Aller au contenu principal
Regards ActuelsL'essentiel, en profondeur.
Tech & Sciences

EduConnect :
des millions d'élèves piratés, révélé trois mois après

Le ministère de l'Éducation nationale a révélé le 14 avril qu'une cyberattaque fin 2025 avait entraîné la fuite de données personnelles d'élèves. La faille avait été identifiée en décembre. Les données sont en vente en ligne. Le nombre exact de victimes reste inconnu.

4 min
Julie Marchand
Mains d'adolescent tenant un smartphone, illustration de la vulnérabilité numérique des mineurs
Les données scolaires de millions d'élèves ont été exfiltrées via la plateforme EduConnect© Maeva Destombes / Hans Lucas via AFP
L'Essentiel
  • Le ministère de l'Éducation nationale révèle le 14 avril 2026 qu'une cyberattaque a entraîné la fuite de données personnelles d'élèves via EduConnect
  • La faille avait été identifiée et corrigée en décembre 2025 — mais exploitée « peu avant sa résolution ». Trois mois de silence
  • Selon des sites spécialisés, jusqu'à 3,5 millions de comptes seraient concernés — le ministère n'a pas confirmé ce chiffre
  • L'ANSSI et la CNIL ont été saisies — le groupe DumpSec annonce la mise en vente des données
  • Deuxième cyberattaque contre le ministère en un mois, après le piratage de 243 000 agents en mars

Le 14 avril 2026, le ministère de l'Éducation nationale a publié un communiqué reconnaissant avoir « été victime d'une cyberattaque ciblée ». La fuite porte sur des données personnelles d'élèves, accessibles via EduConnect — la plateforme utilisée par les familles pour consulter les bulletins scolaires, les emplois du temps et les espaces numériques de travail.

La faille date de fin 2025. Elle a été identifiée en décembre et corrigée. Mais elle avait été « exploitée peu avant sa résolution », selon le ministère. L'annonce publique intervient plus de trois mois après les faits.

Ce que le ministère dit

Le communiqué reste mesuré. Une « faille technique » a permis une « usurpation d'identité ». Des comptes EduConnect « non encore activés » ont été compromis. Le ministère a « procédé à une réinitialisation complète des codes d'accès » et « bloqué » les comptes non distribués. Un mécanisme de double authentification est en cours de déploiement.

Le nombre exact de victimes n'est pas communiqué. Le ministère indique que « le nombre exact est en cours d'évaluation » et que « les investigations se poursuivent afin de circonscrire précisément le périmètre des données concernées ».

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) et la CNIL ont été saisies.

Ce que les spécialistes décrivent

Les sites spécialisés en cybersécurité avancent des chiffres bien plus élevés que ce que le ministère laisse entendre. Selon FrenchBreaches et le Café Pédagogique, jusqu'à 3,5 millions de comptes d'élèves seraient concernés. Parmi les données potentiellement exposées : 7,2 millions de bulletins scolaires, 400 000 rapports ASSR2 (attestation de sécurité routière), et des mots de passe stockés en clair.

Le groupe de pirates DumpSec a annoncé la mise en vente de la base de données. Ces chiffres n'ont pas été confirmés par le ministère.

Ce qui est établi : les victimes sont des mineurs. Leurs données scolaires — notes, appréciations, informations personnelles — circulent potentiellement sur des forums spécialisés.

Trois mois de silence

La faille a été exploitée fin 2025. Identifiée en décembre. Corrigée dans la foulée. Mais le ministère n'a rendu l'information publique que le 14 avril 2026. Trois mois pendant lesquels les familles n'ont pas été informées que les données de leurs enfants avaient été exfiltrées.

Le communiqué justifie ce délai par les « investigations approfondies menées ces derniers jours » qui ont permis « d'établir que l'attaquant a bien pu exfiltrer des données ». Ce délai est conforme aux pratiques habituelles — la CNIL accorde un délai de 72 heures pour la notification, mais l'évaluation de l'ampleur peut prendre des semaines. Reste que trois mois, pour des données de mineurs, posent une question de transparence.

La deuxième attaque en un mois

Ce n'est pas un incident isolé. Le 15 mars 2026, le ministère avait déjà été visé par une cyberattaque distincte, cette fois contre le système COMPAS, dédié à la gestion des enseignants stagiaires. Les données de 243 000 agents avaient été exfiltrées après l'usurpation d'un compte externe.

Deux systèmes différents, deux attaques en un mois, un même ministère. Le premier visait les enseignants. Le second vise les élèves. L'Éducation nationale, qui gère les données de 12 millions d'élèves et d'un million d'agents, est devenue une cible.

Ce que les parents doivent faire

Si votre enfant dispose d'un compte EduConnect, trois vérifications s'imposent :

  • Changer le mot de passe d'EduConnect, même si le ministère dit avoir réinitialisé les comptes compromis. Par précaution.
  • Vérifier que ce mot de passe n'est pas utilisé ailleurs — sur des jeux en ligne, des réseaux sociaux, une messagerie. Si le même mot de passe a été réutilisé, le changer partout.
  • Surveiller les tentatives de phishing dans les semaines à venir. Des données scolaires précises (nom, classe, établissement) permettent de construire des messages ciblés crédibles.

