Actualité : Piratage de l'Éducation nationale : l'affaire est sérieuse, jusqu'à 3,5 millions d'élèves seraient touchés

Publié le 15/04/26 à 08h01

Le 14 avril 2026, le ministère de l'Éducation nationale a reconnu avoir été visé par une cyberattaque ayant entraîné l'exfiltration de données personnelles d'élèves via ÉduConnect, le portail d'authentification qui dessert les espaces numériques de travail de millions de familles françaises. L'intrusion remonte à fin 2025. Un attaquant a usurpé l'identité d'un agent habilité, puis exploité une faille dans un service annexe de gestion des comptes, quelques jours avant que celle-ci ne soit corrigée.

Noms, bulletins, mots de passe : ce que les pirates revendiquent

Côté officiel, les données compromises comprennent noms, prénoms, identifiants ÉduConnect, établissements, classes, adresses email et codes d'activation des comptes encore inactifs. Mais les revendications vont plus loin.

Selon le site French Breaches, le groupe DumpSec annonce la mise en vente d'une base touchant plus de 3,5 millions d'élèves, avec 7,2 millions de bulletins scolaires et 400 000 rapports ASSR2. Le ministère, lui, n'a toujours pas confirmé ces chiffres. Les investigations sont en cours.

Deuxième fuite en un mois, et toujours pas de double authentification

Le détail qui pique : en mars 2026, les données de 243 000 enseignants avaient déjà fuité via le système COMPAS, selon un autre communiqué du ministère. Deux incidents en moins de trente jours, même vecteur d'attaque (l'usurpation d'un compte), et une question gênante qui revient : pourquoi la double authentification n'était-elle pas déjà en place ?

Le ministère a activé une cellule de crise, suspendu l'accès au service touché, réinitialisé les codes des comptes dormants et saisi l'ANSSI et la CNIL. Une plainte a été déposée. Reste que pour les millions de familles concernées, la consigne est limpide : surveiller toute tentative de hameçonnage dans les semaines qui viennent et changer sans tarder les mots de passe liés aux services scolaires.