L’épisode qui a permis à des dizaines de milliers de lycéens de consulter leurs résultats du baccalauréat avec vingt-quatre heures d’avance n’était pas le fruit d’un piratage informatique, mais d’une erreur humaine au sein de l’administration. Selon les informations diffusées par le ministère de l’Éducation nationale, un serveur académique a laissé les fichiers contenant les notes des candidats accessibles publiquement, sans aucune protection par mot de passe.
C’est cette faille qu’a exploitée le site « Pechotonbac.fr », lancé dans la journée du lundi 6 juillet 2026. La plateforme invitait les lycéens à saisir leur nom, leur prénom et leur académie. En arrière-plan, le site interrogeait directement le serveur ouvert de l’Éducation nationale, récupérait les données et les affichait en temps réel. Les élèves pouvaient ainsi savoir s’ils étaient admis et, le cas échéant, la mention obtenue – et ce, plusieurs heures avant l’heure officielle de publication fixée au mardi 7 juillet à 11 h 30.
Un site victime de son succès
Très vite, l’adresse du site a circulé massivement sur les réseaux sociaux. En quelques heures, des centaines de milliers de lycéens ont consulté leurs résultats. Le site n’est pourtant resté en ligne que jusqu’à environ 0 h 30 dans la nuit du lundi au mardi. Les administrateurs, qui se présentent comme anonymes, ont indiqué sur la page d’accueil que « vous étiez des millions en même temps », provoquant une saturation des serveurs. Ils précisent avoir fermé volontairement la plateforme lorsque l’affluence est devenue « disproportionnée par rapport à l’intention initiale ». Dans un message, ils affirment qu’« aucune donnée personnelle n’a été collectée, stockée ou conservée » et que les informations affichées « transitaient uniquement en temps réel, sans base de données ni journalisation ». Ce projet, selon eux, a été « conçu sans intention de nuire ».
Une plainte pour accès frauduleux
De son côté, le ministère de l’Éducation nationale a rapidement réagi. Dans une communication officielle, il a confirmé qu’il ne s’agissait pas d’une intrusion malveillante mais d’un défaut de sécurisation des données : des fichiers ont été laissés accessibles sur un serveur d’une académie, sans mot de passe. Pour éviter que la situation ne se reproduise, l’accès a été immédiatement bloqué.
L’administration a également indiqué qu’elle avait saisi la Commission nationale de l’informatique et des libertés (CNIL) et le parquet. Une plainte a été déposée pour « accès frauduleux à un système de traitement automatisé de données », sur le fondement de l’article L. 323‑1 du code pénal. Le ministère précise que des vérifications sont en cours pour identifier les responsables du défaut de sécurité et pour déterminer si d’autres données ont été exposées.
Des conséquences encore à évaluer
Si aucun cas d’usurpation d’identité ou de divulgation de données sensibles n’a été signalé pour l’instant, l’incident soulève des questions sur la sécurité des systèmes d’information de l’Éducation nationale. Les élèves, quant à eux, ont pu vivre une soirée d’émotions contrastées : soulagement ou déception, mais en tous cas avant l’heure prévue. Certains lycéens interrogés sur les réseaux sociaux ont exprimé leur surprise, d’autres leur gratitude envers les créateurs du site. Le ministère rappelle que seuls les résultats publiés sur les canaux officiels font foi.
L’enquête se poursuit pour déterminer si d’autres vulnérabilités existent dans les serveurs académiques. Le gouvernement a promis des mesures de renforcement de la cybersécurité dans les semaines à venir.