Le groupe qui a revendiqué l’attaque a donné jusqu’au 12 juin aux ministères visés avant de révéler les données.
La sonnette d’alarme a été tirée sur X par le hacker éthique Clément Domingo (alias SaxX). Le groupe de cybercriminels Stormous serait parvenu à pirater les systèmes du ministère de l’Éducation nationale, de l’Enseignement supérieur et de la Recherche, et à mettre la main, selon leurs déclarations, sur 40 000 données critiques appartenant à des élèves. Un échantillon de 1 400 lignes a été publié à titre de preuve. On y trouve des URL de connexion, des adresses e-mail, des identifiants, des pays d’origine, des dates d’accès ainsi que des mots de passe en clair. Selon l’expert, les données auraient été collectées à l’aide d’un infostealer.
« Le compte à rebours avant la diffusion de ces 40 000 données est fixé à ce jeudi 12 juin 2025... », écrit Clément Domingo, qui attire l’attention sur les mauvaises pratiques observées en matière de création de mots de passe chez les élèves. « Étonnant de voir aussi les mots de passe stockés en clair... », a-t-il ajouté. Pour l’heure, le ministère n’a pas encore réagi. À suivre.
