Le ministère de l’Éducation nationale a révélé le mardi 14 avril qu'il a été victime d'une cyberattaque fin 2025, compromettant ainsi les données personnelles de nombreux élèves. Bien que le chiffre exact des victimes ne soit pas encore déterminé, certaines estimations évoquent jusqu'à 3,5 millions de mineurs potentiellement affectés.
Dans un communiqué officiel, le ministère a reconnu avoir subi "une cyberattaque ciblée" qui a conduit à la fuite d'informations sensibles. "L'évaluation précise du nombre d’élèves touchés est en cours", a-t-on précisé.
Selon des sources proches de l'enquête, l'intrusion pourrait avoir été rendue possible par une usurpation d'identité résultant d'une vulnérabilité technique, laquelle avait été identifiée en décembre 2025. Bien que cette faille ait été corrigée par les équipes techniques, elle a été exploitée juste avant sa résolution. Des investigations approfondies ont également montré que l'attaquant a réussi à exfiltrer des données critiques.
Des comptes EduConnect vulnérables et des données sensibles exposées
Les comptes EduConnect, utilisés pour accéder aux espaces numériques de travail (ENT), se trouvent au coeur de ce problème de sécurité. Le ministère a souligné que certains comptes non encore activés au moment de l’attaque auraient pu être compromis. Selon Le Monde, des experts en cybersécurité estiment que la prise de mesures de prévention et la sensibilisation des utilisateurs sont essentielles pour éviter de telles situations à l’avenir.
Les autorités de l’éducation appellent à la vigilance et ont lancé des recommandations pour les établissements afin de protéger davantage les données personnelles des élèves.
