Il aura fallu attendre lundi 23 mars pour avoir l’information. Pourtant, le piratage date du 15 mars dernier. Les données personnelles, dont les adresses postales, d’environ 243.000 agents de l’Éducation nationale, essentiellement des enseignants, ont été piratées, selon un communiqué du ministère.
Les données piratées sont les noms, prénoms, adresses postales, numéros de téléphone, et périodes d’absence sans mention du motif, d’enseignants de la France entière enregistrés dans la base “Compas”, logiciel de ressources humaines du ministère dédié à la gestion des stagiaires du premier et second degré. Les noms, prénoms, et lignes de téléphones fixes professionnelles des tuteurs de ces stagiaires figurent aussi dans les données piratées, a précisé le ministère auprès de l’AFP.
Un échantillon mis en vente
L’intrusion dans ce système de données date du 15 mars et a été détectée par le centre opérationnel de la sécurité des systèmes d’information du ministère le 19 mars en fin de journée. Selon le communiqué, l’accès frauduleux a été rendu possible par “l’usurpation d’un compte externe”.
Depuis, l’accès à “Compas” a été suspendu et des “vérifications sont en cours sur l’ensemble des systèmes d’information du ministère afin de prévenir tout risque de propagation”, précise le ministère. Mais une partie des informations personnelles en question avait déjà fuité. Un échantillon des données piratées a même été mis en ligne sur des sites de revente de données par une entité qui se présente sous le pseudonyme “Hexdex”.
Le ministère de l’Education nationale a saisi l’Agence nationale de la sécurité des systèmes d’information (Anssi), la Commission nationale de l’informatique et des libertés (Cnil) et un dépôt de plainte à Paris est en cours.
Ce n’est pas la première fois qu’une administration est victime d’une telle fuite de données. Samedi 21 mars, le Secrétariat général de l’Enseignement catholique (Sgec) a annoncé avoir été victime d’une attaque informatique ciblant l’application de gestion de ses établissements du premier degré, dévoilant les données administratives de 1,5 million de personnes. Selon le ministère, la base de données du Sgec piratée et celle de Compas sont deux bases distinctes.
Fin décembre dernier, le ministère de l’Intérieur puis celui des Sports, de la Jeunesse et de la Vie associative avaient été successivement victimes d’une exfiltration de données. Dans un communiqué concis, ce dernier indiquait que “3,5 millions de foyers” avaient été concernés par cette fuite.