Plusieurs collèges et lycées ont été visés ces derniers jours par des menaces terroristes, via leurs espaces numériques de travail (ENT).Une vidéo de décapitation a également été diffusé par le biais des messageries de la plateforme dans certaines académies.L'expert en sécurité informatique Olivier Laurelli nous éclaire sur les vulnérabilités de cet outil.
Depuis la semaine dernière, une centaine d’établissements scolaires ont été la cible de menaces (du type alerte à la bombe) et d’actes malveillants (diffusion d’une vidéo de décapitation) via les messageries des espaces numériques de travail (ENT) et le site Pronote, accessibles aux élèves, à leurs parents et à la communauté éducative.
Cette vague de piratage a touché plusieurs collèges et lycées de la région Île-de-France, mais aussi du Grand Est et des Hauts-de-France. Au total, "près de 130 établissements" sont concernés pour l'instant, a indiqué lundi le ministère de l’Éducation nationale dans un communiqué. Des services d'enquête spécialisés sont mobilisés pour identifier le ou les auteurs.
Pour en savoir plus sur ce piratage, TF1info a contacté l’expert en sécurité informatique Olivier Laurelli (alias Bluetouff).
L’Éducation nationale assure que les pirates n’ont pas exploité de faille ou de vulnérabilisé de sécurité. Comment ont-ils procédé pour accéder à la plateforme ?
Olivier Laurelli : C’est difficile à ce stade de savoir ce qui s’est réellement passé. Mais plusieurs hypothèses circulent sur la manière dont les auteurs du piratage ont pu s’y prendre. La première, ce serait par le biais d’un " fake site", autrement dit un clone du site de l'espace numérique de travail utilisé par les élèves. Pensant être sur le site officiel, des utilisateurs ont entré leurs identifiants, alors que c’était en réalité un site frauduleux. Il est possible de payer pour faire apparaître le site en question dans les premiers résultats de recherche. C’est très efficace.
L’autre hypothèse, c’est une campagne de phishing (hameçonnage, en français) en ciblant une base de données d’étudiants. Enfin, la troisième hypothèse serait l’utilisation d’un logiciel pour récupérer les mots de passe, ce qu’on appelle un"key logger". Pour faire simple, il permet d’intercepter tout ce que l’utilisateur tape sur son clavier. Les auteurs de ce piratage ont pu dissimuler un code informatique dans un logiciel ou une application en vue, comme un jeu vidéo pour smartphone, par exemple. Cette méthode s’avère aussi très efficace pour récupérer massivement des identifiants.
Avec les outils numériques, on s’expose forcément à ce type de dérives ?
À partir du moment où un public important afflue sur l’application, cela fait partie du risque. En sécurité informatique, c’est ce qu’on appelle le facteur humain. De manière générale, une application qui serait invulnérable au piratage, ça n’existe pas. On peut toujours améliorer la sécurité en intégrant une authentification multifacteur, par exemple. L’utilisateur doit alors entrer un code qu'on lui envoie sur son téléphone pour se connecter à la plateforme. Mais là encore, cela n’est pas fiable à 100%.
L’Éducation nationale va demander aux utilisateurs de réinitialiser leurs identifiants avant de rendre à nouveau accessible la plateforme. Est-ce suffisant selon vous ?
C’est ce qu’on fait généralement dans ce cas précis. Si tu appliques une politique de sécurité sérieuse, comme dans les administrations ou les grandes entreprises, le plus efficace est en effet de contraindre l’utilisateur à réinitialiser son mot de passe de manière automatisé tous les 2, 3 ou 6 mois. L’utilisation d’une application tierce qui va générer un code unique pour se connecter à l’application, est aussi une bonne solution. Mais il faut bien garder à l'esprit qu'avec le numérique, on peut à peu près tout contourner.
Les outils pour mener ce type de piratage sont très facilement accessibles
Olivier Laurelli
Qui pourrait être à l'origine de ce piratage ?
On peut accuser les hackers russes, nord-coréens ou chinois, mais le plus souvent, il n’y a pas besoin d’aller chercher aussi loin. Comme le piratage concerne une organisation d’importance vitale, ce qu’on appelle un OIV dans le jargon, la DGSI est mandatée. En parallèle, l’Agence nationale de la sécurité des systèmes d'information, l’Anssi, va effectuer un audit approfondi et des vérifications pour s'assurer qu'il n'y a pas de faille critique de sécurité.
Les outils pour mener ce type de piratage sont très facilement accessibles. Il faut juste quelques compétences en informatiques. Il y a des kits qui permettent d’infecter simplement une application pour collecter les mots de passe et la méthode de l’hameçonnage est terriblement facile à mettre en œuvre. Quant à cloner un site officiel, avec l'intelligence artificielle, n’importe qui aujourd'hui peut le faire.