Fuite Avantages Enseignants : 126 000 comptes de l’Éducation nationale exposés sur un forum cybercriminel
Adresses académiques, mots de passe hachés, données personnelles une base de données attribuée à la plateforme avantages-enseignants.fr a été mise en vente sur le dark web. Aucune communication officielle à ce stade.
Près de 126 000 comptes d'enseignants et de personnels de l'Éducation nationale sont exposés sur un forum cybercriminel. La plateforme Avantages Enseignants n'a pas réagi publiquement.
Les enjeux
Ce qu'il faut comprendre
Une base attractive pour le phishing ciblé
126 000 adresses académiques vérifiées <sup class=
Hachage ≠ chiffrement : risque résiduel
Le hachage protège les mots de passe <sup class=
Obligations RGPD non documentées
Au-delà de la notification CNIL sous 72h <sup class=
Le facteur humain comme principale faille
Lors de l'opération Cactus, 20 % des enseignants et agents ont cliqué sur le lien frauduleux <sup class=
Un écosystème éducatif sous pression continue
Entre 2017 et 2025, les infractions de cybercriminalité traitées par le parquet de Paris ont augmenté de 2 700 % <sup class=
L'essentiel
Ce qu'il faut retenir
- Près de 126 000 comptes d'enseignants attribués à la plateforme avantages-enseignants.fr sont exposés sur un forum cybercriminel.
- Les données incluent adresses e-mail académiques, informations de comptes et mots de passe stockés sous forme hachée.
- Aucune communication officielle de la plateforme n'a été identifiée à ce stade.
- L'incident s'ajoute à la fuite COMPAS du 15 mars 2026 (243 000 agents) et au piratage ÉduConnect officialisé le 14 avril 2026.
- 20 % des enseignants testés lors de l'opération Cactus ont cliqué sur un lien de phishing simulé.
Une base de données attribuée au site avantages-enseignants.fr [1] a été publiée sur un forum cybercriminel [2]. Selon la revendication, près de 126 000 comptes appartenant à des enseignants et personnels de l’Éducation nationale seraient concernés [3]. Le cybercriminel à l’origine de la publication n’est pas identifié [4].
Le site, accessible sur abonnement [5], propose des réductions commerciales réservées aux personnels de l’Éducation nationale [6]: Disneyland Paris [7], Parc Astérix [8], B&B Hôtels jusqu’à 30 % [9], cartes cadeaux Leclerc [10]. L’accès au service repose sur la vérification de l’appartenance à l’Éducation nationale via une adresse académique ou un justificatif professionnel [11]. C’est précisément cette vérification qui rend la base attractive pour les cybercriminels: elle garantit que chaque adresse e-mail listée appartient bien à un agent public en activité [12].
Ce que contient la base
Les échantillons diffusés montrent la présence de nombreuses adresses e-mail professionnelles issues de l’Éducation nationale, notamment des académies de Créteil, Montpellier et d’autres établissements français [14]. Les données revendiquées incluent les informations liées à l’inscription, à la gestion des comptes et à l’activité des utilisateurs sur la plateforme [15].
Les données publiées contiennent également un champ associé aux mots de passe des utilisateurs [16]. Les exemples diffusés laissent penser que les mots de passe seraient stockés sous forme hachée et non en clair [17]. Même protégés par un mécanisme de hachage, ces identifiants peuvent représenter un risque en cas d’algorithme faible ou de réutilisation des mêmes mots de passe sur d’autres services [18].
Hachage et chiffrement: deux protections à ne pas confondre
Une clarification technique s’impose, car les deux notions sont souvent confondues. Le hachage est une transformation mathématique irréversible: il s’applique aux mots de passe pour empêcher leur lecture directe en cas de fuite. Le chiffrement, lui, est une protection réversible avec une clé: il s’applique aux autres données personnelles (noms, e-mails, numéros de téléphone) pour les rendre illisibles à un attaquant. Dans le cas présent, les mots de passe seraient hachés [17], mais rien n’indique que les autres champs - adresses académiques, identité, données de compte [15] - bénéficient du moindre chiffrement. C’est cette distinction qui fait toute la différence au regard du RGPD: un hachage de mots de passe ne protège pas les autres informations personnelles diffusées.
