Il y a d’abord eu le ministère de l’Intérieur. Puis celui des Sports, puis de la Santé. En mars 2026, c’était au tour de l’Éducation nationale de confirmer une fuite massive via son système COMPAS, exposant les données personnelles de 243 000 enseignants. Ce 12 avril 2026, un groupe de hackers connu sous le nom de DumpSec a annoncé avoir mis en vente une base de données issue d’EduConnect, la plateforme officielle du ministère qui permet aux élèves, aux parents et aux établissements scolaires de consulter leurs notes, bulletins et démarches administratives.
Selon les éléments publiés par le site spécialisé French Breaches, cette base concernerait plus de 3,5 millions d’élèves, quasi exclusivement des mineurs. Le nombre exact de victimes n’est, à ce stade, pas confirmé.
3,5 millions de mineurs concernés
Ce que revendique DumpSec est vertigineux : 7,2 millions de bulletins scolaires, 400 000 rapports ASSR2 (l’attestation scolaire de sécurité routière délivrée au collège), et des données d’identité comprenant noms, prénoms, adresses email, classe et établissement. Des mots de passe en clair apparaîtraient en outre sur plusieurs comptes. La compromission aurait duré deux jours fin décembre 2025, via une faille ayant permis aux hackers d’accéder à des ressources normalement protégées en manipulant de simples identifiants dans les requêtes HTTP.
Le fait que les victimes soit mineures change radicalement la portée de l’incident. Si on commence à s’habituer aux fuites de données lorsqu’elles concernent des adultes, l’implication de mineurs soulève un autre niveau de responsabilité légale et éthique. Rappelons d’ailleurs que le RGPD impose des obligations renforcées pour tout traitement impliquant des enfants. L’incident est d’autant plus grave qu’il ne concerne pas de simples données, mais bien des informations sensibles sur l’identité et les établissements scolaires de millions d’enfants.
Pourquoi c’est grave ?
Avec une fuite de cette ampleur, il devient facile pour les hackers de mener des campagnes de phishing massives, et surtout ultra-ciblées. D’autant plus qu’en à peine quelques mois, pratiquement chaque service numérique de l’État français a été touché. La réponse institutionnelle reste identique à chaque épisode, mais les incidents se répètent encore et encore. Au moment de la publication de cet article, le ministère de l’Éducation nationale n’a toujours pas confirmé officiellement l’ampleur de la fuite EduConnect.
La situation est d’autant plus ironique qu’il y a quelques jours à peine, le gouvernement avait livré les conclusions de sa traditionnelle Opération Cactus, un dispositif de sensibilisation au phishing destiné aux élèves, aux enseignants et aux parents. 9,2 millions de personnes avaient été impliquées, et 1,1 million s’étaient laissées prendre au piège en cliquant sur le lien frauduleux.
Si votre enfant est scolarisé en France, la probabilité que ses données se trouvent dans cette base est loin d’être négligeable. La prudence s’impose : attention aux mails et aux appels que vous recevrez de la part de son établissement scolaire dans les semaines à venir.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
