Cyberattaque sur Compas: les données de 243 000 agents de l’Éducation nationale exposées

243 000 agents de l’Éducation nationale, majoritairement des enseignants, voient leurs données personnelles compromises après une cyberattaque visant Compas, un logiciel de ressources humaines utilisé pour gérer des stagiaires du premier et du second degrés. Le ministère a confirmé que l’intrusion remonte au 15 mars 2026 et qu’un échantillon des informations volées a été diffusé en ligne sur des espaces de revente de données.

Les éléments concernés sont concrets, donc exploitables, noms, prénoms, adresses postales, numéros de téléphone, et périodes d’absence sans mention du motif. Les tuteurs ne sont pas épargnés, leurs noms, prénoms et lignes fixes professionnelles figurent aussi dans le lot. L’accès à Compas a été suspendu, l’ANSSI et la CNIL ont été saisies, et une plainte est en cours à Paris.

Le ministère détaille la fuite liée à Compas le 15 mars 2026

Le ministère situe l’attaque au 15 mars 2026, avec un impact chiffré à 243 000 agents. Sur le papier, ce nombre frappe, mais il faut comprendre ce qu’il recouvre, des personnels répartis sur tout le territoire, avec une forte proportion d’enseignants, et un périmètre lié à la gestion RH des stagiaires. Ce n’est pas un incident “local”, c’est une base nationale, donc un risque de démarchage massif.

Les données dérobées ne relèvent pas du secret-défense, mais elles sont suffisamment précises pour alimenter des arnaques crédibles. On parle de noms, adresses postales, numéros de téléphone, et périodes d’absence. Dans la vraie vie, un escroc n’a pas besoin de plus pour appeler en se faisant passer pour un service administratif, ou envoyer un courrier ciblé à domicile. Et là, tu n’es plus dans la théorie.

Le ministère précise aussi que les tuteurs des stagiaires apparaissent dans les données, avec leurs coordonnées professionnelles. C’est un point souvent sous-estimé, une ligne fixe au bon nom, dans le bon établissement, ça donne de la crédibilité à une tentative d’usurpation. Un chef d’établissement reçoit un appel “d’un tuteur”, un stagiaire reçoit un SMS “du rectorat”, et la mécanique de fraude démarre vite.

Dans ce dossier, un échantillon a été mis en ligne sur des sites de revente de données, et une entité se présentant sous un pseudonyme a été citée dans les informations diffusées. Là, nuance importante, le ministère ne décrit pas publiquement tout le mode opératoire ni l’ampleur exacte de la diffusion. C’est frustrant pour les agents, mais c’est aussi un réflexe classique, trop détailler, c’est parfois aider les imitateurs.

Les informations volées: adresses, téléphones et périodes d’absence exploitables

Le cur du problème, c’est la nature des données. Une adresse postale et un numéro de téléphone, ce n’est pas “juste administratif”, c’est la porte d’entrée vers l’ingénierie sociale. Exemple concret, un appel qui commence par “Bonjour, je vous contacte au sujet de votre dossier de stage”, avec ton nom et ton adresse en appui, et tu as déjà un contexte. Beaucoup de victimes tombent parce que le discours paraît documenté.

Les périodes d’absence, même sans motif, ajoutent une couche. Si un fraudeur sait qu’une personne est absente sur une fenêtre donnée, il peut tenter une arnaque au “changement de RIB” en visant le bon timing, ou cibler des moments où l’agent est moins disponible. Dans certains cas, ça peut aussi alimenter du harcèlement, parce que l’absence devient un prétexte pour insinuer, commenter, faire pression.

Le ministère indique qu’il n’y a pas, dans ce qui est décrit publiquement, d’informations comme des numéros de Sécurité sociale. C’est une limite qui compte, parce que ce type d’identifiant ouvre d’autres scénarios de fraude. Mais attention, ne te rassure pas trop vite, un lot de données “simples” peut être recoupé avec d’autres fuites plus anciennes. C’est souvent comme ça que les dossiers d’usurpation deviennent complets.

Un représentant syndical, joint dans un rectorat, résume la crainte de terrain, “ce qui inquiète, ce n’est pas seulement la fuite, c’est le moment où l’agent reçoit un message qui semble venir de la hiérarchie, et où il clique”. Et là, critique nécessaire, les campagnes de sensibilisation existent, mais elles sont inégales. Dans certains établissements, on en parle une fois par an, dans d’autres, jamais.

Suspension de Compas, saisine de l’ANSSI et plainte déposée à Paris

La réponse institutionnelle a été rapide sur un point clé, l’accès à Compas a été suspendu. C’est une mesure de confinement classique, tu coupes l’accès pour éviter une fuite continue, et tu lances des vérifications sur le reste du système d’information. Le ministère dit mener des contrôles “sur l’ensemble des systèmes” pour prévenir un risque de propagation. Dit autrement, on cherche aussi l’éventuel effet domino.

