Alerte Cybersécurité : le groupe DumpSec a dérobé les données de 3,5 millions de mineurs
Le système éducatif français traverse une crise numérique sans précédent suite à une intrusion informatique d’une ampleur historique. Le groupe de cybercriminels DumpSec affirme avoir dérobé les données personnelles de 3,5 millions d’élèves, principalement des mineurs. Apparemment, l’attaque a exploité une vulnérabilité sur la plateforme EduConnect. Cette nouvelle alerte survient alors que les services de l’État font face à une recrudescence d’attaques ciblées contre leurs infrastructures numériques.
Une intrusion majeure sur la plateforme EduConnect
Les pirates du groupe DumpSec ont visé EduConnect. Il s’agit du portail indispensable aux familles pour le suivi de la scolarité et les démarches administratives. Selon les premières expertises relayées par des sites spécialisés, les attaquants auraient profité d’une faille de sécurité durant deux jours consécutifs à la fin du mois de décembre 2025. Cette vulnérabilité technique a permis de manipuler des requêtes HTTP pour accéder à des répertoires normalement sécurisés sans authentification valide.
Cette violation de périmètre expose une quantité impressionnante de documents sensibles. Cela inclurait plus de 7 millions de bulletins scolaires et des centaines de milliers de rapports liés à l’ASSR2. Cet incident rappelle la fragilité des serveurs publics, à l’image du piratage de l’Éducation nationale ayant compromis 243 000 profils d’enseignants sur Compas survenu seulement quelques semaines plus tôt.
La nature des informations personnelles dérobées
La base de données mise en vente par les hackers contient des informations d’identité précises. Plus précisément, les fichiers incluent les noms, les prénoms, les adresses électroniques, ainsi que le niveau scolaire et l’établissement fréquenté par chaque enfant. Plus inquiétant encore, certains comptes afficheraient des mots de passe en clair. Cela facilite grandement l’usurpation d’identité ou l’accès à d’autres services personnels si les utilisateurs réutilisent les mêmes codes.
Le caractère massif de cette fuite concernant des mineurs aggrave la situation sur le plan juridique et éthique. Le Règlement Général sur la Protection des Données (RGPD) impose effectivement des mesures de sécurité drastiques pour les données des enfants. Cette défaillance soulève donc des questions critiques sur la capacité des institutions à garantir l’intégrité des parcours numériques scolaires face à des menaces persistantes. On a effectivement pu le voir lors du piratage massif de la PS5 où Sony a affronté une faille irréversible.
Une fuite de données qui peut cibler les parents avec des campagnes de phishing
L’exploitation de ces données par des tiers malveillants ouvre la voie à des campagnes de phishing extrêmement sophistiquées. En possédant le nom de l’élève et son établissement exact, les escrocs peuvent rédiger des messages frauduleux très crédibles. Et ce, dans le but de soutirer de l’argent ou des accès bancaires aux parents. Les autorités recommandent une vigilance absolue lors de la réception de courriels ou d’appels téléphoniques se revendiquant de l’administration scolaire.
Le ministère de l’Éducation nationale n’a pas encore validé officiellement l’intégralité du volume de données annoncé par DumpSec, mais la menace reste concrète. Cette fuite intervient paradoxalement juste après une campagne nationale de sensibilisation aux risques numériques, soulignant l’écart entre la prévention pédagogique et la robustesse technique des systèmes d’information gouvernementaux. Les familles doivent désormais modifier leurs identifiants de connexion et surveiller toute activité inhabituelle sur leurs messageries.
