AlumnForce : 2,7 millions de profils d'anciens élèves exposés

Synthèse de l'incident

Le 6 avril 2026, une base de données contenant 2,7 millions de profils issus de la plateforme AlumnForce a été mise en vente sur un forum cybercriminel. AlumnForce est le principal éditeur français de plateformes de réseaux d'anciens élèves, utilisé par de nombreuses grandes écoles et universités en France.

L'Université de Strasbourg a confirmé être concernée par la fuite et la CNIL a été saisie. L'ampleur exacte de la compromission — nombre d'établissements affectés, période d'exposition — est encore en cours d'investigation.

2,7 millions de profils avec parcours professionnels, rémunérations et diplômes. C'est une mine d'or pour l'ingénierie sociale ciblée et l'usurpation d'identité professionnelle.

Données exposées

Un profil complet par individu

Les données en vente sont particulièrement détaillées. Il ne s'agit pas de simples emails — chaque profil contient un panorama complet de la vie professionnelle et académique de l'individu :

• Parcours professionnel : postes occupés, entreprises, dates, descriptions de fonctions
• Rémunération : tranches salariales, parfois montants précis déclarés sur la plateforme
• Compétences : expertises déclarées, certifications, langues parlées
• Diplômes : établissement, filière, année d'obtention, mentions
• Coordonnées : emails personnels et professionnels, numéros de téléphone, adresses postales
• Données de connexion : hash de mots de passe, dates de dernière connexion

Pourquoi ces données sont dangereuses

La combinaison parcours professionnel + rémunération + diplômes crée un profil d'ingénierie sociale parfait. Un attaquant qui connaît votre poste, votre salaire, votre école et vos collègues peut :

• Usurper votre identité professionnelle : créer un faux profil LinkedIn crédible, se faire passer pour vous auprès de recruteurs ou clients
• Mener du spear phishing ultra-ciblé : envoyer un email mentionnant votre école, votre promo, un ancien professeur
• Extorquer : menacer de publier des informations salariales sensibles
• Fraude au recrutement : utiliser vos vrais diplômes et votre parcours pour postuler à votre place

AlumnForce : un point unique de défaillance

Le modèle SaaS centralisé

AlumnForce fonctionne comme une plateforme SaaS mutualisée : des dizaines d'établissements d'enseignement supérieur confient la gestion de leur réseau d'anciens à un même éditeur. Ce modèle crée un point unique de défaillance : compromettre AlumnForce revient à compromettre simultanément tous ses clients.

Établissements potentiellement concernés

Bien que seule l'Université de Strasbourg ait confirmé officiellement à ce stade, AlumnForce compte parmi ses clients de nombreux établissements prestigieux. L'investigation est en cours pour déterminer le périmètre exact de la fuite.

Le risque principal est que la compromission concerne l'ensemble de la base mutualisée, et non un seul établissement. Dans ce cas, les 2,7 millions de profils représenteraient des anciens élèves de dizaines d'écoles et universités françaises.

Réponse et réactions

Université de Strasbourg

L'Université de Strasbourg a été la première à confirmer publiquement être concernée. Elle a :

• Notifié la CNIL conformément au RGPD (dans les 72 heures)
• Informé ses anciens élèves de la fuite
• Recommandé le changement de mot de passe sur toutes les plateformes utilisant les mêmes identifiants

CNIL

La CNIL a été saisie et a ouvert une enquête. Les questions clés portent sur :

• Le niveau de sécurité mis en œuvre par AlumnForce pour protéger les données
• La durée de conservation des données (certains profils datent de plus de 15 ans)
• La conformité au RGPD des traitements effectués

Le problème de la rétention des données

Les plateformes d'anciens élèves posent un problème fondamental de durée de conservation. Par nature, ces plateformes accumulent des données sur des décennies — un ancien élève de 1990 a toujours un profil en 2026. Cette rétention massive augmente considérablement le volume exposé en cas de fuite.

Le RGPD impose le principe de minimisation des données et de limitation de la conservation. Les plateformes d'alumni doivent trouver un équilibre entre la valeur réseau (qui augmente avec l'ancienneté) et les risques liés à la conservation de données anciennes.

Recommandations

Pour les personnes concernées

• Changer vos mots de passe : sur AlumnForce et sur tout service utilisant le même mot de passe
• Surveiller vos identités numériques : vérifier qu'aucun faux profil LinkedIn ou compte frauduleux n'a été créé avec vos données
• Méfiance envers les emails ciblés : un email mentionnant votre école, votre promo ou un ancien professeur n'est pas forcément légitime
• Exercer vos droits RGPD : vous pouvez demander la suppression de votre profil AlumnForce

Pour les éditeurs SaaS

• Chiffrement des données sensibles : les rémunérations, les coordonnées et les hash de mots de passe doivent être chiffrés au repos
• Isolation des tenants : chaque établissement doit être isolé logiquement pour limiter l'impact d'une compromission
• Purge des données anciennes : mettre en place des politiques de rétention conformes au RGPD
• Tests d'intrusion réguliers : particulièrement sur les API et les mécanismes d'authentification

Enseignements clés

L'incident AlumnForce illustre un risque souvent sous-estimé : les plateformes de niche qui ne font pas les gros titres mais concentrent des données extrêmement sensibles. 2,7 millions de profils avec parcours pro, salaires et diplômes représentent une valeur considérable pour les attaquants — et un risque majeur pour les individus concernés.

La centralisation des données de dizaines d'établissements chez un même éditeur SaaS amplifie le risque : une seule compromission expose l'ensemble du réseau. C'est le prix caché de la mutualisation.

Votre CV, votre salaire, vos diplômes, vos coordonnées : tout ce qu'il faut pour usurper votre identité professionnelle. Et ces données étaient sur une plateforme à laquelle vous ne pensiez probablement plus.

Sources

• Université de Strasbourg — Communiqué sur la fuite de données AlumnForce
• CNIL — Ouverture d'enquête sur AlumnForce
• Forum cybercriminel — Analyse de l'annonce de vente (échantillons vérifiés)
• AlumnForce — Communication officielle aux établissements clients