MENACES TERRORISTES DANS LES éTABLISSEMENTS SCOLAIRES : COMMENT EXPLIQUER LE PIRATAGE DES ENT ?

Depuis plusieurs jours, l’Education nationale fait face à une vague de piratages informatiques contre ses espaces de travail numérique (ENT), avec des centaines d’établissements ciblés à travers toute la France. Mais, contrairement aux attaques récemment subies par France Travail ou encore la Fédération française de football, qui visaient essentiellement à revendre les données de leurs usagers, l’enjeu est tout autre.

Cette fois, les pirates s’en sont directement pris aux collèges et lycées, à coups de menaces terroristes. De quoi semer la panique au sein des établissements comme du gouvernement, quelques jours après l’attaque sanglante à Moscou revendiquée par le groupe Etat islamique au Khorassan – menant Emmanuel Macron à rehausser le niveau Vigipirate à «urgence attentat», ainsi qu’à un renforcement du dispositif Sentinelle. Jeudi 28 mars, la ministre de l’Education nationale, Nicole Belloubet, a annoncé la suspension «à titre préventif de toutes les messageries des espaces numériques dans nos établissements scolaires».

Qu’est-ce qu’un «ENT» ?

L’espace numérique de travail est la plateforme web qui relie professeurs, élèves et parents d’élèves. Il sert à consulter ses notes, son dossier étudiant ou encore ses devoirs.

Accessible à l’aide d’identifiants généralement fournis par chaque collège ou lycée, cet outil, propre à un établissement scolaire ou à une académie, peut aussi permettre de communiquer. Plusieurs centaines ou milliers d’étudiants sont parfois inscrits suivant les ENT. C’est cette fonctionnalité qui a été utilisée lors des récentes menaces contre les établissements scolaires.

Quelles actions ont été commises durant ces attaques ?

A la place des habituels messages liés à une absence ou à une évaluation, des élèves ont reçu dans leur boîte mail étudiante des courriels évoquant de prétendues attaques terroristes imminentes. Par exemple, l’un de ces mails revendiquait «venir de la part de l’Etat islamique» – bien que rien ne permette de le vérifier à ce jour. «Demain, jeudi 21 mars, je ferais (sic) exploser l’établissement tout entier vers 11-15 heures et je décapiterais (sic) tous vos corps de kuffars [infidèles, ndlr] pour servir Allah le tout-puissant», évoquait ce message mentionné à plusieurs reprises sur les réseaux sociaux. Son auteur poursuivait : «J’ai mis [de l’explosif] C4 partout dans le lycée et dans les classes». L’horreur continue en pièce jointe, avec une vidéo de décapitation.

Parmi les cibles : près de 130 lycées et collèges en Ile-de-France décomptés lundi par le ministère de l’Education nationale. Pas loin d’une vingtaine dans les Hauts-de-Seine. Quinze à l’académie de Lille… Au total, 323 menaces auraient été proférées, dans 44 départements et 20 académies, a chiffré le ministère de l’Education nationale ce jeudi.

Un jeune homme a été interpellé ce jeudi dans la matinée à Malakoff (Hauts-de-Seine), selon le parquet de Paris. Il serait soupçonné d’être à l’origine de plusieurs messages de menaces d’attentats sur les espaces numériques de travail (ENT) de nombreux établissements.

Comment les auteurs ont-ils pu accéder aux ENT ?

L’Education nationale l’assure dans un communiqué publié lundi : «A ce stade, il n’a pas été relevé dans ces ENT d’intrusions par exploitation de failles ou de vulnérabilités de la sécurité des systèmes d’information.»

Reste une théorie plus simple, comme l’utilisation d’identifiants volés, parfois diffusés ou vendus en ligne. Deux techniques paraissent tenir la corde. La première est le «phishing» (ou hameçonnage), une arnaque visant à pousser un usager à divulguer des informations personnelles. La seconde est l’utilisation de «stealers», des logiciels implantés dans des versions contrefaites d’autres logiciels et qui permettent de voler des mots de passe.

Cette hypothèse de l’usurpation d’identifiants semble aussi trouver grâce aux yeux de l’experte en cybersécurité Corinne Henin, interrogée par Libération : «C’est beaucoup moins coûteux en énergie de trouver un mot de passe par hameçonnage ou en récupérant une base de mot de passe sur le Dark Web, que de trouver une vulnérabilité dans un logiciel qui, possiblement, n’en a pas.» La jeunesse des étudiants en ferait aussi des victimes de fishing idéales. «Les adolescents peuvent parfois être impulsifs, avance-t-elle, donc s’ils reçoivent un message un peu alarmiste de la part de leur collège, leur demandant “Allez sur ce site web pour changer de mot de passe”», ils seraient plus sujets à le faire.

Autre possibilité : certains de ces mails pourraient provenir d’élèves eux-mêmes – expliquant ainsi l’absence de brèche de sécurité dans les ENT. «Il suffit qu’un étudiant lance une alerte à la bombe, que les cours s’arrêtent deux jours, et que le collègue d’à côté se dise qu’il peut faire pareil», développe l’experte.

Ces hypothèses iraient dans le sens des premières informations livrées par Nicole Belloubet, mardi : la ministre de l’Education disait ne pas avoir «d’indications selon lesquelles» il s’agirait «d’attaques autres que françaises». Ce qui semblerait donc exclure la piste de hackeurs russes, alors que Moscou a intensifié sa guerre informationnelle contre la France. Corinne Henin admet aussi ne pas «voir le mobile pour un pays extérieur de pirater des ENT». En revanche, pour un étudiant, elle peut voir celui de «prendre deux jours de congé».

Quelle solution pour l’Education nationale ?

S’il s’agit bien d’un problème de hameçonnage, ou plus largement d’une personne ayant accès à des identifiants d’étudiants, il n’y en a pas vraiment. Une double authentification par smartphone pour se connecter aux ENT, à la rigueur, mais complexifiée par la politique des écoles contre l’utilisation du téléphone portable.

Corinne Henin défend aussi l’intérêt «d’accorder davantage de moyens à l’éducation au numérique des enfants», afin de les sensibiliser sur l’importance des mots de passe forts et de ne pas les communiquer à autrui. Autre exemple, pour éviter le hameçonnage, le «sentiment d’urgence» provoqué par un mail est «un bon indicateur». Plus un courriel pousse à réagir rapidement et sans réfléchir, plus la probabilité qu’il s’agisse d’une arnaque est importante.

A plus court terme, pour les écoles, les comptes piratés devront être réinitialisés avec l’envoi de nouveaux mots de passe aux victimes. Mais, sans une meilleure éducation au numérique des plus jeunes «on n’est pas à l’abri d’une nouvelle vague dans six mois», anticipe l’experte.

2024-03-28T17:10:33Z dg43tfdfdgfd