L’Éducation nationale subit une cyberattaque d’ampleur qui touche les données EduConnect de millions d’élèves.
Le ministère de l’Éducation nationale fait face à une crise numérique majeure après le vol des données personnelles de millions d’usagers. L’incident provient de l’utilisation frauduleuse du compte d’un personnel autorisé. Les noms, classes et mails des élèves se retrouvent désormais exposés. Cette situation intervient malgré la mise en place de nouvelles mesures de protection gouvernementales.
Une intrusion par la petite porte
L’attaque ne repose pas sur une prouesse technique complexe, mais sur une méthode éprouvée : l’usurpation de l’identité d’un agent habilité. Via ce compte légitime, les pirates ont pu naviguer dans le service de gestion des comptes élèves sans éveiller de soupçons immédiats. Le ministère admet que l’attaquant a pu extraire des listes bien au-delà de l’établissement scolaire visé au départ.
Les données récoltées comprennent les noms, prénoms, établissements, classes et adresses mail. Plus inquiétant, les codes d’activation de comptes encore inactifs ont aussi été dérobés. Rue de Grenelle, on tente de rassurer et d’affirmer que les comptes déjà en fonction ne sont pas compromis, mais l’ampleur du sinistre reste floue. Des experts en cybersécurité évoquent le chiffre de trois millions de victimes potentielles.
Un calendrier qui pose question
Cette faille n’est pas tout à fait nouvelle. Identifiée dès décembre 2025, la vulnérabilité a été exploitée juste avant que les services techniques ne parviennent à la corriger. Ce délai de réaction a laissé une fenêtre de tir suffisante aux pirates pour agir. Ce n’est pas un coup d’essai pour le ministère, qui subit ici son second revers majeur en quelques semaines, après le piratage du logiciel de ressources humaines Compas fin mars.
Interrogé sur la gestion de cet incident, le ministère assure rester « pleinement mobilisé pour garantir la sécurité des systèmes et accompagner les familles ». Dans les faits, les autorités ont suspendu l’accès au service concerné et imposent désormais une double authentification pour limiter les risques de récidive.
La cybersécurité de l’État sous pression
Ce nouvel épisode met en lumière la fragilité des infrastructures publiques face à des menaces persistantes. Malgré l’annonce récente d’une feuille de route pour la période 2026-2027, les moyens concrets semblent manquer sur le terrain. La difficulté à détecter des intrusions qui usent des identifiants valides reste le point faible du dispositif.
Comme le souligne un observateur du secteur, les ministères doivent désormais apprendre à vivre avec une menace permanente. Sans budget spécifique pour appliquer les nouvelles directives, les administrations naviguent à vue et tentent de colmater les brèches les unes après les autres.
Article basé sur un communiqué de presse reçu par la rédaction.
