Faux message de l’école : cette arnaque a déjà piégé plus d’un million de Français

Un faux message de l’école peut cacher une arnaque. Plus d’un million de parents, d’élèves et d’enseignants ont déjà été piégés en France. Voici comment l’évite

 

Un simple message reçu via l’école de votre enfant peut sembler anodin. Pourtant, en mars 2026, une vaste simulation de phishing scolaire menée en France a montré à quel point parents, élèves et personnels éducatifs restent exposés aux cyberattaques. Plus d’un million de personnes ont cliqué. Ce test grandeur nature montre surtout une chose : la cybersécurité à l’école est devenue un sujet très concret du quotidien.

Ce faux message envoyé dans les écoles n’avait rien d’anodin

Du 23 au 27 mars 2026, le ministère de l’Éducation nationale a mené, avec le ministère de l’Intérieur, le ministère de la Justice, Cybermalveillance.gouv.fr, la Commission Nationale de l’Informatique et des Libertés (CNIL), France Télévisions, l’Union nationale des associations familiales (UNAF) et l’association e-Enfance/3018, une grande opération nationale de prévention fondée sur une simulation d’hameçonnage. Le principe : envoyer un faux message frauduleux via les ENT ou les messageries pour voir comment réagissent les destinataires.

L’idée n’était pas de piéger pour piéger. L’idée était de montrer, dans des conditions proches du réel, comment une arnaque en ligne liée à l’école peut fonctionner : ton officiel, contexte scolaire, message crédible, lien sur lequel on clique vite parce qu’il semble urgent ou légitime. Cette campagne s’inscrit dans la continuité d’une première expérimentation en 2024 puis d’un déploiement national en 2025.

Pourquoi les écoles sont devenues une vraie cible pour les cybercriminels ?

Ce sujet peut sembler technique. En réalité, il est très concret. Les établissements scolaires utilisent désormais massivement les espaces numériques de travail, les messageries, les plateformes de vie scolaire et les outils administratifs. Cela crée des points d’entrée très nombreux pour les cyberattaques. Le ministère rappelle que les établissements sont confrontés depuis plusieurs années à des attaques malveillantes visant précisément ces outils : vols de mots de passe, campagnes d’hameçonnage, compromission de comptes et diffusion de contenus frauduleux, parfois choquants. Dans les Hauts-de-France, des incidents ont même conduit à des fermetures temporaires de services fin 2025. Du côté judiciaire, la progression est spectaculaire : les infractions d’atteintes aux systèmes de traitement automatisé de données traitées par le parquet de Paris ont augmenté de 2 700 % entre 2017 et 2025. Cela inclut les cyberattaques, les intrusions dans les systèmes informatiques et les extractions frauduleuses de données.

Les chiffres 2026 : combien de personnes ont été touchées

La campagne 2026 a concerné 9,2 millions de personnes sur l’ensemble du territoire, outre-mer compris. Parmi elles : 3,5 millions de collégiens et lycéens, près de 5 millions de parents d’élèves et plus de 500 000 personnels enseignants et administratifs. Parmi tous ces destinataires, 1 096 692 personnes ont cliqué sur le lien envoyé, soit 12 % du public cible. Après le clic, elles étaient redirigées vers un message de sensibilisation accompagné d’une vidéo pédagogique expliquant les mécanismes du phishing et les bons réflexes à adopter. Dit autrement : plus d’une personne sur dix s’est laissée prendre à un faux message pourtant conçu comme un test. Ce chiffre dit quelque chose de simple : la vigilance progresse sans doute, mais elle reste encore très inégale.

Ce que montrent vraiment les enquêtes auprès des élèves

Le ministère cite aussi une enquête menée en septembre 2025 auprès d’élèves de CM1 à 6e dans les territoires numériques éducatifs. Elle montre que 7 élèves sur 10 se disent sensibilisés à la cybersécurité, mais aussi qu’1 élève sur 3 dit avoir déjà été exposé à des actes de cyber malveillance comme des courriels ou SMS frauduleux ou le piratage de comptes. Enfin, 1 élève sur 5 déclare ne pas avoir encore entendu parler des menaces cyber ou ne pas les connaître suffisamment. C’est probablement le point le plus important de cette histoire. Beaucoup d’enfants, et d’adultes aussi, ont déjà entendu parler du sujet. Mais entre “avoir entendu parler” et “savoir repérer un vrai piège”, il y a encore un écart. C’est précisément cet écart que cette campagne veut combler.

Ce qui change en 2026 : on ne parle plus seulement aux élèves

Lancée à l’échelle nationale en 2025 pour les collégiens et lycéens, la campagne 2026 a élargi son public. Cette fois, le dispositif visait aussi les enseignants, les personnels éducatifs et les parents. Le message est clair : la cybersécurité scolaire ne peut pas reposer sur les seuls élèves. Elle suppose une vigilance collective.

Le ministère présente désormais cette politique comme une stratégie pérenne d’éducation aux risques numériques et de citoyenneté numérique. Elle repose sur plusieurs piliers : une sensibilisation progressive selon l’âge, l’implication de toute la communauté éducative, la mise à disposition de ressources pédagogiques et le renforcement des partenariats avec les autorités compétentes en matière de cybersécurité.

Pourquoi un simple clic peut avoir de vraies conséquences

Ce genre de campagne n’est pas abstrait. Un clic sur un faux lien peut conduire à la récupération de mots de passe, à la compromission d’un compte, à l’exposition de données personnelles ou à la propagation de nouveaux messages frauduleux vers d’autres familles ou personnels. Les attaques contre les Espace Numérique de Travail (ENT) ont déjà montré qu’un incident peut perturber tout le fonctionnement d’un établissement. Il y a aussi un enjeu psychologique et réputationnel. Le ministère le dit explicitement : les conséquences des cyberattaques peuvent être économiques, psychologiques ou réputationnelles. Pour des familles, cela peut vouloir dire stress, confusion, peur de mal faire, et pour les établissements, perte de confiance et perturbation durable du quotidien scolaire.

Les bons réflexes à retenir face à un message suspect

Les autorités rappellent deux conseils très simples. D’abord : ne pas cliquer sur un lien ou une pièce jointe reçus dans un message non sollicité. Ensuite : au moindre doute, contacter directement l’organisme concerné plutôt que de passer par le message reçu. Ces recommandations figurent dans les conseils publiés par Cybermalveillance.gouv.fr. Concrètement, cela veut dire : prendre quelques secondes avant d’agir, vérifier l’expéditeur, se méfier d’un ton trop alarmiste, éviter de saisir ses identifiants après avoir cliqué sur un lien reçu par message, et préférer l’accès direct au site ou à l’ENT habituel. Cette prudence peut sembler basique, mais c’est souvent elle qui évite le pire.

Une campagne qui s’inscrit dans un dispositif plus large

Le ministère précise que cette vidéo de sensibilisation complète d’autres actions déjà mises en place, notamment Pix et Cybersécurité ainsi que le travail mené avec Cybermalveillance.gouv.fr. Un kit pédagogique a aussi été co-construit pour les académies afin que les enseignants puissent prolonger ce travail de sensibilisation. Et au-delà de l’opération ponctuelle, les pouvoirs publics annoncent des séances de prévention organisées dans les classes.

Autrement dit, cette campagne n’est pas juste un coup de com de quelques jours. Elle s’inscrit dans une logique plus durable : apprendre aux enfants, aux familles et aux équipes éducatives à reconnaître les menaces numériques comme on apprend d’autres règles de sécurité.

À retenir

En mars 2026, la France a testé à grande échelle la réaction de la communauté éducative face à un faux message de phishing. 9,2 millions de personnes ont été concernées et plus d’un million ont cliqué. L’enjeu n’est donc plus théorique : les cyberattaques dans les écoles touchent désormais les élèves, les parents et les professionnels. La réponse des pouvoirs publics consiste à installer une éducation durable à la cybersécurité, plus précoce, plus concrète et plus collective.

Sophie Madoun