Une attaque exploitant l’usurpation d’un compte habilité et une faille technique corrigée a conduit à une fuite de données d’élèves. Si les comptes activés restent sécurisés, l’incident révèle une propagation plus large que prévu et mobilise désormais autorités et services de l’État.
Une attaque combinant usurpation d’identité et faille technique
Le ministère de l’Éducation nationale a été victime d’une cyberattaque ciblée ayant conduit à la fuite de données personnelles d’élèves, dont le volume exact reste à déterminer. L’incident trouve son origine dans l’usurpation du compte d’un personnel habilité, intervenue à la fin de l’année 2025. Cette compromission a permis un accès frauduleux au service de gestion des comptes élèves, rattaché à ÉduConnect, rapport le ministère mi-avril.
Dans le même temps, une faille de sécurité affectant ce service, identifiée en décembre 2025 puis corrigée, a été exploitée peu avant sa résolution. Les investigations menées récemment ont mis en évidence une réalité plus étendue que celle initialement envisagée : l’attaquant a pu accéder à des données dépassant le périmètre du seul établissement ciblé.
Les informations concernées incluent des éléments d’identification tels que le nom, le prénom, l’identifiant ÉduConnect, l’établissement et la classe. À cela peuvent s’ajouter, selon les cas, une adresse email renseignée ainsi que des codes d’activation pour les comptes non encore activés au moment des faits.
Des comptes partiellement exposés, des mesures correctives immédiates
Le ministère précise que les comptes ÉduConnect déjà activés par les élèves et leurs responsables ne sont pas compromis et peuvent continuer à être utilisés sans restriction. En revanche, les comptes non activés au moment de l’attaque présentent un niveau d’exposition plus élevé, certains ayant pu être compromis via l’exploitation de leur code d’activation.
En réponse, une réinitialisation complète des codes d’accès a été engagée. Par ailleurs, l’ensemble des comptes non encore distribués ou activés a été bloqué afin de prévenir toute utilisation frauduleuse.
Dès la détection de l’incident, les accès au service concerné ont été suspendus. Le ministère a également engagé un renforcement des conditions d’accès, notamment par la mise en place d’un mécanisme de double authentification.
Une mobilisation institutionnelle et des investigations en cours
Une cellule de crise a été activée immédiatement après la découverte de l’attaque. Les autorités compétentes, dont l’ANSSI, ont été saisies. Une plainte a également été déposée.
Les investigations se poursuivent pour établir avec précision le périmètre des données concernées. Le ministère indique traiter cet incident avec la plus grande gravité et affirme rester pleinement mobilisé pour sécuriser ses systèmes d’information, tout en accompagnant les établissements et les familles concernés.
