C'est un gros coup dur pour l'Éducation nationale, qui confirme ce mardi soir avoir été victime d'une nouvelle cyberattaque, qui expose les données d'élèves liées à ÉduConnect.
Ce mardi 14 avril, le ministère de l'Éducation nationale a reconnu une nouvelle fuite de données, grave, avec les informations des élèves cette fois, dont le nombre exact reste à déterminer. Avec les prénoms, noms, identifiants ÉduConnect, voire des codes capables d'ouvrir un compte numérique à la place de son titulaire, le butin est sérieux. Et il est difficile de ne pas remarquer que c'est le deuxième incident de ce type signalé en moins d'un mois.
Les hackers ont récupéré les données liées à ÉduConnect, du ministère de l'Éducation nationale
Le ministère de l'Éducation nationale explique qu'à la fin de l'année 2025, un individu est parvenu à prendre l'identité d'un agent habilité du ministère pour s'introduire dans le service de gestion des comptes élèves, rattaché à ÉduConnect. Une faille existait dans ce service, elle avait même été repérée en décembre 2025, et des correctifs avaient été déployés. Sauf que l'attaquant avait une longueur d'avance.
C'est dans cette fenêtre de vulnérabilité, juste avant que le correctif ne ferme la porte, que les données ont été aspirées. Et pas seulement celles d'un établissement. Les investigations ont établi que l'attaquant est allé bien au-delà de sa cible initiale. Nom, prénom, identifiant ÉduConnect, établissement, classe et adresse email des élèves l'ayant renseignée… tout y est passé.
Le détail qui fait le plus tiquer concerne les codes d'activation. Pour les élèves dont le compte ÉduConnect n'était pas encore actif, ces codes ont pu être récupérés, ce qui signifie qu'un tiers aurait théoriquement pu activer leur compte à leur place. Le ministère a depuis réinitialisé l'ensemble des codes concernés et bloqué les comptes non distribués.
Même mode opératoire, même rituel de crise, et une question qui dérange
Dès la détection de l'intrusion, le ministère a enclenché les procédures habituelles, avec suspension du service touché, ouverture d'une cellule de crise, signalements à l'ANSSI (le gendarme national de la cybersécurité) et à la CNIL, sans oublier le dépôt de plainte. Dans la foulée, le ministère a annoncé le déploiement de la double authentification sur le service concerné, qui demande de confirmer son identité via un second canal, un SMS ou une application dédiée, par exemple. Un ajout bienvenu, mais qui soulève une question gênante, presque hallucinante en 2026 : pourquoi n'était-il pas déjà en place ?
Impossible de ne pas faire le rapprochement avec le 15 mars dernier, quand le ministère avait reconnu le piratage de COMPAS, son système informatique de gestion des enseignants stagiaires, qui avait exposé les données personnelles de 243 000 agents. Dans les deux cas, le point de départ est rigoureusement identique. À chaque fois, un attaquant a volé les identifiants d'un compte appartenant à une personne autorisée, et s'en est servi comme passe-partout. Pas besoin d'une cyberattaque digne d'un film de science-fiction, une simple usurpation d'identité numérique suffit, et elle fonctionne à chaque fois.
Pour les familles dont l'enfant pourrait être concerné, la prudence s'impose. Avec un nom, un prénom, le nom de l'établissement scolaire et une adresse e-mail, un escroc dispose de quoi construire un message frauduleux très convaincant, on imagine un faux e-mail de l'école, une relance qui semble officielle, ou une tentative d'hameçonnage difficile à détecter. Le ministère a promis d'accompagner les familles et les établissements touchés, tandis que les investigations se poursuivent pour déterminer combien d'élèves sont réellement concernés par la fuite.
