JeVeuxAider.gouv.fr piraté : 550 000 comptes de bénévoles exposés, ce que vous risquez vraiment
C’est un communiqué du ministère des Sports, daté du 16 juin 2026, qui a mis tout le monde en émoi. La plateforme JeVeuxAider.gouv.fr, qui met en relation des bénévoles avec des associations, a été victime d’une fuite de données personnelles concernant environ 550 000 comptes. Le pirate, qui se fait appeler “Misere” sur un forum du darkweb, a déjà publié des échantillons. Et selon le chercheur Clément Domingo, il s’agirait d’un jeune hacker français, lié au groupe Dumpsec dont sept membres viennent d’être interpellés.
Pas de mot de passe, pas de donnée bancaire, pas de pièce d’identité. Sur le papier, nous pourrions nous dire que c’est une fuite “anodine”. Sauf que les données qui ont fui (date de naissance, historique d’engagement associatif) sont parmi les plus sensibles pour profiler quelqu’un. Nous vous expliquons tout, et surtout ce qu’il faut faire si vous êtes concerné.
🚨
L’essentiel en 30 secondes
550 000 comptes de la plateforme JeVeuxAider.gouv.fr exposés, selon le ministère des Sports (16 juin 2026).
Données fuitées : nom, e-mail, téléphone, date de naissance, historique d’engagement associatif.
Pas de mot de passe ni de bancaire dans la fuite, selon le communiqué officiel.
Le pirate “Misere” a revendiqué l’attaque sur un forum darkweb, possiblement lié au groupe Dumpsec.
La plateforme a été temporairement suspendue, puis remise en ligne “dans des conditions de sécurité renforcées”.
Que s’est-il passé, exactement ?
Le 15 juin 2026, la Direction interministérielle du numérique (DINUM) détecte un incident de sécurité sur la plateforme JeVeuxAider.gouv.fr. Très vite, les équipes techniques comprennent l’ampleur : un acteur malveillant a exploité une “vulnérabilité de sécurité” pour extraire les données d’environ 550 000 comptes utilisateurs.
Le lendemain, mardi 16 juin, le ministère des Sports confirme l’incident par communiqué officiel. La plateforme est temporairement suspendue, le temps de finaliser les investigations techniques. Selon les informations du chercheur Clément Domingo, reprises par 01net, le pirate se fait appeler “Misere” sur un forum darkweb, et la vulnérabilité exploitée serait de type IDOR (Insecure Direct Object Reference), une faille très répandue dans les systèmes d’information des administrations françaises.
Bonne nouvelle : la vulnérabilité a depuis été corrigée, et la plateforme a été remise en ligne dans la journée du 16 juin, “dans des conditions de sécurité renforcées”, selon le gouvernement. Les utilisateurs concernés seront informés individuellement.
🔴 Données compromises
Identité : nom, prénom.
Coordonnées : adresse e-mail, numéro de téléphone.
Mots de passe : aucun n’a fuité, selon le ministère.
Données bancaires : la plateforme ne stocke aucun RIB ou IBAN.
Pièces d’identité : pas de carte d’identité, passeport ou permis dans la base.
Adresses postales : non mentionnées dans les échantillons publiés.
Numéros de Sécurité sociale : non concernés.
Pourquoi c’est plus grave qu’une fuite “juste” de coordonnées
Sur le papier, nous pourrions nous dire : pas de mot de passe, pas de bancaire, c’est une fuite mineure. C’est faux, et voici pourquoi. La donnée la plus sensible de cette fuite, c’est l’historique d’engagement associatif. Pourquoi ? Parce qu’elle révèle vos convictions, vos centres d’intérêt, et parfois vos affiliations politiques ou religieuses.
Imaginez : vous êtes bénévole dans une association de soutien aux sans-abri, dans une ONG environnementale, ou dans un collectif d’aide aux migrants. Cette information, croisée avec votre nom et votre date de naissance, permet de vous profiler très précisément. Et ce profil peut servir à :
Du phishing ciblé : un e-mail qui imite une association pour laquelle vous avez fait du bénévolat, avec un lien ou une pièce jointe piégée.
De l’ingénierie sociale : un appel téléphonique d’un faux “chargé de mission” qui connaît votre parcours associatif et vous demande des informations sensibles.
Du ciblage publicitaire ou idéologique : revente de la base à des acteurs politiques, des groupes de pression, ou des entreprises de ciblage comportemental.
De l’usurpation ciblée : quelqu’un qui se fait passer pour vous, avec une connaissance fine de votre profil, auprès d’une administration ou d’un service.
En gros, nous sommes passés d’une fuite technique à une fuite “humaine”. Et c’est bien plus difficile à détecter que le traditionnel vol de numéro de carte bancaire.
⚠️ Vigilance : 5 réflexes à avoir si vous avez un compte JeVeuxAider
Si vous avez créé un compte sur JeVeuxAider.gouv.fr, ne cliquez sur aucun lien reçu par e-mail ou SMS dans les prochaines semaines, même s’il semble provenir d’une association que vous connaissez.
