// LES NUMÉRIQUES — CYBERSECURITY
Actualité : Cyberattaque : 550 000 bénévoles piratés sur JeVeuxAider.gouv.fr, troisième plateforme publique percée en trois mois
La plateforme gouvernementale de bénévolat a été victime d'une cyberattaque le 15 juin. Noms, adresses e-mail, numéros de téléphone, dates de naissance et historiques d'engagement ont été aspirés via une faille de sécurité. C'est la troisième plateforme publique française touchée en trois mois, après l'ANTS et Tchap.
© JeVeuxAider.gouv.fr / Réserve civique - La plateforme gouvernementale JeVeuxAider.gouv.fr a été victime d'une cyberattaque le 15 juin 2026. Les données personnelles de 550 000 bénévoles ont été extraites.
Un pirate opérant sous le pseudonyme “misere” aurait exploité une faille IDOR (Insecure Direct Object Reference) dans l'API de JeVeuxAider.gouv.fr, la plateforme de la Réserve civique qui met en relation associations, collectivités et candidats au bénévolat.
Selon le site spécialisé French Breaches, qui a donné l'alerte, l'attaquant aurait automatisé des requêtes depuis plusieurs adresses IP et comptes pour extraire 16,2 Go de données couvrant environ 550 000 comptes, soit plus de 1,2 million d'enregistrements et 421 000 adresses e-mail uniques. Des échantillons auraient été mis en circulation sur un forum du dark web.
Le ministère des Sports, de la Jeunesse et de la Vie associative a confirmé l'attaque le 16 juin dans un communiqué de presse qui révèle, en creux, une gestion de crise fébrile : le document “annule et remplace” un premier communiqué diffusé à 9h annonçant la suspension temporaire de la plateforme. Le site a finalement été maintenu en ligne après correction de la faille, avec l'appui de la Direction interministérielle du numérique (DINUM).
Communiqué de presse du ministère des Sports, de la Jeunesse et de la Vie associative, publié le 16 juin 2026. Le document précise qu'il “annule et remplace” un premier communiqué diffusé à 9h annonçant la suspension temporaire de la plateforme.
Les données exposées comprennent les noms, adresses électroniques, numéros de téléphone, dates de naissance et historiques d'engagement des inscrits. Le ministère précise qu'il s'agit d'une “extraction de données en lecture seule”, qu'aucun mot de passe n'a été compromis et que la plateforme ne stocke ni données bancaires ni pièces d'identité. Les personnes concernées seront notifiées individuellement et invitées à la vigilance face aux tentatives de phishing usurpant l'identité de JeVeuxAider ou de ses partenaires.
Le risque va au-delà du phishing classique, puisque les données aspirées permettent de reconstituer le profil d'engagement citoyen de chaque bénévole : causes défendues, associations rejointes, collectivités sollicitées... Croisées, ces informations offrent un portrait précis des convictions personnelles des personnes concernées, exploitable pour du ciblage malveillant ou de l'ingénierie sociale.
C'est la troisième plateforme publique percée en trois mois. Mi-avril, l'Agence nationale des titres sécurisés (ANTS) révélait une compromission affectant 12 millions d'enregistrements. Début juin, la messagerie chiffrée de l'administration Tchap subissait une intrusion.
Trois brèches en série, au moment précis où le gouvernement annonce 655 millions d'euros pour l'IA souveraine et généralise un assistant Mistral à un million d'agents. La question de la sécurisation des infrastructures numériques de l'État rattrape celle de leur modernisation.