Le ministère de l'Éducation nationale a été victime d'une cyberattaque ciblée ayant entraîné la fuite de données personnelles d’élèves. Une nouvelle attaque qui s'ajoute à une liste déjà longue.
Le ministère de l’Éducation nationale a indiqué par voie de communiqué avoir été victime « d’une cyberattaque ciblée ». Un incident qui a entraîné la fuite de données personnelles d’élèves, comprenant : prénom, nom, identifiant ÉduConnect (service d'authentification pour effectuer des démarches liées à la scolarité), établissement et classe, adresse e-mail (uniquement si renseignée par l'élève), code d'activation (uniquement pour les comptes non encore activés par l'élève au moment de l'incident).
Les comptes EduConnect déjà activés n’ont pas été compromis et peuvent être utilisés en toute sécurité. Pour les autres comptes, le ministère a procédé à une réinitialisation des codes d’accès.
Une enquête est actuellement en cours pour déterminer l’ampleur de la fuite. D’après les premiers éléments, il semble que l’acteur de la menace ait usurpé l’identité du compte d’un membre du personnel en 2025 pour accéder au service de gestion des comptes des élèves.
« Une faille de sécurité dans ce service, identifiée en décembre 2025 et corrigée par les services du ministère, a été exploitée peu avant sa résolution. Les investigations approfondies menées ces derniers jours ont permis d’établir que l'attaquant a pu télécharger des données concernant des élèves au-delà de ceux de l'établissement initialement visé », développe le ministère dans un communiqué.
Incidents en cascade à l’Éducation nationale
Conformément à ses obligations, le ministère de l’Éducation nationale a saisi l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et la Commission nationale de l'informatique et des libertés (CNIL), et a déposé une plainte.
Ce nouvel incident intervient dans un contexte marqué par de nombreuses attaques menées avec succès contre des institutions et administrations publiques, et notamment contre l’Éducation nationale. En mars, le ministère avait déjà été touché par un piratage ayant exposé les données de centaines de milliers d’agents, dont une majorité d’enseignants. Une faille dans le service EduConnect avait déjà été identifiée en décembre 2025 et corrigée par les services du ministère, puis exploitée peu avant sa résolution. Autant de piqûres de rappel de l'urgence qu'il y a à protéger les SI des ministères et des institutions publiques en général.
Plus tôt ce mois-ci, l’État a présenté sa feuille de route 2026-2027 pour renforcer la sécurité de ses systèmes d’information et combler des vulnérabilités persistantes dans les systèmes d’information des ministères et des établissements sous leur tutelle.
