10 MAI 2026
● OPÉRATIONNEL
DÉCODEUR CYBER
LES ALERTES DU CERT-FR · VULGARISÉES · POUR TOUS
CERT-FR ↗
ACTUALITÉ12 MIN DE LECTURE· 18 AVRIL 2026

Piratage ÉduConnect : 3,5 M d'élèves exposés, comment protéger vos enfants

Piratage ÉduConnect : 3,5 millions d'élèves mineurs touchés. Les vrais risques pour les familles et les 5 gestes à adopter dès maintenant pour protéger votre enfant.

D

Décodeur Cyber

Veille cybersécurité & vulgarisation

Piratage ÉduConnect : 3,5 M d'élèves exposés, comment protéger vos enfants

Si vous avez un enfant scolarisé en France, il y a de fortes chances que ses données soient désormais en vente sur un forum cybercriminel. Le 12 avril 2026, le groupe de hackers DumpSec a annoncé mettre en vente une base de données massive extraite d'ÉduConnect, la plateforme utilisée par près de 12 millions d'élèves et leurs parents pour accéder aux notes, bulletins et démarches scolaires. Selon les premières analyses, 3,5 millions d'élèves mineurs seraient concernés, du CP à la Première.

Le ministère a confirmé l'incident le 14 avril et porté plainte. Mais au-delà de la communication officielle, ce qui compte pour vous, parent, c'est ce qui va se passer dans les prochaines semaines. Le piratage ÉduConnect n'est pas juste une fuite technique. C'est une campagne de phishing massive qui va bientôt frapper les familles — et quelques gestes simples peuvent vous éviter de tomber dans le piège.

Ce qu'il s'est passé : la chronologie du piratage ÉduConnect

Fin décembre 2025 : l'intrusion

L'attaque a eu lieu fin décembre 2025, pendant les vacances scolaires — un timing loin d'être anodin, les équipes de sécurité étant en effectif réduit. Selon le communiqué officiel du ministère, l'intrusion trouve son origine dans l'usurpation d'identité d'un compte de personnel habilité, qui a permis un accès frauduleux à un service de gestion annexe d'ÉduConnect.

Une faille technique identifiée en décembre 2025 a été exploitée peu avant sa correction par les services du ministère. Selon les éléments publiés par le site spécialisé French Breaches, il s'agirait d'une faille IDOR (Insecure Direct Object Reference) : une vulnérabilité classique qui permet à un utilisateur authentifié d'accéder à des données qui ne lui sont pas destinées, simplement en modifiant un identifiant dans l'URL. La compromission aurait duré environ 2 jours.

12 avril 2026 : la revendication publique

Le samedi 12 avril, le groupe DumpSec annonce sur un forum cybercriminel la mise en vente de la base. C'est le même groupe qui avait déjà frappé, quelques semaines plus tôt, l'Union Nationale du Sport Scolaire (fuite de 1,5 million de photos de collégiens et lycéens) et la Carte Jeune Région Occitanie (310 000 profils et 270 000 photos).

14-15 avril 2026 : la réaction du ministère

Le ministère de l'Éducation nationale publie son communiqué le 14 avril, confirme l'incident, saisit l'ANSSI (Agence nationale de la sécurité des systèmes d'information) et la CNIL, et dépose plainte. Les codes d'activation des comptes non encore activés ont été réinitialisés. Le ministère précise que les comptes ÉduConnect déjà activés ne sont pas compromis et restent utilisables.

Quelles données ont fuité ?

Selon le ministère (communication officielle) :

  • Prénom, nom
  • Identifiant ÉduConnect
  • Établissement et classe
  • Adresse e-mail (si renseignée par l'élève)
  • Code d'activation (pour les comptes non encore activés)
    Selon DumpSec (revendication pirate) — chiffres non confirmés officiellement mais corroborés par French Breaches :
  • 7,2 millions de bulletins scolaires
  • 400 000 rapports ASSR2 (attestation scolaire de sécurité routière)
  • Noms, classes, établissements de 3,5 millions d'élèves
  • Rapports pédagogiques, appréciations des professeurs, comportement en classe
  • Mots de passe en clair sur certains comptes
    L'écart entre les deux communications est symptomatique : le ministère minimise l'ampleur, les pirates l'amplifient. La vérité est probablement entre les deux — et c'est cette zone grise qui rend la situation inconfortable pour les familles.

