Après le piratage de plusieurs ENT (espace numérique de travail) avec à la clé des détournements de boites e-mail ayant permis à des pirates de diffuser auprès des élèves d'une vingtaine d'établissements d'Ile-de-France mais pas seulement, ainsi que du personnel enseignant et des parents d'élèves des messages à caractère terroriste. Selon le ministère de l'Education nationale, ces menaces sont passées également sur le site Pronote. « Des services d’enquête spécialisés sont mobilisés pour identifier le ou les auteurs et nous condamnons évidemment ces menaces graves », a fait aussi savoir le ministère. Les menaces en question faisait état de bombes déposées dans des établissements et les messages contenaient aussi une vidéo de décapitation dont l'origine n'a pas été déterminée.
Des cellules de soutien psychologiques ont été mises en place dans les établissements concernés (dont trois en Bretagne) pour accompagner les élèves qui auraient ouverts ces messages. « Nous vous rappelons que le fait de diffuser ou de relayer ces images par quelque moyen que ce soit, relève de l’apologie du terrorisme et est passible de sanctions pénales », a par ailleurs indiqué le recteur de l'Académie des Versailles. « Un signalement systématique au procureur de la République sera effectué par le proviseur ayant connaissance de cette diffusion ».
Une enquête ouverte, deux plaintes déposées
Suite à ces découvertes, le Premier ministre Gabriel Attal a annoncé mercredi soir la tenue le 4 avril d'une réunion sur la sécurisation de 150 à 200 établissements scolaires qualifiés de plus particulièrement à risque. Ce vendredi matin, c'est la ministre de l'Education Nationale Nicole Belloubet qui a confirmé qu'un audit sur la sécurisation des ENT allait avoir lieu pour évaluer les failles et combler celles qui sont éventuellement réparables. La ministre a également annoncé le renforcement des dispositifs d’alerte et de sécurisation des bâtiments scolaires.
Le parquet de Paris a de son côté ouvert une enquête des chefs « d’accès et maintien frauduleux dans un système de traitement automatisé de données » et « introduction frauduleuse de données ». Deux plaintes ont été déposées concernant ces cyberattaques, dont une émanant de la région Ile-de-France, indique quant à lui le ministère public.
"Il n'y a pas eu de piratage mais des utilisateurs (collégiens, lycéens ou parents donc ) " ou enseignant ou personnel administratif. Et il n'y a pas que le fishing. Il y a la simple négligence des utilisateurs (par manque de formation, d'éducation à la sécurité, ) : oubli de fermeture de session, mot de passe enregistré, etc ...
Signaler un abusLes ENT sont des services SAAS founis par des sociétés privées, le principal est Kosmos. L'authentification se fait par educonnect.
Signaler un abusIl n'y a pas eu de piratage mais des utilisateurs (collégiens, lycéens ou parents donc ) ont donné leurs logins et mots de passe par fishing chez eux. Il n'y a pas de MFA possible pour les élèves car les smartphones sont interdits.
Les "attaquants" ont seulement envoyé des messages aux élèves de la classe, professeurs de la classe et direction par la messagerie interne de l'ENT. Il n'y a pas eu de véritable piratage comme vous semblez le croire.
On note l'extrême faiblesse de la sécurité des sites de l’État et du public en général : hôpitaux, France "Travail", ENT, CAF, etc. C'est juste hallucinant et la question qui se pose est "à quoi servent l'ANSSI et le COMCYBER ?". La réponse qui s'impose est "strictement à rien" et il convient donc de s'interroger sur leurs missions, les moyens mis à leur disposition et leur utilisation. C'est une chose de publier des directives, il en est une autre de s'assurer de la sécurité des SI.
Signaler un abusConcernant les dirigeants des entités publiques "poutrées", il est plus que temps de prendre des sanctions car ça fait maintenant plusieurs années que les attaques se déroulent avec succès et ça continue sans que rien ne change. Donc, il y a un problème de fond et des responsabilités clairement engagées pour ceux qui ne prennent pas la protection des données de leurs usagers aux sérieux. En gros, faire moins de cérémonies de vœux et plus d'audits et de pentests.