Une intrusion dans le logiciel Compas, dédié à la gestion des stagiaires des premier et second degrés, a exposé les données personnelles d’environ 243 000 agents de l’Éducation nationale, essentiellement des enseignants. Le ministère a suspendu l’accès à l’outil, a saisi l’Anssi et la CNIL, et a engagé des vérifications pour éviter toute propagation.
L’attaque remonte au 15 mars, mais le centre opérationnel de la sécurité des systèmes d’information du ministère ne l’a détectée que le 19 mars en fin de journée. Les données compromises couvrent les noms, prénoms, adresses postales, numéros de téléphone et périodes d’absence, sans mention du motif, d’enseignants enregistrés dans cette base sur l’ensemble du territoire. Les noms, prénoms et lignes fixes professionnelles des tuteurs de ces stagiaires figurent aussi dans les informations dérobées.
Le dossier ne se limite pas à une intrusion interne dans un outil administratif. Un échantillon des données piratées a déjà été publié sur des forums pirates par une entité se présentant sous le pseudonyme Hexdex.
Cette mise en ligne change immédiatement la nature du risque pour les personnes concernées. Les informations volées ne sont plus seulement compromises dans le système d’origine, elles ont commencé à circuler hors du ministère.
En réponse, le ministère a enclenché plusieurs leviers en parallèle. Il a saisi l’Anssi et la CNIL, tandis qu’un dépôt de plainte à Paris est en cours.
Le ministère cherche à contenir l’incident
L’accès à Compas a été suspendu pour couper l’exposition immédiate. Le ministère précise aussi que des vérifications sont en cours sur l’ensemble de ses systèmes d’information afin de prévenir tout risque de propagation.
Cette attaque intervient dans un contexte déjà tendu autour des systèmes éducatifs. Samedi, le Secrétariat général de l’Enseignement catholique (Sgec) a annoncé une autre attaque informatique visant son application de gestion des établissements du premier degré, avec des données administratives concernant 1,5 million de personnes.
Le ministère insiste toutefois sur un point de séparation technique. Selon lui, la base de Compas et la base piratée du Sgec sont deux systèmes distincts.
3 commentaires pour cet article :