Incident sur la plateforme GAEL - diplômes DELF-DALF | La plateforme a été remise en service
France Éducation international informe qu’un acte de cyber-malveillance a ciblé, entre le vendredi 9 janvier et le lundi 12 janvier 2026, la plateforme GAEL, utilisée pour la gestion des diplômes DELF et DALF.
Cette cyberattaque a entraîné une atteinte à la confidentialité d’une partie des données personnelles des candidats et lauréats de ces diplômes depuis 2005.
Dès que France Éducation international a été informé de l’incident, des mesures ont été mises en œuvre pour stopper la fuite de données. L’accès à la plateforme GAEL a été immédiatement suspendu à titre conservatoire. Les conditions de sécurité nécessaires ayant été réunies, la plateforme a été remise en service le 26 janvier à 15h06 (heure de Paris).
Les premières investigations indiquent que cette attaque trouverait son origine dans la compromission de deux comptes d’utilisateurs externes. L’investigation se poursuit et des mesures supplémentaires de sécurité sont à l’étude pour être déployées prochainement, avant une réouverture de la plateforme.
Les données concernées portent sur environ 5 millions de candidats, cette cyberattaque a permis d’accéder aux informations personnelles suivantes : civilité, nom, prénom, patronyme, ville de naissance, pays de naissance, date de naissance, nationalité, langue maternelle, premier centre de rattachement.
À ce stade de l’investigation, aucune autre donnée n’est concernée.
Le principal risque potentiel pour les personnes concernées est l’usurpation d’identité. Nous invitons donc les candidats à la plus grande prudence.
France Éducation international regrette sincèrement les conséquences de cette situation et reste pleinement mobilisé pour en limiter les impacts. Une notification à la CNIL et un dépôt de plainte sont en cours.
Les personnes qui s’estimeraient concernées et souhaiteraient obtenir des informations supplémentaires peuvent contacter la déléguée à la protection des données ou se rapprocher de leur centre d’examen.
FAQ
Que s’est-il passé ?
L’incident a eu lieu à la suite de la compromission d’au moins trois comptes externes à partir desquels un pirate a accédé, entre le soir du vendredi 9 janvier et le matin du lundi 12 janvier 2026, à notre plateforme consacrée à la gestion des diplômes DELF et DALF.
Des investigations sont en cours.
Selon les premières analyses, le pirate a utilisé des identifiants et des mots de passe valides pour accéder à la plateforme. Le pirate a d’abord consulté certaines pages relatives aux sessions et aux personnes inscrites au DELF et DALF, puis récupéré les données d’état civil de 5,8 millions de candidats et diplômés ayant passé l’examen depuis 2005 : civilité, nom, prénom, patronyme, ville de naissance, pays de naissance, date de naissance, nationalité(s), langue maternelle, centre d'examen de première inscription.
Aucune autre donnée — qu'il s'agisse de coordonnées postales, électroniques, téléphoniques ou même financières — n'a été compromise.
Que fait France Éducation international concrètement ?
L’incident de cybersécurité a été détecté le lundi 12 janvier 2026 au matin. France Éducation international a immédiatement mis en œuvre des mesures pour stopper la fuite de données et réduire ses conséquences en coupant tous les accès à la plateforme.
La résolution de l’incident est notre priorité. Les équipes de France Éducation international et de son prestataire sont pleinement mobilisées sur la gestion de l’incident.
- Tous les accès à l’application ont été suspendus à titre conservatoire.
- L’analyse des connexions a immédiatement débuté.
- L'adresse IP à l'origine de l'incident a été identifiée et les comptes corrompus ont été inactivés.
- Des investigations approfondies sont en cours.
- Un premier communiqué informant de l’incident a été publié sur le site de France Éducation international.
- Tous les partenaires ont été informés de l’incident par courriel.
- Une information directe a été diffusée auprès des personnes concernées, lorsque nous disposions de leurs coordonnées de contact.
- L’autorité de contrôle française, la Commission Nationale de l’Informatique et des Libertés (CNIL) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ont été notifiées.
- Une plainte a été déposée auprès du Procureur de la République.
- Les autorités compétentes ont été saisies.
- Des mesures correctives ont été déployées pour renforcer le contrôle des accès aux comptes et durcir les règles de blocages après plusieurs échecs. D'autres mesures de sécurité ont été déployées et une deuxième et troisième vague de mesures sont à l'étude pour un prochain déploiement (dont la double authentification).
- Des tests d’intrusion ont été réalisés.
La situation est-elle aujourd’hui sous contrôle ?
Oui. L’incident est maîtrisé, des investigations sont en cours. Des mesures conservatoires ont été mises en œuvre sans délai. Des mesures correctives sont en cours de déploiement.
Les accès à l’application resteront fermés jusqu’à la mise en place de mesures de sécurité complémentaires.