Vérifiez l’adresse de l’expéditeur. Un e-mail frauduleux imitera souvent le nom d’une vraie association, mais avec un domaine approchant (.com au lieu de .org, tirets en plus, etc.). En cas de doute, contactez directement l’association par un autre canal.
Ne communiquez jamais votre date de naissance par téléphone à un interlocuteur qui vous a appelé, même s’il connaît votre nom. Les vraies administrations ne demandent jamais ce genre d’information à l’aveugle.
Surveillez vos comptes en ligne (banque, messagerie, réseaux sociaux) pour détecter toute activité suspecte. Si vous constatez quelque chose d’anormal, changez vos mots de passe et contactez votre banque.
Enfin, ne partagez pas publiquement (sur les réseaux sociaux) le fait que vous étiez inscrit sur JeVeuxAider. Vous éviteriez d’attirer l’attention de pirates qui ciblent ce type de profil.
Le lien probable avec le groupe Dumpsec et l’arrestation du 11 juin
Un détail intéressant : “Misere” est le même pseudo que celui qui a revendiqué la fuite de la RATP le 14 juin (62 208 fiches employés). Et selon le chercheur Clément Domingo, ce pirate est lié au groupe Dumpsec, dont sept membres viennent d’être interpellés par l’Office anticybercriminalité (OFAC), dans le cadre d’une enquête dévoilée par l’AFP le 11 juin.
Selon la commissaire Julie Benoit de l’OFAC, citée par l’agence, “ce sont de jeunes hackers français en quête de notoriété et se croyant hors d’atteinte”. Le groupe Dumpsec serait impliqué dans plus de 1 500 attaques, visant l’Assemblée nationale, Leroy Merlin, des fédérations sportives, des sites médicaux. Les sept interpellés sont décrits comme “des mineurs ou des jeunes majeurs” et “totalement décomplexés”.
Ce qui est troublant, c’est que “Misere” continue de revendiquer des attaques après l’arrestation de ses présumés complices. Soit il n’a pas été identifié dans le coup de filet, soit l’arrestation n’a pas dissuadé le groupe, soit plusieurs cellules opèrent en parallèle. C’est une question que les enquêteurs vont devoir trancher.
Date
Événement
Mi-avril 2026
Attaque massive contre l’ANTS (Agence nationale des titres sécurisés) : près de 12 millions de données exposées.
11 juin 2026
Coup de filet de l’OFAC : 7 jeunes hackers présumés liés au groupe Dumpsec interpellés en France.
14 juin 2026
“Misere” revendique la fuite de 62 208 fiches employés de la RATP sur un forum darkweb.
15 juin 2026
La DINUM détecte l’incident de sécurité sur JeVeuxAider.gouv.fr. Cellule de crise activée.
16 juin 2026 (matin)
Communiqué officiel du ministère des Sports confirmant la fuite de 550 000 comptes.
16 juin 2026 (journée)
Plateforme remise en ligne “dans des conditions de sécurité renforcées”. Vulnérabilité corrigée.
La faille IDOR : une vulnérabilité vieille comme le web
L’IDOR (Insecure Direct Object Reference) est une vulnérabilité connue depuis plus de 15 ans. Elle repose sur un principe simple : un utilisateur peut deviner ou modifier l’identifiant d’une ressource (par exemple un numéro de compte) dans une URL, et ainsi accéder à des données qui ne sont pas les siennes.
Concrètement, si l’URL d’un utilisateur est du type “jeveuxaider.gouv.fr/profil/12345”, un attaquant peut tester les URLs “12346”, “12347”, “12348” et ainsi de suite, en extrayant les données de chaque compte. Pour éviter ça, il faut vérifier côté serveur que l’utilisateur a bien le droit d’accéder à la ressource demandée. Ce contrôle, appelé “contrôle d’accès”, est malheureusement souvent négligé dans les administrations.
Le chercheur Clément Domingo l’a d’ailleurs pointé : les failles IDOR sont “très répandues dans les systèmes des administrations françaises”. C’est probablement la vulnérabilité la plus simple à détecter et à corriger, et c’est aussi l’une des plus vieilles. Le fait qu’elle soit encore exploitable en 2026 sur une plateforme gouvernementale récente pose question sur l’audit de sécurité initial.
🔍 Cartographie du risque : les fuites de données gouvernementales en 2026
ANTS (avril 2026)~12M de personnes
Attaque massive contre l’Agence nationale des titres sécurisés (CNI, passeports, permis de conduire).
Assemblée nationale (2026)Fuite Dumpsec
Données de l’Assemblée nationale visées par le groupe Dumpsec, selon l’OFAC.
RATP (14 juin 2026)62 208 fiches
“Misere” revendique la fuite d’un annuaire d’entreprise RATP. Données pro, pas de mot de passe.