Aucune communication officielle
À ce stade, aucune communication officielle concernant cette publication n’a été identifiée [19]. L’authenticité complète des données revendiquées n’a pas été officiellement confirmée [20]. Les circonstances exactes de la compromission demeurent inconnues [21]. Le nombre précis de personnes impactées reste à déterminer [22].
Le silence de la plateforme interroge au regard du cadre légal. Les obligations en matière de violation de données sont définies aux articles 33 et 34 du RGPD [23]. Si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement doit notifier la CNIL dans un délai maximal de 72 heures [24]. Si le risque est élevé, il doit également informer les personnes concernées dans les meilleurs délais [25]. Une mesure de chiffrement à l’état de l’art peut dispenser de cette information individuelle [26] - ce qui, comme on vient de le voir, n’est pas le cas ici pour les données personnelles autres que les mots de passe.
Des obligations RGPD en amont, pas seulement après l’incident
La notification post-incident n’est que le dernier maillon d’une chaîne d’obligations. En amont, l’article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement détaillant les finalités, les catégories de données, les destinataires et les durées de conservation. Pour une plateforme agrégeant des dizaines de milliers d’adresses professionnelles d’agents publics, traitement régulier et à grande échelle, la désignation d’un délégué à la protection des données (DPO) est exigée par l’article 37 du RGPD. À ces obligations s’ajoutent une politique de confidentialité accessible et conforme, une information claire des utilisateurs au moment de la collecte et la documentation interne de toute violation, que celle-ci soit notifiée ou non à la CNIL [27]. Aucune information publique ne permet aujourd’hui de vérifier si avantages-enseignants.fr satisfait à ces obligations préalables. La CNIL peut, à tout moment, contrôler ce registre [28].
Les risques concrets pour les agents exposés
Les bases contenant des adresses académiques sont particulièrement recherchées par les cybercriminels [12]. Elles permettent de cibler les personnels de l’Éducation nationale avec des campagnes de phishing se faisant passer pour des rectorats, des plateformes pédagogiques ou des services administratifs [29]. La combinaison d’adresses professionnelles, d’informations de connexion et de données personnelles peut faciliter des tentatives d’usurpation d’identité ou d’ingénierie sociale [30]. S’y ajoutent les risques de prise de contrôle de comptes [31] et d’accès à d’autres services utilisant les mêmes identifiants [32].
Un signal faible dans une série noire
L’incident s’inscrit dans une séquence ininterrompue de compromissions visant l’ éducatif. Le 15 mars 2026 [33], un attaquant a accédé à COMPAS, le logiciel RH centralisant la gestion des enseignants stagiaires, en usurpant les identifiants d’un compte externe [34]. L’intrusion n’a été détectée que le 19 mars en fin de journée par le COSSIM, le centre opérationnel de sécurité du ministère [35][36]. Quatre jours de flottement pendant lesquels l’attaquant circulait librement dans la base [37]. Bilan: 243 000 agents concernés [38].
En avril 2026 [39], le ministère a officialisé une autre attaque ayant exfiltré des données d’élèves via un service annexe à ÉduConnect, exploitant une faille identifiée en décembre 2025 et corrigée peu avant son exploitation [40][41]. Origine: l’usurpation d’identité d’un compte de personnel habilité fin 2025 [42][43].
Pourquoi l’ éducatif accumule les fuites
La répétition n’est pas une coïncidence. Trois facteurs structurels expliquent la vulnérabilité du secteur. D’abord, une surface d’attaque démesurée: l’Éducation nationale, premier employeur de France avec plus d’un million d’agents, multiplie les applicatifs métier - COMPAS pour les stagiaires, ÉduConnect pour les élèves, sans compter les espaces numériques de travail (ENT) académiques. Chaque application est une porte d’entrée. Ensuite, une dépendance massive à des prestataires tiers et à des plateformes commerciales privées comme avantages-enseignants.fr [1], qui agrègent des données d’agents publics sans relever du périmètre de sécurité du ministère. Enfin, un sous-investissement chronique: la région Hauts-de-France a dû provisionner 22 millions d’euros pour reconstruire les réseaux numériques de ses lycées après l’attaque de fin 2025 [44], chiffre qui donne la mesure du retard accumulé. Résultat: entre 2017 et 2025, les infractions d’atteinte aux systèmes de traitement automatisé de données traitées par le parquet de Paris ont augmenté de 2 700 % [45], et l’éducation figure parmi les secteurs les plus touchés.
