Des collégiens, lycéens ou jeunes adultes souhaitant “mettre le bazar” ou éviter un examen scolaire non préparé. Plus de six mois après la dernière vague de messages malveillants sur les espaces numériques de travail (ENT), voici le portrait des personnes mises en cause dans ce genre de dossier.
Un retour d’expérience instructif sur les attaques informatiques dont ces espaces ont été victimes vient en effet d’être dévoilé par Nicolas Eslous. Le chef de la mission Sécurité numérique du ministère de l’Education, de la jeunesse, de l’enseignement supérieur et de la recherche, est intervenu la semaine dernière à Rennes lors d’une conférence de l’European cyber week.
Pour rappel, en mars dernier, plus d’une centaine de collèges ou de lycées avaient été visés par des messages de menaces ou des fausses alertes à la bombe. Ce phénomène malveillant avait attiré l’attention des autorités à la rentrée de 2022. Il existe toutefois des précédents encore plus anciens, comme cette fausse alerte datant de 2016.
Comptes volés par des infostealers
Mais à partir de la rentrée de janvier 2023, le mode opératoire de ces messages évolue. Plutôt que des messageries GMX, Gmail ou Proton, ce sont des comptes ENT qui sont utilisés. L’accès à ces comptes ont été obtenus via des infostealers, ces programmes voleurs de mots de passe.
Il n’est pas sûr toutefois que les pirates de ces comptes aient acheté des comptes compromis. Des infostealers proposent par exemple des échantillons gratuits. Les auteurs ont pu piocher dans cette manne.
Près d’un an plus tard, en mars 2024, les fausses alertes à la bombe repartent de plus belle. Encore une fois, les messages sont envoyés à partir de messageries d’ENT compromises.
Ripostes du ministère
Des piratages difficilement contrôlables par l’Education nationale. Ce sont des ordinateurs familiaux parfois bien trop vulnérables qui servent à accéder à ces espaces. Il est difficile de mettre en place de l’authentification à plusieurs facteurs alors que les principaux usagers, les élèves, ne sont pas censés avoir en permanence leur téléphone avec eux.
Enfin, les ENT désignent sous un même sigle des centaines d’environnements distincts très diversifiés. La réponse du ministère a donc eu plusieurs temps.
D’abord des actions urgentes, comme l’arrêt temporaire des messageries des ENT. L’administration a également édité des listes noires et blanches d’adresses IP et forcé la réinitialisation de 12 millions de comptes. Enfin les messages ont été filtrés avec des mots clés et une recherche des comptes compromis a été mise en place.
A plus long terme, le ministère veut sensibiliser pour endiguer de futures vagues de messages malveillants. Comme avec cette opération menée avec le parquet cyber J3, l’opération Cactus.
Mais l’administration expérimente aussi l’intelligence artificielle pour détecter des messages malveillants. “Cela marche plutôt pas mal mais nous ne sommes pas du tout au stade de l’industrialisation”, précise Nicolas Eslous.
Actualités
Pour répondre aux besoins spécifiques des PME, la division entreprises de l’opérateur propose une solution, « à prix abordable », comprenant un pare-feu Fortinet, une supervision des menaces assistée par IA et, en option, un SOC managé.
Actualités
Le ZDNET Morning le brief de l’actu tech pour les pros tous les matins à 9h00. Transformation numérique, IA, matériel, logiciels,… ne passez pas à côté de ce qui fait la Une du secteur.
Actualités
Ce dossier de siphonnage d’une plateforme crypto s’était soldé par une relaxe en première instance, confirmée par la cour d’appel.
Actualités
Des pirates informatiques nord-coréens ont volé plus de 10 millions de dollars en cryptomonnaie au cours des six derniers mois.