Toulouse et de nombreuses autres
  • Grandes écoles : écoles de commerce, écoles d'ingénieurs
  • Écoles spécialisées : formations supérieures, MBA

La particularité d'AlumnForce est qu'elle centralise non seulement les coordonnées des anciens élèves, mais aussi leurs données professionnelles complètes, transformées en véritable outil de networking et de recrutement.

Données compromises

La base mise en vente contient des informations d'une richesse exceptionnelle pour des attaquants :

  • Identité : nom, prénom, date de naissance, adresse email, numéro de téléphone
  • Parcours académique : diplômes obtenus, années de promotion, établissements
  • Parcours professionnel : postes occupés, entreprises, durées, responsabilités
  • Rémunération souhaitée : prétentions salariales renseignées par les alumni
  • Compétences : langues, compétences techniques, certifications
  • Disponibilité : statut de recherche d'emploi, mobilité géographique

Pourquoi ces données sont-elles si sensibles ?

Contrairement à une fuite d'emails ou de mots de passe, cette base constitue un profil socio-professionnel complet de chaque victime. Un attaquant dispose de suffisamment d'informations pour :

  • Se faire passer pour un recruteur légitime avec une offre ciblée
  • Calibrer une attaque de spear phishing en utilisant le vocabulaire et le contexte professionnel de la cible
  • Usurper l'identité professionnelle d'un alumni pour accéder à des réseaux d'entreprise
  • Exploiter les informations salariales pour des arnaques à l'emploi

Vecteur d'attaque probable

Les détails techniques de la compromission n'ont pas encore été rendus publics. Cependant, les plateformes SaaS mutualisées comme AlumnForce présentent des vulnérabilités structurelles :

  • Architecture multi-tenant : une seule compromission peut exposer les données de tous les établissements clients
  • APIs de recrutement : les interfaces permettant aux recruteurs d'accéder aux profils sont des points d'entrée potentiels
  • Accès administrateurs : les comptes administrateurs des établissements, souvent protégés par de simples mots de passe, peuvent donner accès à l'ensemble de la base

Réactions

Université de Strasbourg

L'Université de Strasbourg a été la première institution à confirmer publiquement l'incident et à saisir la CNIL. Cette transparence, bien que douloureuse, est conforme aux obligations du RGPD qui impose une notification dans les 72 heures suivant la découverte d'une violation.

Obligations RGPD

Chaque établissement utilisant AlumnForce est responsable de traitement au sens du RGPD. Ils ont l'obligation de :

  1. Notifier la CNIL dans les 72 heures
  2. Informer individuellement les personnes concernées si le risque est élevé
  3. Documenter l'incident et les mesures correctives

Recommandations

Pour les établissements d'enseignement

  • Auditer les sous-traitants : vérifier les mesures de sécurité des plateformes SaaS utilisées pour gérer les données d'alumni. Exiger des audits de sécurité réguliers (pentest, audit SOC 2).
  • Minimiser les données collectées : les rémunérations souhaitées et la disponibilité sont-elles réellement nécessaires ? Le principe de minimisation du RGPD impose de ne collecter que les données strictement nécessaires.
  • Imposer la MFA : tous les accès administrateurs aux plateformes d'alumni doivent être protégés par une authentification multi-facteurs.
  • Chiffrer les données sensibles : les informations salariales et les données de disponibilité doivent être chiffrées au repos.

Pour les anciens élèves concernés

  • Se méfier des offres d'emploi non sollicitées : un email de recrutement mentionnant votre diplôme, votre poste actuel et votre prétention salariale n'est pas forcément légitime
  • Vérifier l'identité des recruteurs : contacter directement l'entreprise via ses canaux officiels avant de transmettre des documents (pièce d'identité, RIB)
  • Mettre à jour vos mots de passe : changer le mot de passe du compte AlumnForce et de tout service utilisant le même mot de passe
  • Surveiller votre identité numérique : activer les alertes Google sur votre nom pour détecter toute utilisation frauduleuse

Enseignements clés

L'incident AlumnForce révèle un angle mort de la sécurité dans l'enseignement supérieur : les plateformes d'alumni stockent des données professionnelles d'une richesse comparable à LinkedIn, mais sans les investissements sécurité d'un géant de la tech. La mutualisation sur une seule plateforme SaaS crée un point unique de défaillance qui affecte simultanément des dizaines d'établissements.

Le risque principal n'est pas le spam classique mais le social engineering de haute précision. Quand un attaquant sait que vous êtes diplômé de telle école en telle année, que vous occupez tel poste et que vous recherchez un salaire de tel montant, il peut construire un scénario d'arnaque parfaitement crédible.

Les réseaux d'anciens élèves sont des cibles de choix : des profils professionnels détaillés, une confiance implicite entre membres du même réseau, et une sécurité souvent déléguée à un sous-traitant sans contrôle.

Sources

  • Université de Strasbourg — Communication officielle et saisine CNIL (avril 2026)
  • CNIL — Obligations en cas de violation de données personnelles
  • AlumnForce — Notification d'incident de sécurité
  • Forum de leak — Mise en vente de la base AlumnForce (6 avril 2026)

Auditez la sécurité de vos sous-traitants

Vos plateformes SaaS protègent-elles correctement les données de vos utilisateurs ? C-DIM audite vos sous-traitants, vérifie la conformité RGPD et renforce la sécurité de vos données externalisées.

Contactez C-DIM

Ou écrivez-nous directement à contact@c-dim.fr