Le facteur humain, principale faille
L’opération « Cactus » menée par l’Éducation nationale a testé la vigilance de 9,2 millions de personnes [46]. 1 096 692 ont cliqué sur le lien frauduleux [47], soit 12 % du public cible [48]. Le taux de clic atteint 20 % chez les enseignants et agents [13], contre 11 % chez les collégiens [49] et 6 % chez les lycéens [50]. Les personnels exposés par la fuite avantages-enseignants.fr [1] sont donc précisément la population qui mord le plus facilement à l’hameçon.
« On travaille surtout sur l’hygiène numérique des agents. Les failles sont essentiellement humaines et dues à des compromissions de comptes. Pour un hacker, c’est plus facile de forcer la confiance d’un internaute que d’un système », analyse la lieutenante-colonelle Sophie Lambert, cheffe du département de gestion de crise cyber au ministère de l’Intérieur [51][52].
Un précédent à l’étranger: quand un prestataire tiers expose la fonction publique
La configuration française n’est pas isolée. On se souvient de l’affaire Capita au Royaume-Uni en 2023, où la compromission d’un prestataire informatique privé travaillant pour des collectivités locales et des fonds de pension publics avait exposé les données de centaines de milliers de fonctionnaires britanniques. Plus récemment, la fuite touchant les données salariales du personnel des forces armées britanniques, via un sous-traitant en charge de la paie, avait concerné environ 270 000 militaires actifs et anciens combattants, selon plusieurs sources. Le scénario est toujours le même: un opérateur privé agrège, pour des raisons commerciales ou administratives, un fichier homogène d’agents publics, et devient la cible la plus rentable de l’écosystème. Le cas avantages-enseignants.fr [1] en offre, à son échelle, une illustration française.
L’angle mort: une plateforme commerciale détenant des données publiques
Ce que cette affaire révèle, et que les communications ministérielles n’évoquent pas, c’est la dépendance des agents publics à des plateformes commerciales privées qui, pour vérifier leur statut, agrègent des adresses académiques par dizaines de milliers. Le site avantages-enseignants.fr [1] n’est pas un service de l’État. C’est un site privé proposant un abonnement APEN à 30 euros par an [53] et des offres commerciales [6]. Mais son fichier client constitue, de fait, un annuaire opérationnel de l’Éducation nationale française - exactement le type de base que les cybercriminels recherchent [54].
Le ministère de l’Intérieur avait déjà confirmé fin décembre que des identifiants récupérés dans des boîtes mail professionnelles avaient permis à des attaquants d’accéder à des applicatifs métier internes [55]. La fuite avantages-enseignants.fr fournit potentiellement le carburant de la prochaine intrusion: des dizaines de milliers d’adresses académiques actives, des mots de passe hachés et, pour une partie des comptes, le couple identifiant/mot de passe qui ouvre d’autres portes si l’agent l’a réutilisé.
Ce que les sources ne disent pas
Aucune des sources consultées ne précise la date de l’intrusion sur avantages-enseignants.fr, la méthode d’attaque, ni le mode de stockage exact des mots de passe (algorithme, salage). Aucune information non plus sur d’éventuels échanges entre la plateforme et la CNIL [19]. Le délai de 72 heures pour notifier la CNIL [24] court à compter de la prise de connaissance de la violation. Sans communication publique, impossible de vérifier si cette obligation a été respectée.
