Une nouvelle cyberattaque d’ampleur vise l’Éducation nationale
L’Éducation nationale française fait face à une nouvelle crise de cybersécurité. Une attaque informatique ciblant la plateforme GAEL a permis à des cybercriminels d’accéder aux données personnelles de plusieurs millions de personnes. L’incident concerne plus précisément France Éducation international, un établissement public placé sous la tutelle du ministère de l’Éducation nationale.
La plateforme GAEL joue un rôle clé : elle centralise la gestion administrative des examens DELF et DALF, deux diplômes officiels délivrés par l’État français pour attester du niveau de maîtrise du français chez les candidats étrangers ou non francophones. Autrement dit, elle stocke depuis des années des informations sensibles sur des millions de profils.
Une intrusion facilitée par des comptes compromis
Selon les éléments communiqués par l’organisme, l’attaque trouve son origine dans la compromission de plusieurs comptes d’utilisateurs externes. Les assaillants ont utilisé des identifiants et mots de passe parfaitement valides pour se connecter à la plateforme, sans avoir besoin d’exploiter une faille technique complexe.
L’enquête interne indique qu’au moins trois comptes externes ont été utilisés lors de l’intrusion, qui se serait déroulée entre la soirée du vendredi 9 janvier et la matinée du lundi 12 janvier 2026. Ce laps de temps a suffi aux attaquants pour consulter et extraire une grande quantité de données personnelles.
Un point revient avec insistance dans la communication officielle : ces comptes n’étaient pas protégés par une authentification multifactorielle. En clair, une simple combinaison identifiant–mot de passe a suffi pour ouvrir la porte du système. Un scénario désormais tristement classique dans les cyberattaques visant des institutions françaises, déjà observé lors d’incidents touchant la Direction de l'immobilier de l'État ou encore l’Urssaf.
Quelles informations ont été exposées ?
Les données compromises concernent principalement l’identité des candidats. La liste des informations consultées par les pirates est particulièrement sensible : civilité, nom, prénom, patronyme, date et lieu de naissance, pays de naissance, nationalité, langue maternelle ou encore premier centre d’examen de rattachement.
Ces éléments, pris isolément, peuvent sembler anodins. Mais combinés, ils constituent une base idéale pour monter des escroqueries crédibles. Phishing ciblé, usurpation d’identité ou tentatives de fraude administrative deviennent alors beaucoup plus faciles à mettre en œuvre.
En revanche, l’Éducation nationale se veut rassurante sur plusieurs points. Aucune donnée de contact, comme les adresses postales, emails ou numéros de téléphone, n’aurait été compromise. De même, aucune information financière n’est concernée par la fuite. Les résultats aux examens, les notes obtenues et les diplômes délivrés n’ont pas été consultés non plus.
Un risque réel d’usurpation d’identité
Malgré ces précisions, le risque demeure sérieux pour les personnes touchées. L’administration reconnaît elle-même que la principale menace est celle de l’usurpation d’identité. Avec des données aussi précises, un attaquant peut se faire passer pour une victime auprès de services administratifs ou lors de démarches en ligne.
Face à cette situation, l’Éducation nationale appelle les candidats à une vigilance accrue. Il est notamment recommandé de se méfier des messages inattendus, des demandes d’informations complémentaires et des communications prétendant provenir d’organismes officiels. Comme souvent après une fuite de données, les conséquences peuvent se manifester plusieurs mois plus tard, lorsque les informations commencent à circuler dans les réseaux de cybercriminalité.
Près de 6 millions de personnes concernées
L’ampleur de l’incident est considérable. Les investigations menées par France Éducation international estiment que les données de 5,8 millions de candidats ont été exposées. La fuite concerne exclusivement les personnes ayant été inscrites ou ayant passé un examen DELF ou DALF depuis 2005.
Concrètement, toute personne ayant interagi avec ces certifications au cours des vingt dernières années est susceptible d’être concernée. L’Éducation nationale a engagé une campagne de notification afin d’informer individuellement les victimes potentielles de la violation de leurs données personnelles.
Cette obligation d’information s’inscrit dans le cadre du règlement général sur la protection des données (RGPD), qui impose aux organismes de prévenir les personnes concernées lorsqu’un incident présente un risque pour leurs droits et libertés.
Des mesures d’urgence et une plateforme à l’arrêt
Dès la détection de l’intrusion, l’accès à la plateforme GAEL a été suspendu par mesure de précaution. L’objectif était clair : stopper immédiatement la fuite de données et empêcher toute exploitation supplémentaire des comptes compromis.
Parallèlement, des mesures de sécurité renforcées sont en cours d’étude. L’Éducation nationale indique que la plateforme ne sera remise en service qu’une fois des garanties jugées suffisantes mises en place. Sans surprise, l’activation de mécanismes de sécurité supplémentaires, comme l’authentification multifactorielle, figure parmi les pistes envisagées.
L’incident a également été signalé à la Commission nationale de l’informatique et des libertés (CNIL), comme l’exige la réglementation. Une plainte a par ailleurs été déposée auprès des autorités compétentes, ouvrant la voie à une enquête judiciaire.
Une fuite de plus dans un contexte déjà tendu
Cette cyberattaque s’inscrit dans une série noire pour les organisations françaises. Ces dernières semaines, de nombreuses institutions publiques et entreprises ont été touchées par des fuites de données majeures. Plusieurs ministères, dont celui des Sports, ont récemment été visés. Le secteur privé n’est pas en reste, avec des services de livraison largement utilisés comme Chronopost, Mondial Relay ou Relais Colis.
Ces incidents répétés mettent en lumière des faiblesses structurelles dans la gestion des accès et la protection des comptes utilisateurs. Ils rappellent surtout qu’en matière de cybersécurité, les mesures de base — mots de passe robustes, authentification à deux facteurs, surveillance des accès — restent des remparts essentiels, trop souvent négligés.
À mesure que les administrations numérisent leurs services et centralisent toujours plus de données, la surface d’attaque s’élargit. Sans investissements sérieux et continus dans la sécurité, ces plateformes deviennent des cibles de choix pour des attaquants de plus en plus opportunistes.