Pourquoi le piratage ÉduConnect est un cas à part

Des victimes qui ne peuvent pas dire non

C'est ce qui rend cet incident particulièrement choquant : les victimes sont des mineurs scolarisés par obligation légale. Contrairement à un client Basic-Fit ou un abonné Netflix, les élèves — et leurs parents — n'ont pas choisi de confier leurs données à ÉduConnect. Le service est imposé par le système scolaire.

Ce contrat implicite entre l'État et les familles supposait en retour une exigence de protection renforcée. Or, le RGPD prévoit justement un niveau de protection accru pour les données de mineurs, avec des sanctions majorées en cas de manquement. On verra ce que la CNIL décidera.

Une centralisation qui amplifie le risque

ÉduConnect est une plateforme centralisée qui agrège les données scolaires de millions d'élèves sur une seule infrastructure. C'est pratique pour l'administration. C'est catastrophique en cas de faille : là où un système décentralisé aurait exposé quelques centaines de dossiers par établissement, ÉduConnect a exposé 3,5 millions d'élèves d'un coup.

Un précédent inquiétant : l'État français en série noire

Le piratage ÉduConnect n'est pas isolé. En mars 2026, le même ministère de l'Éducation nationale avait déjà subi la fuite COMPAS : 243 000 enseignants (noms, adresses, téléphones) exposés. Depuis le début de l'année : ministère de l'Intérieur, OFII, Urssaf (12 millions de salariés potentiellement touchés), Cegedim (15 millions de patients), FICOBA (1,2 million de comptes bancaires), Police nationale / e-campus… La liste des administrations françaises touchées par des fuites de données en 2026 dépasse les 90 millions de comptes compromis rien qu'au premier trimestre.

Les 4 risques concrets pour votre famille

Risque n°1 : le phishing ultra-ciblé contre les parents

C'est le risque principal, et il va frapper dans les semaines qui viennent. Armés du nom de votre enfant, de son établissement et de sa classe, les cybercriminels peuvent envoyer des messages d'une crédibilité redoutable. Exemple type :

« Madame Dupont, suite à l'incident de sécurité sur ÉduConnect, nous vous demandons de confirmer l'identité de Lucas (classe de 5ème B, Collège Jean-Moulin) en cliquant sur le lien suivant avant le 30 avril. Sans confirmation, son accès aux téléservices sera suspendu. »

Le message mentionne le bon prénom, la bonne classe, le bon établissement. Le taux de clic sur ce type de phishing personnalisé peut dépasser 50 % dans certaines études. Les fraudeurs vont viser prioritairement les coordonnées bancaires (prétexte : "frais de cantine à régulariser", "remboursement voyage scolaire") et les mots de passe.

Risque n°2 : l'ingénierie sociale contre les enfants directement

Votre enfant a une adresse e-mail ? Les pirates aussi l'ont maintenant. Et ils savent qu'il est en CM2 au groupe scolaire Voltaire. Les scénarios possibles sont nombreux :

  • Faux messages "de la maîtresse" demandant de cliquer sur un devoir à faire
  • Faux Pronote demandant de se reconnecter
  • Usurpation d'identité de camarades de classe sur les réseaux sociaux
    Les enfants, moins aguerris aux techniques de manipulation, sont des cibles plus faciles que les adultes. Et les conséquences peuvent dépasser le phishing : harcèlement, extorsion, exposition à des contenus inappropriés.

Risque n°3 : l'exposition à long terme des données scolaires

Contrairement à un mot de passe qui se change, les bulletins scolaires, appréciations, et informations personnelles de votre enfant resteront en circulation. Ces données peuvent refaire surface des années plus tard, dans un contexte d'entretien d'embauche, de démarche administrative, voire dans le cadre de conflits personnels (harcèlement, doxxing). Le RGPD prévoit un droit à l'effacement, mais on ne peut pas effacer ce qui est déjà revendu sur un forum clandestin.

