Information relative à la violation de données concernant ÉduConnect

Le ministère de l’Éducation nationale a récemment été la cible d’une cyberattaque sur le traitement ÉduConnect, ayant conduit à la divulgation de certaines données à caractère personnel concernant des élèves. Cet accès non autorisé entraine une perte de confidentialité des données à caractère personnel traitées dans le cadre du traitement.

Les données concernées sont limitées aux suivantes : nom, prénom, identifiant ÉduConnect, établissement, classe, ainsi que l’adresse électronique lorsqu’elle a été renseignée par l’élève. Pour les comptes qui n’étaient pas encore activés au moment de l’incident, le code d’activation a également pu être concerné.

À ce stade, il est important de préciser que les comptes ÉduConnect déjà activés avec un mot de passe personnalisé par les élèves ne sont pas compromis et peuvent continuer à être utilisés normalement.

Dès la détection de cet incident et par mesure de précaution, les comptes qui n’avaient pas encore été activés, ainsi que ceux activés entre le 19 décembre 2025 et le 14 avril 2026, ont fait l’objet d’un blocage préventif. Une procédure de réinitialisation du mot de passe sera mise en œuvre par l’école ou l’établissement de scolarité afin de permettre leur activation dans des conditions sécurisées. Lorsqu’une adresse électronique avait été renseignée, une reconfirmation pourra être demandée.

La Commission nationale de l’informatique et des libertés (CNIL) a été notifiée et une plainte a été déposée auprès du parquet de Paris.

Cet incident est susceptible d’entrainer un risque d’usurpation d’identité ou d’utilisation frauduleuse desdites informations. Dans ce contexte, il est recommandé de faire preuve d’une vigilance particulière face aux tentatives de fraude, notamment par courrier électronique (phishing). Il convient en particulier de ne jamais communiquer d’informations personnelles ou de mots de passe à la suite d’un message non sollicité. Pour en savoir plus, vous pouvez notamment consulter : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing.

Les services du ministère restent pleinement mobilisés pour assurer la sécurité des systèmes d’information et des données.

Pour obtenir plus d’informations sur cet incident, vous pouvez contacter l’adresse suivante : info-educonnect@education.gouv.fr.

Le ministère prend cet incident avec la plus grande gravité et reste pleinement mobilisé pour garantir la sécurité des systèmes d’information et accompagner les familles ainsi que les établissements concernés.