Sources
Voir le détail de chaque fait sourcé (55)
« Une base de données attribuée au site avantages-enseignants.fr [.] La plateforme est destinée aux personnels de l’Éducation nationale et propose divers avantages, réductions et offres réservées aux enseignants et personnels éducatifs. »
cyberattaque.org ↗ ↩
« Une base de données attribuée au site avantages-enseignants.fr a été publiée sur un forum cybercriminel. »
cyberattaque.org ↗ ↩
« près de 126 000 comptes appartenant à des enseignants et personnels de l'Éducation nationale seraient concernés. »
frenchbreaches.com ↗ ↩
« D'après les informations publiées par le cybercriminel à l'origine de la revendication »
frenchbreaches.com ↗ ↩
« L’accès au service repose généralement sur la vérification de l’appartenance à l’Éducation nationale. »
cyberattaque.org ↗ ↩
« Le site avantages-enseignants.fr propose des offres commerciales et des réductions réservées aux enseignants, personnels administratifs et professionnels du secteur éducatif. »
cyberattaque.org ↗ ↩
« Disneyland Paris E-billet Flex 1 Jour 2 Parcs. »
avantages-enseignants.fr ↗ ↩
« Parc Astérix E-BIillet 2 jours Promo Saison 2026 »
avantages-enseignants.fr ↗ ↩
« B&B HÔTELS jusqu'à 30 % de réduction »
avantages-enseignants.fr ↗ ↩
« Leclerc E-Carte Cadeau Offre Permanente -4% »
avantages-enseignants.fr ↗ ↩
« L'accès aux services repose généralement sur la vérification de l'appartenance à l'Éducation nationale via une adresse académique ou un justificatif professionnel. »
frenchbreaches.com ↗ ↩
« Les bases de données contenant des adresses académiques sont particulièrement recherchées par les cybercriminels. »
frenchbreaches.com ↗ ↩
« Dans le détail, la proportion de « victimes » est plus élevée chez les enseignants et les agents (20 % de clics), que du côté des collégiens (11 %) et des lycéens (6 %). »
ouest-france.fr ↗ ↩
« Les échantillons publiés montrent la présence de nombreuses adresses e-mail professionnelles issues de l’Éducation nationale, notamment des académies de Créteil, Montpellier et d’autres établissements français. »
cyberattaque.org ↗ ↩
« Les données revendiquées incluraient de nombreuses informations liées à l’inscription, à la gestion des comptes et à l’activité des utilisateurs sur la plateforme. »
frenchbreaches.com ↗ ↩
« Les données publiées contiennent également un champ associé aux mots de passe des utilisateurs. »
frenchbreaches.com ↗ ↩
« Les exemples diffusés laissent penser que les mots de passe seraient stockés sous forme hachée et non en clair. »
cyberattaque.org ↗ ↩
« Même lorsqu’ils sont protégés par un mécanisme de hachage, ces identifiants peuvent représenter un risque en cas d’algorithme faible ou de réutilisation de mots de passe sur d’autres services. »
cyberattaque.org ↗ ↩
« À ce stade, aucune communication officielle concernant cette publication n’a été identifiée. »
cyberattaque.org ↗ ↩
« l'authenticité complète des données revendiquées n'a pas été officiellement confirmée »
frenchbreaches.com ↗ ↩
« les circonstances exactes de la compromission demeurent inconnues »
frenchbreaches.com ↗ ↩
« le nombre précis de personnes impactées reste à déterminer »
frenchbreaches.com ↗ ↩
« Les obligations des responsables du traitement [.] sont définies aux articles 33 et 34 du RGPD »
cnil.fr ↗ ↩
« Notification à la CNIL, dans un délai maximal de 72h »
cnil.fr ↗ ↩
« Si la violation entraîne un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement: Information des personnes concernées dans les meilleurs délais »
cnil.fr ↗ ↩
« en cas de violation entraînant un risque élevé, des exceptions à l’obligation d’information des personnes sont prévues. Il s’agit des cas suivants: Exemple: les données ont fait l’objet d’une mesure de chiffrement à l’état de l’art »
cnil.fr ↗ ↩
« Documentation interne, dans le « registre des violations » »
cnil.fr ↗ ↩
« Elle peut être contrôlée par la CNIL dans l’objectif de vérifier le respect des obligations en matière de violations »
cnil.fr ↗ ↩
« Elles permettent de cibler des personnels de l’Éducation nationale avec des campagnes de phishing se faisant passer pour des rectorats, des plateformes pédagogiques ou des services administratifs. »
