Le ministère de l’Éducation nationale vient de confirmer avoir été la cible d’une cyberattaque ayant entraîné la compromission de données personnelles appartenant à des élèves. À l’origine de cette fuite : l’usurpation d’un compte utilisateur ayant donné accès à des informations relatives à EduConnect. Voici ce que l’on sait sur cet incident de sécurité.

L’Éducation nationale de nouveau impactée par une fuite de données

Par l’intermédiaire d’un nouveau communiqué de presse publié le 14 avril 2026, l’Éducation nationale a officialisé un nouvel incident de sécurité. Cette intrusion revendiquée sur le Dark Web par le groupe de pirates Dumpsec pourrait impacter jusqu’à 3,5 millions d’élèves. Toutefois, aucun chiffre n’a été donné.

Ce qui est certain, c’est que les pirates ont pu mettre la main sur les données personnelles d’élèves et qu’elles se retrouvent désormais dans la nature. Voici les données concernées par cette fuite de données : prénom, nom, identifiant ÉduConnect, établissement et classe, adresse email (uniquement si renseignée par l’élève), code d’activation (uniquement pour les comptes non encore activés par l’élève au moment de l’incident).

Une intrusion qui remonte à fin 2025

Comment les cybercriminels ont-ils réussi à s’infiltrer et à exfiltrer ces données ? Ils ont fait usage d’une technique habituelle : l’usurpation d’un compte interne. Autrement dit, ils sont parvenus à mettre la main sur des identifiants valides et ainsi accéder au système de l’Éducation nationale.

Dans le cas présent, il y a un lien avec la plateforme EduConnect, le service d’authentification utilisé par les élèves et permettant de faire des démarches en ligne. Cette intrusion ne date pas d’hier puisqu’elle remonterait à la fin de l’année 2025, sans qu’une date précise soit communiquée.

Néanmoins, le communiqué de presse laisse entendre qu’il y a eu l’exploitation d’une faille de sécurité à un moment donné au cours de l’attaque : “Une faille de sécurité dans ce service, identifiée en décembre 2025 et corrigée par les services du ministère, a été exploitée peu avant sa résolution. Les investigations approfondies menées ces derniers jours ont permis d’établir que l’attaquant a pu télécharger des données concernant des élèves au-delà de ceux de l’établissement initialement visé.” – Ce n’est donc pas qu’une question d’identifiants volés.

Des comptes EduConnect compromis

Au sein de cette fuite de données, il y a deux types de comptes EduConnect : ceux déjà activés, et ceux non activés (élève qui ne s’est jamais connecté). De ce fait, les pirates ont pu effectuer une première connexion à ces comptes accessibles sans mot de passe, mais seulement à partir du code d’activation.

“Pour les comptes qui n’avaient pas été activés au moment de l’attaque, et dont certains ont pu être compromis via l’utilisation du code d’activation, le ministère a procédé à une réinitialisation complète des codes d’accès. L’ensemble des comptes non encore distribués et activés a par ailleurs été bloqué.”, explique l’Éducation nationale.

Espérons que cette série noire s’arrête…. Il n’y a pas si longtemps, une fuite de données relative au portail COMPAS a été officialisée. Et, malheureusement, ce n’est pas la seule.