L’information n’a été révélée que le 23 mars 2026, soit plus d’une semaine après le début de la compromission.
Le 15 mars, un hacker pour l’heure non identifié a accédé à COMPAS, le logiciel RH qui centralise la gestion des enseignants stagiaires des premier et second degrés, en usurpant les identifiants d’un compte externe.
Ce n’est pas la première fois qu’un compte compromis sert de point d’entrée dans un système ministériel : fin décembre, le ministère de l’Intérieur avait confirmé que des identifiants récupérés dans des boîtes mail professionnelles avaient permis à des attaquants d’accéder à des applicatifs métier internes. Même schéma ici, pas de faille technique, mais un compte valide entre de mauvaises mains.
L’intrusion n’a été détectée que le 19 mars en fin de journée, par le centre opérationnel de sécurité des systèmes d’information du ministère, le COSSIM.
Ce qui a été volé, et ce que ça implique
Quatre jours de flottement donc, pendant lesquels l’attaquant circulait librement dans la base. Ce type d’accès est par nature difficile à repérer : quelqu’un qui se connecte avec des identifiants légitimes ne déclenche pas les mêmes signaux d’alerte qu’un logiciel malveillant.
Les données extraites concernent environ 243 000 agents, essentiellement des enseignants enregistrés dans COMPAS. Noms, prénoms, adresses postales, numéros de téléphone, périodes d’absence sans mention du motif. S’y ajoutent les noms, prénoms et lignes téléphoniques professionnelles des tuteurs des stagiaires.
Pas de données médicales, pas de numéros de sécurité sociale. Mais l’ensemble forme un profil exploitable pour des campagnes de phishing ciblé ou des tentatives d’usurpation d’identité. Le ministère a d’ailleurs appelé ses agents à la vigilance face à tout message suspect prétendant provenir de l’institution.
Une revendication en ligne, et des vérifications en cours
Une entité se présentant sous le pseudonyme « Hexdex » aurait mis en ligne un échantillon des données piratées sur des sites de revente. Ce type de publication est une pratique courante pour crédibiliser une revendication et attirer des acheteurs, mais la mise en ligne d’un échantillon ne prouve pas que l’intégralité des données volées est effectivement entre les mains de ce groupe, ni qu’il en est l’auteur. La réalité et la portée de cette revendication restent à établir.
Le ministère a suspendu l’accès à COMPAS depuis la détection de l’intrusion. Des vérifications sont en cours sur l’ensemble de ses systèmes d’information afin de prévenir tout risque de propagation. L’ANSSI et la CNIL ont été saisies, un dépôt de plainte à Paris est en cours, et les agents concernés seront notifiés dans les meilleurs délais.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !