Le groupe HexDex ébranle l’enseignement supérieur français

Une fuite de données d’une ampleur exceptionnelle secoue le monde de l’enseignement supérieur. Le collectif de hackers HexDex affirme avoir mis en vente une base comprenant 2,7 millions de comptes issus de la plateforme AlumnForce, utilisée par 49 établissements français, dont HEC Paris, Polytechnique et Sciences Po. Cette attaque, si elle est confirmée, représenterait l’une des plus grandes violations de données dans le domaine de l’éducation en France.

Les informations compromises incluraient des identités complètes et coordonnées personnelles, les parcours académiques et professionnels, des données liées à la recherche d’emploi, ainsi que des informations salariales. En somme, un ensemble de données extrêmement sensible, capable de nourrir des campagnes de hameçonnage ciblé ou de l’ingénierie sociale à grande échelle.

AlumnForce est connue comme une solution SaaS d’engagement alumni, centralisant les profils, offres d’emploi et interactions au sein des réseaux d’anciens élèves. Sa compromission démontre la vulnérabilité accrue des plateformes éducatives interconnectées, souvent concentrées sur l’expérience utilisateur au détriment de la sécurité des accès et du chiffrement.

Le groupe HexDex, déjà impliqué dans plusieurs attaques contre des organismes publics et privés, revendique une approche essentiellement financière. Dans une interview accordée à Zataz, son leader explique agir sans motivation politique : son objectif est avant tout de « gagner de l’argent ». Cette position tranche avec les courants plus idéologiques du hacking, soulignant l’essor d’une cybercriminalité opportuniste et hautement technique.

Cet épisode est un rappel sévère de l’urgence de renforcer la cybersécurité dans l’enseignement supérieur. Les établissements et leurs prestataires doivent durcir leurs contrôles d’accès, auditer régulièrement leurs systèmes et exiger plus de transparence des fournisseurs EdTech. Dans un contexte où la donnée est devenue un capital stratégique, la confiance numérique dépend désormais d’une vigilance collective et permanente.