Le dossier a été transmis à l’ANSSI et à la CNIL. L’ANSSI intervient sur l’aspect sécurité nationale et technique, analyse d’incident, recommandations, accompagnement, tandis que la CNIL se positionne sur la protection des données personnelles, obligations de notification, mesures correctrices, information des personnes. Les deux volets sont complémentaires, et c’est important de ne pas réduire l’affaire à un simple “bug informatique”.

Une plainte est en cours à Paris. Pour les agents, ça paraît parfois abstrait, parce qu’une plainte n’efface pas la donnée déjà sortie. Mais juridiquement, c’est une étape structurante, elle permet l’ouverture d’investigations, la coopération avec des services spécialisés, et la possibilité de viser les circuits de revente. Dans ce type d’affaire, le temps judiciaire est long, et c’est un vrai point de tension.

Un expert en cybersécurité d’une société de réponse à incident, qui suit régulièrement des fuites dans des administrations, explique un mécanisme fréquent, “la coupure d’un service est visible, mais le plus dur se passe après, cartographier ce qui a été consulté, vérifier les journaux, comprendre si l’accès a été ponctuel ou persistant”. Là encore, nuance, le ministère ne détaille pas publiquement ce diagnostic, et c’est volontaire.

Le pseudonyme Hexdex et la mise en vente d’un échantillon de données

Un élément marquant, c’est la diffusion d’un échantillon sur des espaces de revente. Ce n’est pas forcément la totalité des données, c’est souvent une vitrine, quelques lignes pour prouver que “le vendeur” détient bien un lot plus large. Le fait qu’un pseudonyme, Hexdex, soit mentionné dans les informations relayées montre aussi la logique de réputation dans ces milieux, tu “signes” pour attirer des acheteurs.

Sur ces marchés, les données ne servent pas qu’à une arnaque unique. Elles peuvent être revendues plusieurs fois, agrégées, ou utilisées pour des campagnes de spam ciblé. Un lot de 243 000 entrées, même partiel, c’est un volume suffisant pour industrialiser des appels et des SMS. Et plus la cible est homogène, “agents de l’éducation”, plus le script d’arnaque est facile à écrire, avec les bons mots.

Un enseignant stagiaire, qui a appris l’affaire via sa hiérarchie, raconte une inquiétude très concrète, “je suis en début de carrière, mon adresse est récente, je n’ai pas envie qu’elle tourne, surtout si quelqu’un sait quand je suis absent”. Ce type de témoignage illustre un angle souvent oublié, la fuite touche des profils plus vulnérables, stagiaires, jeunes titulaires, personnes en mobilité, qui n’ont pas toujours les bons réflexes de protection.

Le ministère précise que la base Compas est distincte d’une autre base récemment touchée dans le secteur éducatif, ce point vise à éviter l’amalgame et la panique généralisée. Mais il y a une critique à formuler, pour le grand public, voir plusieurs incidents rapprochés donne l’impression d’une série noire. Même si les bases sont différentes, l’effet sur la confiance est réel, et il faudra plus qu’un communiqué pour le corriger.

Une série d’incidents dans l’éducation, et des mesures concrètes attendues

Le contexte compte, l’annonce intervient alors qu’une autre attaque a touché le Secrétariat général de l’Enseignement catholique, avec des données administratives concernant 1,5 million de personnes. Les deux bases sont distinctes, mais l’enchaînement raconte quelque chose, l’éducation, publique ou privée, manipule des volumes massifs de données, et la surface d’attaque est large, outils RH, vie scolaire, messageries, portails.

Dans les établissements, ça se traduit par une réalité simple, beaucoup d’outils, beaucoup d’identifiants, et des usages sous contrainte. Quand tu dois gérer une classe, des évaluations, des réunions, tu ne passes pas ta journée à renouveler des mots de passe complexes. C’est humain. Mais c’est aussi là que les attaquants gagnent. Un expert résume, “la sécurité doit être conçue pour le terrain, sinon elle est contournée”.

Les mesures attendues sont concrètes, et elles dépassent la seule suspension d’un portail. Renforcement de l’authentification, revue des accès, segmentation, journalisation, et surtout communication claire aux agents sur les risques d’hameçonnage. Exemple, si des SMS circulent “au nom du rectorat”, il faut des consignes simples, quel canal officiel, quel numéro, quelle procédure. Sans ça, chacun improvise, et l’improvisation coûte cher.

Les agents concernés vont aussi chercher des réponses pratiques, que faire si on reçoit un appel suspect, comment signaler, comment vérifier. Les autorités ont saisi les organismes compétents, mais l’enjeu, c’est la mise en uvre au quotidien. Et l’évolution reste incertaine sur un point, le niveau exact de diffusion du lot dans la durée. Une donnée qui sort une fois peut ressurgir des mois après, dans une autre campagne, sous un autre prétexte.