Passer au contenu

Fuite des résultats du bac 2026 : comment un site a tout divulgué avant l’heure

Un site gratuit, baptisé « Pechotonbac.fr », a permis à des milliers de lycéens de découvrir gratuitement leurs résultats du bac, plusieurs heures avant la publication officielle. Fermé quelques heures plus tard après avoir été submergé de connexions, ce service anonyme a exploité une erreur humaine en provenance de l’Éducation nationale.

Dans la journée du lundi 6 juillet 2026, un site web intitulé « Pechotonbac.fr » est apparu sur Internet. Ce site s’est mis à proposer aux candidats du bac de renseigner leur nom, prénom et académie pour découvrir, gratuitement, s’ils étaient admis. Le site dévoilait aussi quelle mention ils avaient obtenue. Sans surprise, les élèves ont été considérablement surpris par l’apparition de ce site gratuit. En effet, le site prend de court les résultats officiels, qui ne devaient être publiés que le lendemain, à partir de 11h30 selon le calendrier fixé par les académies françaises.

Comme on pouvait s’y attendre, le site devient rapidement viral. Sur les réseaux sociaux, les lycéens s’échangent l’adresse du site web. De nombreux élèves découvrent ainsi, bien avant la publication des résultats officiels, leurs résultats d’admission dans la soirée de lundi. Pour beaucoup de lycéens, les données ont vraisemblablement été récupérées à la suite d’un piratage.

À lire aussi : Ozempic, Rybelsus, Viagra… Les fausses pharmacies inondent la France de médicaments contrefaits

Un site victime de son succès

Le site n’est finalement resté en ligne que quelques heures. Victime de son succès, la plateforme a fermé ses portes autour de 0H30. Comme l’indique un message affiché sur le site, « vous étiez des millions en même temps », ce qui a vraisemblablement été trop à supporter pour les serveurs. Les administrateurs assurent également qu’aucune donnée personnelle n’a été collectée, stockée ou conservée.

« Les informations affichées transitaient uniquement en temps réel, sans base de données ni journalisation. Des limites techniques avaient été mises en place dès le départ afin d’éviter toute surcharge des services du ministère, et le site a été fermé volontairement dès que l’affluence est devenue disproportionnée par rapport à l’intention initiale. Ce projet a été conçu sans intention de nuire ni de porter atteinte à un système ou à des personnes », indique le message.

Une fuite, mais pas de piratage

Évidemment, l’Éducation nationale n’a pas tardé à réagir à la fuite. Dans un premier temps, le ministère s’est contenté d’affirmer qu’il ne s’agit pas d’un piratage. Le ministre de l’Éducation nationale Édouard Geffray a confirmé publiquement qu’une fuite avait bien eu lieu, mais qu’elle ne résulte pas d’une cyberattaque. En fait, une simple erreur humaine est à l’origine de l’incident. On n’a « pas été attaqué », explique Édouard Geffray à BFM TV.

Le ministre évoque « une ouverture anticipée » du dispositif permettant normalement aux candidats de partager leurs résultats avec un tiers, une fois ceux-ci publiés. Apparemment, une API (Application Programming Interface), une interface logicielle permettant à deux applications distinctes de communiquer et d’échanger des données, a été ouverte avant la date prévue. C’est par le biais de ce dispositif que les données contenant les résultats du bac 2026 ont été exfiltrées. Le ministère précise que des investigations sont en cours pour déterminer précisément ce qu’il s’est passé.

Une « action opportuniste »

Le compte X Signal-Arnaques révèle que la personne à l’origine de la fuite a « réservé le domaine pechotonbac et monté un site le jour même ». C’est pourquoi on estime qu’il s’agit d’une « action opportuniste non préméditée ». En clair, un individu s’est rendu compte par hasard que l’API du ministère permettait d’obtenir les résultats avec plusieurs heures d’avance, et il en a profité pour tout balancer sur Internet.

D’un point de vue technique, le site web était simplement relié à l’API du ministère, ce qui a permis de dévoiler les résultats des lycéens en amont. Du reste, il n’y a aucun signe malveillant sur la plateforme. L’administrateur n’avait pas l’intention de piéger les internautes ou de propager un virus.

👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.