Risque n°4 : l'usurpation d'identité partielle

Nom, prénom, établissement, date approximative de naissance (déduisible de la classe) : les pirates disposent d'assez d'éléments pour entamer des démarches frauduleuses au nom de votre enfant. C'est moins critique qu'une fuite de pièces d'identité — ÉduConnect ne conservait pas les cartes d'identité — mais suffisant pour ouvrir des comptes sur des plateformes peu regardantes.

5 gestes à adopter dès maintenant pour protéger votre enfant

1. Parlez-en à votre enfant aujourd'hui

C'est le geste le plus important et le plus oublié. Expliquez à votre enfant, avec ses mots, qu'il y a eu une fuite et que des inconnus peuvent essayer de le contacter en prétendant connaître son école ou sa classe. Règle simple à lui transmettre :

« Si un message te dit qu'il vient de l'école, de la maîtresse ou de Pronote : ne clique sur aucun lien. Viens me voir. »

Les enfants sont des cibles parce qu'ils se sentent rarement concernés. Une discussion de 5 minutes vaut mieux que tous les outils techniques.

2. Vérifiez que votre compte ÉduConnect est bien activé

Le ministère a réinitialisé les codes d'activation des comptes non encore activés au moment de l'attaque. Si vous n'avez pas activé votre compte ÉduConnect depuis décembre 2025, vous devrez probablement en redemander un nouveau. Si votre compte était déjà actif, il n'est pas directement compromis — mais restez vigilant aux tentatives de phishing.

3. Considérez tout message "école" non sollicité comme suspect

Pendant les 6 prochains mois au minimum :

  • Ne cliquez jamais sur un lien reçu par e-mail ou SMS se présentant comme l'école, le collège, le lycée, Pronote, l'Éducation nationale ou ÉduConnect.
  • Pour accéder à Pronote ou ÉduConnect, tapez directement l'URL dans votre navigateur (ou utilisez un favori fiable).
  • L'Éducation nationale ne vous demandera jamais de coordonnées bancaires par e-mail.
    Le bon réflexe face à un message douteux : appelez directement l'école. Cinq minutes au téléphone valent mieux qu'une fraude de plusieurs centaines d'euros.

4. Changez le mot de passe du compte ÉduConnect (et des autres)

Même si le ministère affirme que les comptes activés ne sont pas compromis, changez par précaution le mot de passe de votre compte ÉduConnect et de ceux de vos enfants. Choisissez un mot de passe :

  • Long (au moins 14 caractères)
  • Unique (jamais réutilisé ailleurs)
  • Sans lien avec la famille (pas de prénom, date de naissance, nom de l'animal)
    Profitez-en pour changer aussi le mot de passe de l'e-mail associé à ÉduConnect — si ce compte de messagerie est compromis, tout le reste suit. Un gestionnaire de mots de passe (Bitwarden, KeePass, 1Password) simplifie grandement la tâche.

5. Activez la double authentification partout où c'est possible

ÉduConnect ne propose pas encore la double authentification (2FA) pour les parents et élèves — c'est une faiblesse du dispositif. Mais activez la 2FA sur tous les autres comptes : votre messagerie principale, vos réseaux sociaux, vos comptes bancaires. C'est la protection la plus efficace contre les conséquences en cascade d'une fuite de données.

Vérifier si vos données sont concernées

Question légitime : comment savoir si les données de votre enfant sont dans la fuite ?

Trois pistes :

  1. Attendre une notification du ministère. Si vous étiez concerné par la réinitialisation des codes d'activation, vous devriez déjà avoir été contacté ou le serez prochainement.
  2. Vérifier sur Have I Been Pwned l'adresse e-mail associée au compte ÉduConnect — si la base DumpSec y est intégrée, vous le verrez.
  3. Par défaut, considérer que vous êtes concerné si votre enfant est scolarisé dans l'enseignement public français et utilise ÉduConnect. C'est l'approche la plus prudente.
    À date du 18 avril 2026, le ministère n'a pas encore publié de mécanisme officiel permettant à chaque famille de vérifier son exposition précise. Une plainte a été déposée, l'enquête est en cours, et la CNIL pourra à terme imposer des mesures correctives.