cyberattaque.org ↗ ↩
« La combinaison d’adresses professionnelles, d’informations de connexion et de données personnelles peut également faciliter des tentatives d’usurpation d’identité ou d’ingénierie sociale. »
cyberattaque.org ↗ ↩
« des tentatives de prise de contrôle de comptes »
frenchbreaches.com ↗ ↩
« des tentatives d'accès à d'autres services utilisant les mêmes identifiants. »
frenchbreaches.com ↗ ↩
« Le 15 mars, un hacker pour l’heure non identifié a accédé à COMPAS, le logiciel RH qui centralise la gestion des enseignants stagiaires des premier et second degrés, en usurpant les identifiants d’un compte externe. »
numerama.com ↗ ↩
« Le 15 mars, un hacker pour l’heure non identifié a accédé à COMPAS, le logiciel RH qui centralise la gestion des enseignants stagiaires des premier et second degrés, en usurpant les identifiants d’un compte externe. »
numerama.com ↗ ↩
« L’intrusion n’a été détectée que le 19 mars en fin de journée, par le centre opérationnel de sécurité des systèmes d’information du ministère, le COSSIM. »
numerama.com ↗ ↩
« L’intrusion n’a été détectée que le 19 mars en fin de journée, par le centre opérationnel de sécurité des systèmes d’information du ministère, le COSSIM. »
numerama.com ↗ ↩
« Quatre jours de flottement donc, pendant lesquels l’attaquant circulait librement dans la base. »
numerama.com ↗ ↩
« Les données extraites concernent environ 243 000 agents, des enseignants enregistrés dans COMPAS. »
numerama.com ↗ ↩
« Le ministère de l'Éducation nationale a subi en avril 2026 une cyberattaque »
numerama.com ↗ ↩
« Une faille de sécurité dans ce service, identifiée en décembre 2025 et corrigée par les équipes du ministère, a été exploitée peu avant sa résolution »
numerama.com ↗ ↩
« Une faille de sécurité dans ce service, identifiée en décembre 2025 »
numerama.com ↗ ↩
« l’incident trouve son origine dans l’usurpation d’identité du compte d’un personnel habilité »
numerama.com ↗ ↩
« survenue à la fin de l’année 2025 »
numerama.com ↗ ↩
« Pour reconstruire et sécuriser les réseaux numériques de ces lycées, la facture s’est avérée salée: 22 millions d’euros. »
ouest-france.fr ↗ ↩
« Entre 2017 et 2025, les infractions relatives à des piratages ont augmenté de 2 700 %. »
ouest-france.fr ↗ ↩
« l’Éducation nationale et des spécialistes de lutte contre la « cybermalveillance » ont testé la vigilance de 9,2 millions de collégiens, lycéens, profs, agents, et parents d’élèves, avec une simulation de « phishing ». »
ouest-france.fr ↗ ↩
« Résultat de cette simulation de piraterie? 1 096 692 personnes ont mordu à l’hameçon… »
ouest-france.fr ↗ ↩
« Parmi eux, 1 096 692 personnes ont cliqué sur ce lien, soit 12% du public cible. »
education.gouv.fr ↗ ↩
« Dans le détail, la proportion de « victimes » est plus élevée chez les enseignants et les agents (20 % de clics), que du côté des collégiens (11 %) et des lycéens (6 %). »
ouest-france.fr ↗ ↩
« Dans le détail, la proportion de « victimes » est plus élevée chez les enseignants et les agents (20 % de clics), que du côté des collégiens (11 %) et des lycéens (6 %). »
ouest-france.fr ↗ ↩
« Le lieutenant-colonel Sophie Lambert, cheffe du département de gestion de crise cyber à Beauvau, tient, elle, « à relativiser » l’ampleur de ces attaques. »
ouest-france.fr ↗ ↩
« « On travaille surtout sur l’hygiène numérique des agents. Les failles sont humaines et dues à des compromissions de comptes, note le lieutenant-colonel Sophie Lambert. Pour un hacker, c’est plus facile de forcer la confiance d’un internaute que d’un système. » »
ouest-france.fr ↗ ↩
« un abonnement annuel de 30 euros »
avantages-enseignants.fr ↗ ↩
« Les bases de données contenant des adresses académiques sont particulièrement recherchées par les cybercriminels. »
cyberattaque.org ↗ ↩
« fin décembre, le ministère de l’Intérieur avait confirmé que des identifiants récupérés dans des boîtes mail professionnelles avaient permis à des attaquants d’accéder à des applicatifs métier internes. »
numerama.com ↗ ↩
