Un cyberbraquage massif sur le fournisseur allemand de galeries photo Portraitbox a exposé des milliers de données sensibles liées à des enfants suisses, dont des clichés scolaires et des informations personnelles. Le 17 mai 2026, des pirates ont infiltré les serveurs AWS de l’entreprise, volé des milliers de photos et menacent désormais de les publier sur le dark web. Les écoles et crèches de toute la Suisse sont touchées, tandis que les autorités tentent de limiter les dégâts.
Un vol de données à l’échelle nationale
cluster (priority): March24
Les conséquences de ce piratage dépassent largement les frontières allemandes. Selon une enquête de watson, des centaines de photographes suisses, dont beaucoup opèrent dans les écoles et crèches, utilisaient la plateforme Portraitbox pour gérer leurs galeries en ligne. Les données volées incluent non seulement des images d’enfants, mais aussi des informations personnelles comme des noms, adresses et numéros de téléphone. Une menace supplémentaire pèse sur les familles : les pirates pourraient publier ces photos sur des plateformes illégales, comme le suggère une source allemande citant une autorité de protection des données.
Le vol a eu lieu le week-end des 16 et 17 mai 2026, selon watson, qui précise que les pirates ont exploité une faille dans les clés API de Portraitbox pour accéder directement à l’infrastructure cloud AWS de l’entreprise, sans avoir besoin de craquer des mots de passe individuels. Une méthode qui rappelle les techniques utilisées dans des attaques de ransomware récentes, où les criminels exploitent des accès système plutôt que des failles de sécurité classiques.
Les écoles et crèches suisses ne sont pas les seules touchées. Des établissements en Allemagne, en Autriche et même en Thurgovie, comme le kindergarten de Sirnach, ont également été impactés. La plateforme Portraitbox, spécialisée dans les photos scolaires, est utilisée par plus de 2 000 photographes professionnels à travers l’Allemagne, selon le NDR. Les conséquences économiques pour ces professionnels sont déjà lourdes : certains ne peuvent plus vendre leurs images, et leur réputation est entachée par cette faille de sécurité.
Les parents et écoles en état d’alerte
Les réactions des familles sont contrastées. Certaines sont en colère ou inquiètes, tandis que d’autres adoptent une approche solidaire. Une photographes de Basse-Saxe, Ines Schiebler, a expliqué à NDR :
« Nous sommes tous en pleine saison haute. »
cluster (priority): vorarlberg.ORF.at
— Ines Schiebler, photographes de crèches et écoles
Elle souligne que la dépendance aux plateformes numériques pour la gestion des photos scolaires est une double lame : pratique pour les parents, mais risquée en termes de protection des données. Les écoles suisses, comme celles de la commune de Schübelbach, ont déjà informé les familles par courrier, conformément à la réglementation sur la protection des données. Les recommandations incluent le changement immédiat des mots de passe et la vigilance face aux tentatives de phishing.
Les autorités suisses, dont le Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), confirment que des milliers de personnes en Suisse sont concernées. Selon watson, les pirates menacent de publier les photos sur le dark web, une tactique classique dans les attaques par ransomware. Cependant, aucune preuve de publication n’a encore été confirmée.
Un modèle économique fragilisé
Pour les photographes suisses, l’impact va bien au-delà de la simple perte de données. Michi Mächler, propriétaire de Foto Mächler à Galgenen, déclare :
« En tant que photographe, je fais aussi partie des victimes, tout comme les écoles et leurs élèves. »
Cyberattaque contre Yahoo: les USA inculpent des espions russes
— Michi Mächler, photographe professionnel
Il regrette l’absence d’alternative suisse à Portraitbox, une plateforme qu’il considérait comme sûre malgré son hébergement en Allemagne. Aujourd’hui, la méfiance envers les solutions cloud externes grandit, tandis que les photographes doivent gérer une crise à la fois technique et financière. Certains, comme ceux de Vorarlberg, ont reçu des directives de la Chambre économique locale pour informer les familles et sécuriser leurs systèmes.
Les conséquences juridiques pourraient également être lourdes. En Allemagne, des enquêtes préliminaires sont en cours, comme l’indique NDR. En Suisse, les autorités examinent si des données de paiement ont également été compromises, bien que cela n’ait pas encore été confirmé. Les photographes doivent signaler l’incident aux autorités de protection des données dans un délai précis, comme le souligne la Chambre économique de Vorarlberg.
Que faire maintenant ?
Face à cette crise, plusieurs mesures s’imposent pour limiter les risques. Les autorités suisses et allemandes recommandent :
Changer immédiatement tous les mots de passe, en particulier ceux utilisés pour les plateformes scolaires ou les comptes professionnels.
Activer la double authentification sur les comptes sensibles, comme le conseille la Chambre économique de Vorarlberg.
Ne pas cliquer sur des liens suspects dans des e-mails ou SMS, pour éviter les tentatives de phishing.
Surveiller les publications en ligne, notamment sur les réseaux sociaux ou le dark web, où les pirates pourraient diffuser les images.
Pour les écoles et les photographes, la priorité est désormais de restaurer la confiance. Portraitbox, dont le site est désormais partiellement accessible mais limité, travaille avec des experts en cybersécurité pour analyser l’ampleur de la faille. Cependant, comme le souligne watson, les négociations avec les pirates pourraient encore durer, laissant planer une incertitude sur le sort des données.
cluster (priority): news.google.com
Un avertissement pour l’avenir
Cet incident révèle les failles d’un écosystème numérique qui, bien que pratique, reste vulnérable aux cyberattaques. Les photographes suisses, déjà en pleine saison des photos scolaires, se retrouvent dans une situation délicate : comment concilier la demande croissante de services numériques avec la protection des données sensibles des enfants ?
La question se pose désormais : la Suisse doit-elle développer des alternatives locales et sécurisées pour éviter de dépendre de plateformes étrangères ? Une réflexion qui dépasse le cadre de ce piratage et touche à l’avenir de la gestion des données personnelles dans le pays.
Pour les familles, la leçon est claire : la digitalisation offre des commodités, mais elle exige aussi une vigilance accrue. Les écoles, quant à elles, devront peut-être repenser leur approche pour garantir la sécurité des données de leurs élèves. Une chose est sûre : cet épisode restera dans les mémoires comme un rappel brutal des risques liés à la dématérialisation des services publics.
