L'Éducation Nationale vient de confirmer un énorme piratage de son portail ÉduConnect. Noms, établissements, classes, emails et même certains mots de passe en clair figurent dans le lot, c'est moche donc. L'ANSSI et la CNIL ont été saisies, une plainte est déposée.
Une faille exploitée juste avant d'être corrigée
L'incident remonte en fait à fin 2025. Des pirates ont dérobé les identifiants d'un compte de personnel habilité, ce qui leur a ouvert l'accès au service de gestion des comptes élèves. Le ministère explique qu'une faille avait bien été identifiée en décembre 2025 et qu'elle avait été corrigée peu après, sauf que les attaquants l'ont exploitée juste avant sa fermeture.
Jusqu'à 3,5 millions d'élèves concernés selon les pirates
Le collectif DumpSec, qui revendique l'opération, parle de 3,5 millions d'élèves mineurs. Les données mises en vente sur le site French Breaches comprennent les prénoms et noms, les identifiants ÉduConnect, les établissements, les classes, les adresses email quand elles ont été renseignées, et les codes d'activation des comptes non encore activés.
Les pirates évoquent aussi 7,2 millions de bulletins scolaires et 400 000 rapports ASSR2, les attestations de sécurité routière passées au collège. Plus inquiétant, des mots de passe en clair apparaîtraient sur plusieurs comptes. Le ministère, lui, n'a pas confirmé l'ampleur annoncée et parle pour l'instant de certains élèves.
Et la double authentification ?
L'accès au service a été suspendu dès l'alerte. Le ministère a enclenché une cellule de crise, saisi l'ANSSI et la CNIL et porté plainte. Les codes d'activation ont tous été réinitialisés et les activations de nouveaux comptes bloquées le temps de sécuriser le système. Une authentification à double facteur est d'ailleurs en cours de déploiement sur l'ensemble des comptes ÉduConnect, une mesure qui paraît évidente en 2026 mais qui n'était pas encore en place partout visiblement.
On en dit quoi ?
Un piratage de plus sur les services publics français ? Comme c'est étonnant. Après une fin 2025 déjà très chargée côté cyberattaques contre plusieurs ministères, l'Éducation Nationale fait à son tour les frais d'une faille évitable. Le plus problématique ici, c'est clairement les mots de passe en clair. En 2026, stocker des mots de passe sans hachage sur un système qui gère des données de mineurs, c'est indéfendable.
On sait aussi que ce genre de données, même sans numéro de sécurité sociale ni adresse, est une matière première idéale pour les tentatives de phishing ciblé sur les parents d'élèves. La CNIL, on l'espère, va probablement se pencher sérieusement sur la responsabilité du ministère et sur l'absence de double authentification avant l'incident. Quand est-ce que l'État décidera enfin de traiter la sécurité de ses systèmes comme un sujet aussi prioritaire que la paperasse réglementaire ?
On vous conseille du coup de vous prendre un petit anti-virus pour vous protéger dans les jours, semaines et mois à venir !