Ce que cette fuite nous apprend sur la cybersécurité de l'État

Le piratage ÉduConnect est symptomatique d'un problème plus large : les services publics français accumulent les données des citoyens plus vite qu'ils ne les protègent. La dématérialisation obligatoire (impôts, santé, éducation, emploi…) crée des bases de données tentaculaires qui sont autant de cibles de choix. Or, le niveau de sécurité déployé est souvent celui d'un service opérationnel, pas celui d'un actif hautement sensible.

La faille IDOR exploitée dans ÉduConnect est connue depuis des décennies. Elle figure régulièrement dans le Top 10 OWASP des vulnérabilités web les plus critiques. Sa présence dans une plateforme gérant les données de 12 millions de mineurs pose question — non pas sur les développeurs, souvent compétents, mais sur la gouvernance de la sécurité dans les grands projets numériques de l'État. La transposition de la directive NIS 2, qui aurait dû renforcer les obligations des administrations, reste inachevée en France.

En attendant que le cadre se resserre, la vigilance individuelle est la première ligne de défense. C'est à chaque famille d'adopter les réflexes qui limiteront l'impact des prochaines fuites — parce qu'il y en aura d'autres.

En résumé : les 4 choses à retenir

  1. Le piratage ÉduConnect concerne potentiellement 3,5 millions d'élèves mineurs scolarisés dans le public, du CP à la Première. L'intrusion a eu lieu fin décembre 2025 via une faille IDOR exploitée par le groupe DumpSec.
  2. Le risque principal n'est pas le vol de données en soi, mais la campagne de phishing qui va frapper les familles dans les semaines à venir — avec un niveau de personnalisation inédit.
  3. Les 5 gestes essentiels : parler à votre enfant, vérifier votre compte, méfier des messages "école", changer les mots de passe, activer la 2FA partout ailleurs.
  4. C'est la deuxième fuite majeure de l'Éducation nationale en un mois après COMPAS (243 000 enseignants) — une série qui interroge la gouvernance numérique des services publics français.
    Les pirates misent sur la panique des parents et l'inexpérience des enfants. Armés des bonnes informations, vous leur coupez leurs meilleurs arguments.

Pour aller plus loin, retrouvez notre guide complet pour reconnaître un e-mail de phishing et nos conseils pour sensibiliser votre enfant à la cybersécurité. Pour suivre chaque semaine les incidents cyber qui touchent la France, abonnez-vous à notre veille hebdomadaire.

Sources : communiqué du ministère de l'Éducation nationale (14 avril 2026), French Breaches, Journal du Geek, Le Big Data, Tom's Guide, Café Pédagogique, Generation-NT. ANSSI et CNIL saisies, plainte déposée.

TAGS :grand public
RÉAGIR :
← TOUS LES ARTICLES
PARTAGER :X ↗LINKEDIN ↗
À LIRE AUSSI
VOIR TOUT →
ACTUALITÉ

Piratage Canvas : 275 millions d'étudiants exposés par ShinyHunters

ShinyHunters a piraté Instructure et Canvas en mai 2026. 275 millions d'étudiants concernés, 9 000 écoles : décryptage, données volées et conseils de protection.

10 MINLIRE →
ACTUALITÉ

Plan cyber de l'État : ce que change le plan Lecornu (200 M€)

Plan cyber de l'État : 200 M€, autorité numérique, fonds CNIL... Décodage du plan annoncé par Sébastien Lecornu après l'affaire ANTS.

8 MINLIRE →
ACTUALITÉ

Piratage ANTS : le titre sécurisé qui ne l'est plus (11,7 M de Français touchés)

Piratage ANTS : 11,7 millions de Français exposés, failles connues ignorées depuis des mois. Ce qu'il faut savoir et les gestes pour vous protéger.

13 MINLIRE →