Ce qui s’est passé : un « braquage » numérique en douceur
L’affaire remonte en réalité à la fin de l’année 2025, mais les détails ne tombent que maintenant. Un attaquant a réussi à s’introduire dans le système en usurpant l’identité d’un agent habilité. Comment ? En exploitant une faille technique dans un service de gestion des comptes, juste avant que celle-ci ne soit patchée par les techniciens du ministère.
Le scénario est d’autant plus rageant qu’il s’agit du deuxième incident majeur en à peine un mois. En mars 2026, c’était le système COMPAS qui lâchait, exposant les informations de 243 000 enseignants. Cette fois, l’échelle est tout autre.
Les investigations approfondies menées ces derniers jours ont permis d’établir que l’attaquant a bien pu exfiltrer des données lors de cette opération.
3,5 millions de victimes ? Le bilan s’alourdit
Si le ministère reste prudent sur les chiffres officiels, le groupe de hackers DumpSec ne se prive pas de fanfaronner. Selon le site spécialisé French Breaches, les pirates revendiquent la mise en vente d’une base de données titanesque. Voici ce qui circulerait dans l’ombre :
- Les noms, prénoms et identifiants ÉduConnect de 3,5 millions d’élèves.
- 7,2 millions de bulletins scolaires détaillant les notes et appréciations.
- 400 000 rapports ASSR2.
- Les adresses emails et les établissements fréquentés.
Pour faire simple, tout ton parcours scolaire récent pourrait être entre les mains de cybercriminels. Le ministère précise toutefois que les comptes déjà activés par les familles au moment de l’attaque seraient épargnés. Ce sont surtout les comptes « dormants » ou non encore distribués qui ont servi de porte d’entrée.
Pourquoi ça coince encore côté sécurité ?
C’est la question que tout le monde se pose. Pourquoi la double authentification (2FA), ce système qui t’envoie un code sur ton téléphone pour valider ta connexion, n’était-elle pas déjà la norme pour des accès aussi sensibles ?
Le ministère a réagi en activant une cellule de crise et en saisissant l’ANSSI (les gardiens de la cybersécurité en France) ainsi que la CNIL. Une plainte a été déposée, mais le mal est fait. Désormais, le renforcement de la sécurité via la double authentification est devenu la priorité absolue pour éviter un troisième round.
- Accès au service suspendu temporairement.
- Réinitialisation forcée des codes d’accès pour les comptes non activés.
- Surveillance accrue des tentatives de phishing (hameçonnage).
Concrètement, qu’est-ce que tu risques ?
Le vrai danger pour vous, c’est l’usurpation d’identité ou le phishing ultra-personnalisé. Avec ton nom, ton école et ton email, un pirate peut t’envoyer un message très crédible te demandant de changer un mot de passe ou de payer une fausse taxe scolaire.
Le ministère prend cet incident avec la plus grande gravité et reste pleinement mobilisé pour garantir la sécurité des systèmes d’information.
Si tu es concerné, ou si tu as un doute, la consigne est simple : change ton mot de passe dès maintenant sur tous les services liés à l’école, et surtout, ne réutilise jamais le même mot de passe pour tes réseaux sociaux ou tes comptes bancaires. La vigilance est de mise pour les prochaines semaines, car ces données, une fois dans la nature, ne s’effacent jamais vraiment.
