La plateforme gouvernementale de bénévolat JeVeuxAider.gouv.fr a été victime d’une cyberattaque le 15 juin 2026. 550 000 comptes, 16,2 Go de données personnelles exfiltrés. Et c’est la troisième plateforme publique percée en trois mois.
Le gouvernement l’a confirmé le 16 juin via un communiqué du ministère des Sports, de la Jeunesse et de la Vie associative : JeVeuxAider.gouv.fr, la plateforme qui met en relation associations, collectivités et bénévoles, a subi une intrusion. Un pirate utilisant le pseudonyme « misere » a exploité une faille IDOR (Insecure Direct Object Reference) dans l’API du site pour aspirer les données de 550 000 comptes. Soit 16,2 Go de données, plus de 1,2 million d’enregistrements, dont 421 000 adresses e-mail uniques. La méthode ? Des requêtes automatisées lancées depuis plusieurs adresses IP et comptes différents. Imparable tant que la vulnérabilité n’est pas corrigée.
Les Numériques, qui a révélé l’information le 17 juin, précise que le pirate a diffusé des échantillons sur un forum du dark web, confirmant la réalité de la fuite. Un échantillonnage qui ne laisse aucun doute sur le volume et la nature des données compromises.
Une faille IDOR grande ouverte
Les failles IDOR, ce sont ces vulnérabilités qui permettent à un attaquant de modifier un identifiant dans une requête API pour accéder à des données qui ne lui sont pas destinées. Ici, le pirate n’a pas eu besoin de forcer grand-chose : l’API renvoyait les données de n’importe quel utilisateur à qui savait changer un paramètre dans l’URL. Un classique de la sécurité web, documenté dans l’OWASP Top 10 depuis des années, et pourtant toujours pas bloqué sur une plateforme gouvernementale gérant des données personnelles.
Les données compromises incluent noms, adresses e-mail, numéros de téléphone, dates de naissance et historiques complets d’engagement : causes soutenues, associations rejointes, collectivités sollicitées. Un profil citoyen quasi complet livré sur un plateau. Côté réconfort : aucun mot de passe n’a été compromis, et le site ne stocke ni données bancaires ni pièces d’identité. La faille a été corrigée avec l’appui de la Direction interministérielle du numérique (DINUM), et les personnes concernées seront notifiées individuellement par e-mail.
La gestion de crise, en revanche, a montré quelques signes de fébrilité. Le ministère a d’abord annoncé la suspension temporaire de la plateforme dans un premier communiqué, avant de faire machine arrière et de maintenir le site en ligne avec un second message. Un revirement qui n’a pas échappé aux observateurs.
Trois brèches en trois mois
L’incident s’inscrit dans une série qui commence à faire tache. Mi-avril 2026, l’ANTS (Agence nationale des titres sécurisés) subissait une fuite de 12 millions d’enregistrements touchant permis, passeports et cartes d’identité. Début juin, Tchap, la messagerie chiffrée de l’État, voyait 73 000 comptes d’agents et 643 000 messages exposés après une compromission de jeton d’authentification. Et maintenant JeVeuxAider. Trois plateformes publiques, trois failles de conception différentes, zéro leçon visiblement retenue.
La chronologie est d’autant plus gênante que ces brèches surviennent alors que le gouvernement annonce 655 millions d’euros pour l’IA souveraine et déploie un assistant Mistral à un million d’agents. Difficile de vendre la souveraineté numérique quand les API du bénévolat laissent passer n’importe qui. Les 655 millions d’euros serviront-ils aussi à sécuriser ce qui existe déjà, ou exclusivement à financer le prochain grand projet ? La question mérite d’être posée.
Le phénomène n’est d’ailleurs pas uniquement français. Les cyberattaques se multiplient en Europe : opérateurs télécoms, chaînes d’hôtels, fédérations sportives. Mais la concentration de brèches sur les plateformes publiques françaises en si peu de temps interroge sur les processus de validation de sécurité en amont du déploiement.
Le vrai risque ? Le phishing chirurgical
Si les mots de passe sont épargnés, le danger est ailleurs. Les données d’engagement permettent de reconstituer une cartographie précise des centres d’intérêt de chaque bénévole. Un attaquant peut envoyer un e-mail ultra-ciblé : « Bonjour, vous avez participé à une mission avec la Croix-Rouge en mars, cliquez ici pour confirmer vos coordonnées ». Le taux de conversion d’un tel phishing est bien plus élevé qu’un mail générique. Les données de 421 000 adresses e-mail uniques offrent un terrain de jeu considérable pour l’ingénierie sociale.
Le gouvernement recommande la vigilance face aux tentatives d’hameçonnage usurpant l’identité de JeVeuxAider ou de ses partenaires. Les associations et bénévoles concernés feraient bien de surveiller leurs boîtes mail dans les semaines à venir. La plateforme reste opérationnelle, « dans des conditions de sécurité renforcées », selon le communiqué officiel relayé par l’AFP.
Au-delà du cas individuel, c’est toute la confiance dans le bénévolat numérique qui est en jeu. JeVeuxAider met en relation de grandes associations nationales, des petites structures locales et des collectivités. La perspective que les données personnelles des bénévoles puissent fuiter à tout moment n’encourage pas l’engagement citoyen.
Le timing est aussi cruel que révélateur : 655 millions pour l’IA et ses promesses de modernisation, une API qui fuite comme une passoire. La cybersécurité des infrastructures de l’État court visiblement derrière sa propre modernisation. Et pour l’instant, elle ne rattrape pas son retard.
