Mercredi 4 février 2026, un incident de cybersécurité a exposé des données de candidats de « Choisir le service public ». L’administration évoque un accès frauduleux et une revente sur le dark web.
La plateforme « Choisir le service public » (CSP) a subi un incident de cybersécurité détecté mercredi 4 février 2026, après une attaque datée du 28 janvier 2026. Selon la DGAFP, un compte gestionnaire a été utilisé frauduleusement, ouvrant un accès non autorisé au vivier de candidats. Les données personnelles de 377 418 inscrits auraient été mises en ligne sur le dark web en vue d’une vente, et un extrait portant sur 1 000 candidats aurait été diffusé en accès libre sur internet. Les mots de passe ne sont pas concernés. La CNIL et l’ANSSI ont été notifiées, une plainte est annoncée.
Une porte d’entrée par compte gestionnaire
Le scénario décrit par la Direction générale de l’administration et de la fonction publique est celui qui inquiète le plus les équipes de sécurité, parce qu’il brouille la frontière entre usage légitime et intrusion. L’attaque remonte au 28 janvier 2026 et repose, d’après la DGAFP, sur l’utilisation frauduleuse d’un compte gestionnaire. Autrement dit, l’accès n’a pas nécessairement forcé une barrière technique visible par les utilisateurs, il a contourné la confiance associée à un profil d’administration. Une fois la porte ouverte, une ou plusieurs personnes auraient pu consulter le vivier des candidats inscrits sur CSP.
L’incident, détecté mercredi 4 février 2026, a conduit à des investigations techniques rapides, menées par les équipes de la DGAFP, qui disent avoir identifié l’origine de la fuite et la nature précise des informations impliquées. Le périmètre est lourd, car il touche au socle identitaire et aux coordonnées permettant l’usurpation ou l’hameçonnage ciblé. Sont cités le nom, le prénom, l’adresse e-mail, la date de naissance, le numéro de téléphone, l’adresse postale, le niveau de diplôme et des souhaits de mobilité. La DGAFP insiste sur un point clé pour limiter l’effet domino, aucun mot de passe personnel d’accès aux comptes candidats n’est concerné.
News & Réseaux Sociaux ZATAZ
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.
La fuite ne s’arrête pas à l’identité civile. Les informations exposées incluent aussi des éléments sur les aspirations professionnelles, le type de poste recherché, le domaine de spécialisation, les langues maîtrisées avec le niveau associé, la catégorie d’emploi visée, et les préférences de localisation pour un futur poste. En revanche, les CV et les pièces jointes ne figurent pas dans les données compromises, selon le message transmis. Ce détail réduit certains risques, mais il ne neutralise pas la capacité d’un attaquant à construire des messages crédibles, personnalisés, et donc plus difficiles à détecter.
Du dark web à la riposte opérationnelle
Le chiffre avancé donne l’échelle du choc, 377 418 candidats verraient leurs données personnelles mises en ligne sur le dark web pour être vendues. À la connaissance de l’administration, un jeu de données portant sur 1 000 candidats aurait même été rendu accessible librement sur internet. Cette combinaison, revente d’un côté, diffusion gratuite de l’autre, est typique d’une stratégie de pression, la mise à disposition d’un extrait servant de preuve, d’appât ou d’accélérateur de diffusion. Dans ce contexte, l’urgence n’est pas seulement de corriger une faille, elle est d’empêcher toute nouvelle extraction et de limiter l’exploitation des informations déjà parties.
Les mesures de sécurité ont été déployées dès la découverte de l’incident. Une partie des fonctionnalités a été suspendue pendant plusieurs jours, l’accès à l’espace candidat, la candidature aux offres des employeurs recrutant directement sur CSP et la saisie manuelle de nouvelles offres. L’administration précise que les offres déjà publiées sont restées en ligne. La logique opérationnelle est claire, réduire la surface d’attaque et reprendre la main sur les chemins d’accès sensibles, même au prix d’un service dégradé. Après la mise en place de correctifs destinés à renforcer la sécurité, la réouverture complète est annoncée pour mardi 10 février 2026.
Sur le volet réglementaire et judiciaire, la DGAFP indique avoir notifié la fuite à la CNIL et à l’ANSSI, conformément aux obligations liées au RGPD. Une plainte doit être déposée auprès du procureur de la République, un dépôt de plainte étant également décrit comme « en cours ». Les personnes concernées doivent être informées individuellement « très prochainement » et sensibilisées aux risques, l’e-mail adressé aux candidats rappelant les précautions d’usage et renvoyant vers le délégué à la protection des données, joignable à l’adresse le-delegue-a-la-protection-des-donnees-personnelles@finances.gouv.fr. L’enjeu, désormais, est de contenir la réutilisation des données, car dans le cycle de la cybercriminalité, la fuite n’est souvent que l’acte I, et l’exploitation, l’acte II.