Le ministère met à disposition un formulaire de signalement sur education.gouv.fr. La vigilance face aux arnaques reste la meilleure protection quand les données sont déjà dans la nature.

À lire aussi

L'essentiel

  • Le ministère de l'Éducation nationale révèle le 14 avril 2026 qu'une cyberattaque a entraîné la fuite de données personnelles d'élèves via EduConnect
  • La faille avait été identifiée et corrigée en décembre 2025 — mais exploitée « peu avant sa résolution ». Trois mois de silence avant l'annonce
  • Selon des sites spécialisés en cybersécurité, jusqu'à 3,5 millions de comptes d'élèves seraient concernés — le ministère n'a pas confirmé ce chiffre
  • L'ANSSI et la CNIL ont été saisies — le groupe DumpSec annonce la mise en vente des données
  • C'est la deuxième cyberattaque contre le ministère en un mois, après le piratage des données de 243 000 agents en mars

Questions fréquentes

Combien d'élèves sont concernés par le piratage d'EduConnect ?
Le ministère n'a pas communiqué de chiffre précis, indiquant que « le nombre exact est en cours d'évaluation ». Des sites spécialisés en cybersécurité avancent le chiffre de 3,5 millions de comptes. Ce chiffre n'est pas confirmé officiellement.
Que faut-il faire si mon enfant a un compte EduConnect ?
Trois actions : changer le mot de passe EduConnect par précaution, vérifier que ce mot de passe n'est pas réutilisé sur d'autres services (jeux, réseaux sociaux, messagerie), et surveiller les tentatives de phishing dans les semaines à venir, car des données précises (nom, classe, établissement) peuvent servir à construire des messages ciblés.

Julie Marchand

Partagez cet article

Sur le même sujet

Plus d'actualités Tech & Sciences

Voir tout
Logo de Grok sur un smartphone devant le mot Deepfake en rouge, illustration des arnaques par intelligence artificielle
Tech & Sciences

Arnaques carte Vitale et deepfakes IA :
la vague qui submerge la France

1,5 million de fraudes liées à la carte Vitale en 2025, 863 millions d'euros de pertes mondiales dues aux deepfakes, 453 200 infractions numériques en France. Les escrocs combinent désormais le phishing classique et l'intelligence artificielle. Le bouclier gouvernemental n'arrivera pas avant septembre.

Logo OpenAI et image generee par intelligence artificielle sur un ecran
Tech & Sciences

IA et droits d'auteur :
la loi qui force OpenAI à prouver son innocence

Le Sénat a voté à l’unanimité une présomption d’exploitation des contenus culturels par les fournisseurs d’IA. C’est désormais à OpenAI, Google ou Mistral de prouver qu’ils n’ont pas utilisé une œuvre protégée.

Deux intervenants sur scène à la conférence HumanX sur l'intelligence artificielle, San Francisco, avril 2026
Tech & Sciences

La Silicon Valley veut arrêter d'embaucher des humains

« Stop Hiring Humans » : à la conférence HumanX de San Francisco, des startups IA affichent des panneaux appelant à ne plus embaucher d'humains. Les embauches de juniors ont chuté de plus de 50 % dans la Big Tech.

À ne pas manquer

Prélèvement ADN buccal par écouvillonnage, gros plan sur la bouche et le coton-tige
France

Généalogie génétique :
votre ADN bientôt au service des cold cases

Le projet de loi Darmanin autorise les juges à fouiller les bases de tests ADN étrangères pour résoudre des meurtres. Plus de 30 cold cases attendent. Problème : ces tests sont interdits en France.

Le pape Léon XIV célèbre la messe à la basilique Saint-Augustin d’Annaba, le 14 avril 2026
Monde

Léon XIV en Algérie :
deux jours de visite historique, de saint Augustin à Blida

Le premier pape de l’histoire en Algérie a quitté le pays le 15 avril après deux jours marqués par un appel au pardon devant le Monument des martyrs, une messe à Annaba sur les traces de saint Augustin, et un double attentat-suicide à Blida que les autorités n’ont jamais reconnu.

Des femmes camerounaises en tenues traditionnelles applaudissent l arrivée du pape Léon XIV à Yaoundé, le 15 avril 2026
Monde

Léon XIV au Cameroun :
face à Biya, le pape entre dans la zone de guerre

Léon XIV est arrivé à Yaoundé mercredi 15 avril. Il a rencontré Paul Biya, 93 ans, au palais présidentiel. Demain, il se rend à Bamenda, épicentre d’un conflit qui a fait 6 000 morts. Les séparatistes ont déposé les armes le temps de la visite.

Des jeunes assis au bord d'un lac au coucher du soleil, silhouettes contemplatives
Santé

Santé mentale :
64 % des jeunes bloqués, la grande cause qui ne soigne personne

Sondage Ipsos/FHF du 15 avril 2026 : 64 % des jeunes de 18-24 ans confrontés à des délais d'attente jugés trop longs pour un psychiatre. En cinq ans, les hospitalisations pour tentative de suicide ont bondi de 118 % chez les filles de 10 à 14 ans.

Newsletter Regards Actuels

L'essentiel, en profondeur. Chaque vendredi.

Gratuit · Désabonnement en un clic