JeVeuxAider.gouv.fr (16 juin 2026)~550 000 comptes
Communiqué officiel du ministère des Sports. Faille IDOR exploitée. Pas de mot de passe, mais historique d’engagement associatif sensible.
Comment savoir si vous êtes concerné, et que faire
Si vous avez créé un compte sur JeVeuxAider.gouv.fr depuis 2020, vous êtes potentiellement concerné. Le ministère des Sports a annoncé que les utilisateurs seront “informés individuellement”, mais ça peut prendre plusieurs jours. En attendant, voici ce qu’il faut faire.
Surveillez votre boîte mail : un e-mail officiel de JeVeuxAider.gouv.fr (vérifiez le domaine exact, pas une imitation) vous informera si vous êtes dans la liste.
Ne cliquez sur aucun lien dans un e-mail qui vous demande de “vérifier votre compte” ou de “valider votre profil”. Allez directement sur le site officiel en tapant l’URL vous-même.
Préparez-vous à du phishing ciblé : si vous avez fait du bénévolat pour une cause particulière (environnement, aide aux migrants, soutien scolaire, etc.), attendez-vous à recevoir des messages imitant des associations du même secteur.
Ne communiquez jamais votre date de naissance par téléphone à un interlocuteur qui vous a appelé, même s’il connaît votre nom. Les vraies administrations ne demandent pas ça à l’aveugle.
Surveillez vos comptes en ligne (banque, messagerie, réseaux sociaux) pour détecter toute connexion suspecte dans les semaines qui viennent.
Si vous utilisez le même mot de passe ailleurs (ce que nous ne devrions jamais faire, mais bon), changez-le partout maintenant.
C’est une plateforme officielle du gouvernement, rattachée à la Direction de la jeunesse, de l’éducation populaire et de la vie associative (DJEPEVA). Elle met en relation des personnes souhaitant s’engager dans du bénévolat avec des associations et des collectivités qui ont besoin de bras. Nous y trouvons des missions ponctuelles ou régulières, partout en France.
Comment savoir si mon compte est concerné ? ▼
Le ministère des Sports a annoncé que les utilisateurs concernés seront informés individuellement. Surveillez votre boîte mail dans les jours qui viennent. En cas de doute, vous pouvez aussi vous connecter à votre compte JeVeuxAider pour vérifier s’il fonctionne normalement et si vous avez reçu une notification.
Y a-t-il des mots de passe dans la fuite ? ▼
Non, selon le communiqué officiel du ministère des Sports. “Aucun mot de passe n’a été compromis” et la plateforme ne stocke ni données bancaires, ni pièces d’identité. C’est un point important, car ça limite les risques d’usurpation directe sur votre compte.
C’est quoi une faille IDOR ? ▼
IDOR signifie “Insecure Direct Object Reference”. C’est une vulnérabilité où un utilisateur peut accéder à des données qui ne sont pas les siennes en modifiant un identifiant dans l’URL. Par exemple, si votre profil est accessible via “site.fr/profil/12345”, un attaquant peut tester “12346”, “12347”, etc. et récupérer les données d’autres utilisateurs.
Le pirate “Misere” est-il connu ? ▼
Selon le chercheur Clément Domingo, “Misere” serait un jeune pirate français, possiblement lié au groupe Dumpsec dont sept membres viennent d’être interpellés par l’Office anticybercriminalité (OFAC). Le fait qu’il continue à revendiquer des attaques après l’arrestation pose question sur l’étendue réelle du groupe.
Quels sont les vrais risques pour les bénévoles ? ▼
Le principal risque, c’est le phishing ciblé et l’ingénierie sociale. L’historique d’engagement associatif révèle vos convictions et vos centres d’intérêt, ce qui permet de fabriquer des messages crédibles et personnalisés pour vous piéger. Pas de risque direct d’usurpation bancaire, mais un risque réel d’arnaque sentimentale, idéologique, ou d’extorsion.
La plateforme est-elle encore sécurisée ? ▼
Selon le gouvernement, oui. La vulnérabilité a été corrigée et la plateforme a été remise en ligne dans la journée du 16 juin, “dans des conditions de sécurité renforcées”. Cela dit, la confiance ne se reconstruit pas en un jour, et il est légitime de se demander ce qui a permis à une faille aussi classique qu’IDOR d’être exploitable sur une plateforme gouvernementale récente.
🧠 Votre profil est-il exposé après cette fuite ? Testez vos réflexes
1. Quelle donnée fuitées est la plus sensible pour vous profiler ?
2. Quel type de faille a été exploité sur JeVeuxAider.gouv.fr ?
3. Que devez-vous faire si vous recevez un e-mail suspect imitant une association ?
Nous vous tenons au courant dès qu'il y a du nouveau sur l'enquête, l'identification formelle du pirate, et les suites données. En attendant, partagez cet article à toute personne de votre entourage qui s'engage dans une association, parce que le risque va au-delà du simple compte JeVeuxAider.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
