ÉduConnect piraté : données personnelles d'élèves exposées après une usurpation d'identité

Une cyberattaque ciblant le service de gestion des comptes ÉduConnect a conduit à l'exfiltration de données personnelles d'élèves. L'attaque, survenue en décembre dernier, a permis aux pirates d'accéder à des informations sensibles, notamment les prénoms, noms, identifiants ÉduConnect, établissements scolaires, classes et, le cas échéant, les adresses email des élèves concernés. Face à cette fuite, le ministère de l'Éducation nationale a déposé plainte et saisi à la fois l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et la Commission nationale de l'informatique et des libertés (CNIL).

L'intrusion a été rendue possible par l'exploitation d'une faille de sécurité, consécutive à l'usurpation d'identité d'un membre du personnel habilité. Cette manœuvre a offert aux attaquants un accès frauduleux à un service annexe du système ÉduConnect. Cette plateforme, conçue pour simplifier l'accès aux services numériques de l'Éducation nationale pour les collégiens, lycéens et leurs parents, constitue un point d'entrée unique et donc une cible de choix pour les cybercriminels.

Bien que la faille ait depuis été corrigée par les services du ministère, l'incident souligne les risques systémiques liés à la centralisation des accès. L'épisode place désormais le ministère et ses opérateurs sous la surveillance renforcée des autorités de cybersécurité et de protection des données. La compromission d'un identifiant unique, conçu pour la commodité, révèle sa vulnérabilité intrinsèque lorsqu'il n'est pas suffisamment protégé contre les techniques d'ingénierie sociale et d'usurpation.