Cyberattaque sur « Choisir le service public » : 377 000 candidats exposés

Par assia le 18.02.2026 18.02.2026

Personnes assises à une table tenant des stylos lors d'une réunion de travail

La plateforme gouvernementale « Choisir le service public », portail de recrutement de la fonction publique française, a été victime d'une cyberattaque majeure le 28 janvier 2026. Les données personnelles de 377 418 candidats inscrits ont été dérobées puis mises en vente sur le dark web, exposant des centaines de milliers de personnes à des risques d'usurpation d'identité et de phishing ciblé.

L'incident n'a été détecté que le 4 février par les équipes de la Direction générale de l'administration et de la fonction publique (DGAFP), soit une semaine après l'intrusion. Selon les premières analyses, l'attaque a été menée par l'utilisation frauduleuse d'un compte gestionnaire, permettant aux pirates d'accéder directement au vivier de candidats de la plateforme. La DGAFP a immédiatement déployé des mesures de sécurité pour empêcher toute nouvelle extraction de données.

L'ampleur de la fuite est considérable. Les informations compromises comprennent l'état civil complet des candidats – nom, prénom, date de naissance –, leurs coordonnées postales, téléphoniques et électroniques, ainsi que leur niveau de diplôme et leur parcours académique. Plus inquiétant encore, les données relatives au projet professionnel des utilisateurs ont également été exfiltrées : type de poste recherché, domaine de spécialisation, langues maîtrisées, catégorie d'emploi visée et préférences géographiques. Seuls les mots de passe et les CV n'auraient pas été touchés, selon l'administration.

Des données en vente sur le dark web

Dès le 3 février, veille de la détection officielle, une annonce apparaissait sur un forum spécialisé proposant la vente d'un fichier contenant 377 000 lignes de données. Un échantillon de 1 000 profils a même été diffusé librement sur internet pour attester de l'authenticité du vol. Cette mise en scène, classique dans l'écosystème cybercriminel, vise à maximiser le prix de revente en prouvant la qualité du butin aux acheteurs potentiels.

Les experts en cybersécurité alertent sur les risques majeurs pour les victimes. « En connaissant l'identité complète, les coordonnées, le parcours académique et les postes visés par chaque candidat, les cybercriminels peuvent fabriquer des messages de phishing extrêmement personnalisés », soulignent les analystes. Les victimes pourraient ainsi recevoir de fausses offres d'emploi parfaitement crédibles, basées sur leurs compétences et leurs recherches réelles. Des arnaques aux fausses formations financées via le Compte personnel de formation (CPF) ou des tentatives de compromission via des documents piégés – comme de fausses fiches de poste – sont également à redouter.

Un contexte de menaces croissantes contre les services publics

Pour les profils les plus sensibles, notamment les candidats issus des secteurs de la défense, de l'aéronautique ou du numérique critique, les risques prennent une dimension supplémentaire. Des acteurs étatiques ou des groupes d'espionnage industriel pourraient exploiter ces informations à des fins de renseignement.

Cette cyberattaque s'inscrit dans une série préoccupante d'incidents visant les services publics numériques français. En janvier 2026, la plateforme HubEE, qui interconnecte plusieurs services de l'État, avait déjà été piratée, avec l'exfiltration de 160 000 documents administratifs sensibles. Avant cela, les données de 1,4 million de chasseurs français avaient été mises en vente sur le darknet. Ces attaques successives révèlent les failles persistantes des systèmes d'information publics et posent la question des moyens alloués à leur sécurisation.

Les 377 418 candidats concernés ont été avertis par courriel le 16 février, conformément aux obligations du Règlement général sur la protection des données (RGPD). La CNIL a été saisie de l'incident. Il est vivement conseillé aux utilisateurs de la plateforme de surveiller attentivement leurs boîtes mail, de ne répondre à aucune offre d'emploi non sollicitée sans vérification préalable et d'activer l'authentification à double facteur sur l'ensemble de leurs comptes sensibles.