PIRATAGE: POURQUOI LES ENT SONT UN VéRITABLE CASSE-TêTE à SéCURISER

Les espaces numériques de travail, utilisés notamment dans les collèges et lycées, font l'objet d'intrusions et de menaces terroristes depuis plusieurs jours.

Comment bien protéger l'accès aux espaces numériques de travail (ENT)? C'est l'épineuse question que se pose le gouvernement, après les multiples intrusions dans les systèmes de dizaines d'établissements scolaires.

Dans des collèges et lycées, partout en France, des élèves ont découvert des messages envoyés massivement au sein de l'établissement, contenant des menaces à caractère terroriste, et parfois des vidéos de décapitation.

Ce 28 mars, le ministère de l'Éducation nationale a annoncé travailler à une "feuille de route partagée visant, à court et moyen termes, à mieux sécuriser les espaces numériques de travail et les logiciels de vie scolaire".

Faille humaine

Dans le cas des messages contenant des menaces terroristes, la sécurisation des ENT n'a pas été mise en défaut. Comme l'a rappelé le ministère de l'Éducation nationale ce 25 mars, ces intrusions sont liées à des usurpations d'identité, et avant tout à des failles humaines, régulièrement exploitées pour pirater les ENT.

Pour l'heure, aucune faille technique n'a en effet permis à des hackers d'aspirer les mots de passe des utilisateurs de façon systémique. Ce sont des utilisateurs - collégiens ou lycéens - qui ont vu leur mot de passe de connexion être dérobé, notamment en installant des logiciels malveillants sur leur ordinateur. Et c'est bien le volume d'utilisateurs susceptibles de se faire voler leur mot de passe qui pose les principales difficultés.

"Le volume de gens qui transitent sur les ENT est très important" rappelle ainsi la Région Île-de-France auprès de Tech&Co.

Avec des ENT disponibles dans l'intégralité des lycées et 90% des collèges selon les chiffres officiels, et donc des centaines de milliers d'élèves disposant d'un compte, les portes d'entrées sont nombreuses. Notamment si une simple connexion permet d'envoyer un message accompagné d'une photo ou d'une vidéo à l'ensemble d'un établissement.

Gouvernance décentralisée

Autre spécificité: la sensibilité du public qui consulte ces ENT, avec un grand nombre de mineurs. Et donc des conséquences potentiellement dramatiques, en cas d'envoi massif de contenu choquant, tel que ça a pu être le cas dans les mails de menaces terroristes.

La diffusion de contenus "illicites" ou "choquants" faisait justement partie des "scénarios redoutés" par le ministère de l'Éducation nationale dans son "schéma directeur des ENT".

En plus des risques inhérents à la fuite de mots de passe ou à une hypothétique faille de sécurité, les ENT font face à un autre handicap: la décentralisation, avec une gestion départementale pour les collèges, ou régionale pour les lycées, en parallèle d'éventuelles recommandations au niveau national.

"Ces instances sont déployées sur de nombreux périmètres, avec une gouvernance décentralisée. Le fait de passer des consignes d'un échelon à l'autre, c'est compliqué. Et ça peut prendre du temps en cas de crise" estime Baptiste Robert, président de Predict Lab et spécialiste en cybersécurité.

Double authentification coûteuse

Pour éviter des usurpations d'identité après un piratage de mot de passe, une solution technique existe pourtant. Et elle est d'ailleurs proposée sur l'ensemble des grands réseaux sociaux: la double authentification, qui permet de valider la connexion à son compte en entrant un code reçu par SMS.

"La double authentification existe pour les administrateurs locaux de l'ENT, mais pas pour les enseignants ou les élèves" explique la Région Île-de-France à Tech&Co.

Comme Baptiste Robert, elle pointe en effet une limite de taille: le coût très important du système, en raison de la facturation des envois de SMS à chaque connexion par les prestataires techniques.

En parallèle, imposer la double authentification pour les ENT reviendrait à imposer aux lycéens et aux collégiens de disposer d'un smartphone. Un scénario donc très peu probable.

A défaut de pouvoir sécuriser le système, l'option la plus pragmatique pourrait être de limiter son utilisation. C'est d'ailleurs ce qui a été décidé en urgence, en empêchant désormais les élèves d'envoyer des messages sur les ENT, partout en France.

"Il faut peut-être se demander si les élèves ont besoin d'envoyer des messages type mail, en prime avec des pièces jointes" résume Baptiste Robert.

2024-03-29T11:32:23Z dg43tfdfdgfd