Le ministère de l’Éducation nationale a révélé un piratage visant ÉduConnect, le portail d’identification scolaire utilisé par des millions d’élèves et de familles. La cyberattaque, dont le nombre exact de victimes reste en cours d’évaluation, trouve son origine dans l’usurpation du compte d’un personnel habilité survenue à la fin 2025.
Un piratage vise ÉduConnect et entraîne le vol de données d’élèves
Le vecteur d’entrée est un double échec : une faille de sécurité identifiée en décembre 2025 a été exploitée par le hacker juste avant sa correction sur un compte dont les accès avaient déjà été compromis. Ce point de bascule explique pourquoi les dégâts dépassent l’établissement initialement visé. Une fois à l’intérieur du service de gestion des comptes annexe à ÉduConnect, le pirate a pu télécharger des données d’élèves bien au-delà du périmètre de départ.
Les données des élèves qui ont pu être collectées pour le hacker comprennent :
- prénom
- nom
- identifiant ÉduConnect
- établissement
- classe
- adresse e-mail (si renseignée)
- codes d’activation (pour les comptes non encore activés au moment de l’attaque)
Ce dernier point est le plus sensible : un code d’activation permet de prendre le contrôle d’un compte vierge. Le ministère de l’Éducation nationale a procédé à une réinitialisation complète de ces codes et a bloqué l’ensemble des comptes non encore distribués. Les comptes déjà activés par les élèves et leurs responsables ne sont pas compromis.
La réponse institutionnelle a été rapide sur le plan procédural avec une cellule de crise activée et une suspension du service. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Commission nationale de l’informatique et des libertés (CNIL) ont été saisies. Une plainte a été déposée. De plus, il y a le déploiement en cours d’une double authentification. La question qui reste ouverte est celle du périmètre réel que les enquêtes n’ont pas encore permis de circonscrire précisément.
