Une intrusion dans le logiciel Compas, dédié à la gestion des stagiaires du premier et du deuxième diplôme, a exposé les données personnelles d’environ 243 000 agents de l’Éducation nationale, principalement des enseignants. Le ministère a suspendu l’accès à l’outil, contacté l’Anssi et la CNIL et lancé des contrôles pour éviter toute diffusion.
L’attaque remonte au 15 mars, mais le centre opérationnel de sécurité des systèmes d’information du ministère ne l’a détectée que le 19 mars en fin de journée. Les données compromises portent sur les noms, prénoms, adresses postales, numéros de téléphone et périodes d’absence, sans mention du motif, des enseignants enregistrés dans cette base de données sur tout le territoire. Les noms, prénoms et lignes fixes professionnelles des tuteurs de ces stagiaires figurent également dans les informations dérobées.
L’affaire ne se limite pas à une intrusion interne dans un outil administratif. Un échantillon des données piratées a déjà été publié sur des forums de hackers par une entité sous le pseudonyme Hexdex.
Cet affichage change immédiatement la nature du risque pour les personnes concernées. Les informations volées ne sont plus seulement compromises dans le système d’origine, elles ont commencé à circuler en dehors du ministère.
En réponse, le ministère commencé plusieurs leviers en parallèle. Il a contacté l’Anssi et la CNIL, tandis qu’une plainte est déposée à Paris.
Le ministère cherche à contenir l’incident
L’accès à Compass a été suspendu pour interrompre l’exposition immédiate. Le ministère précise également que des contrôles sont en cours sur l’ensemble de ses systèmes d’information afin de prévenir tout risque de propagation.
Cette attaque intervient dans un contexte déjà tendu autour des systèmes éducatifs. Samedi, le Secrétariat général de l’enseignement catholique (Sgec) a annoncé une nouvelle attaque informatique visant son application de gestion des établissements d’enseignement primaire, avec des données administratives concernant 1,5 million de personnes.
Le ministère insiste cependant sur un point de séparation technique. Selon lui, la base Compas et la base Sgec piratée sont deux systèmes distincts.
