ÉduConnect : fuite de données d'élèves

Le ministère de l’Éducation nationale a officialisé le 14 avril 2026 une cyberattaque ayant entraîné l’exfiltration de données personnelles d’élèves via la plateforme d’identité ÉduConnect. Selon le communiqué officiel, l’incident trouve son origine dans l’usurpation du compte d’un personnel habilité, qui a permis un accès frauduleux à un service annexe de gestion des comptes. Une faille technique de ce service, identifiée en décembre 2025, a été exploitée peu avant sa correction.

Les données concernées comprennent le nom, le prénom, l’identifiant ÉduConnect, l’établissement et la classe, l’adresse e-mail lorsqu’elle avait été renseignée, ainsi que le code d’activation pour les comptes non encore activés. Les comptes déjà activés en toute sécurité ne seraient pas compromis. Le ministère a procédé à un blocage préventif des comptes activés entre le 19 décembre 2025 et le 14 avril 2026, ainsi que des comptes jamais activés, avec une procédure de réinitialisation via les établissements.

L’ampleur exacte reste incertaine. Le ministère n’a pas communiqué de chiffre officiel. Plusieurs médias évoquent jusqu’à 3,5 millions d’élèves potentiellement concernés, tandis que le groupe DumpSec revendique la mise en vente d’une base d’environ 3,12 millions de comptes. Ces volumes doivent être considérés avec prudence faute de confirmation par l’autorité publique.

Sur le plan réglementaire, la CNIL a été notifiée et une plainte a été déposée auprès du parquet de Paris, selon la page officielle d’ÉduConnect. Plusieurs sources de presse mentionnent également une implication de l’ANSSI et l’annonce d’un renforcement de la sécurité, dont une authentification à deux facteurs. La fuite touchant des élèves scolarisés en France, le cas relève bien du périmètre français et européen.