Cyberattaques contre les ENT : depuis quelques semaines s’enchainent les attaques mettant à mal nos chers espace numérique de travail.
Les messageries sont exploitées pour diffuser des menaces, propager de la propagande djihadiste, mettre des élèves et personnels au contact de vidéos d’une violence extrême.
Notre association, fondée sur les usages numériques de notre disciplines, a son mot à dire.
Très vite le phénomène a touché de nombreuses régions et académies. Mardi dernier, ce fut au tour de la Région Sud d’être frappée. La solution : couper les ENT localement. Rassurer. Le cas échéant faire intervenir des forces de police dans certains établissements. Hier soir le couperet tombait : les messageries scolaires des ENT étaient suspendues, sur décision ministériellehttps://www.bfmtv.com/tech/cybersecurite/menaces-contre-des-etablissements-scolaires-la-messagerie-des-ent-suspendue-temporairement_AV-202403280905.html.
La sentence tombée hier soir a semble-t-il posé quelques soucis de mise en application en région parisienne car ce matin les messageries étaient toujours accessibles …
Cyberattaques contre les ENT : surprenante surprise
Il est intéressant de voir comment la machine s’est emballée. Pour dire vrai, les rires nerveux s’imposent. Comment ? Des établissements scolaires et des ENT attaqués ? Comment est-ce possible ? Lors de la crise du Covid n’y avait-il pas déjà eu ce genre d’attaques ? En quatre ans aurions-nous été incapables de prendre des mesures ? Ah, on me dit dans mon oreillette que TV5 monde avait déjà été piraté en 2015 sans effet global par la suite. En me concentrant un peu, je puis retrouver la trace d’un piratage dans mon établissement d’alors, par des élèves, qui avaient bloqué l’intranet de l’établissement. Nous étions en …. 2002. Le 13 mars dernier ce furent des millions de données qui se sont échappées dans la nature, via France Travail.
Alors que la numérisation de nos sociétés, de nos services, de l’Éducation Nationale s’accélère, nous sommes encore surpris d’être surpris par des attaques informatiques.
Réflexions sur la non-sécurité dans le cyber
Prenons les choses de façon directe. Comment expliquer ces attaques, non pas sur le fond des menaces djihadistes, non limitée dans le temps et permanentes de façon plus ou moins intenses, mais simplement d’un point de vue technique ?
La réponse est simple.
C’est facile.
La sécurisation des ENT, des établissements scolaires de façon globale, dès lors qu’il s’agit d’informatique, est aussi solide que le plus faible des maillons de la chaine. Et où se trouve ce maillon faible ?
Entre la chaise et le clavier.
Les ENT n’ont pas été attaqués directement ; c’est inutile, compliqué, potentiellement coûteux pour qui voudrait récupérer des données sur le darkweb (c’est cependant tout à fait possible et il est aisé de trouver des listes de comptes, d’identifiants, de mots de passe de multiples ministères en passant par ces canaux obscurs). Il est aussi envisageable de passer par des procédés techniques ; par exemple, pirater les bornes wifi disponibles dans les établissements n’est pas très compliqué. C’est à la portée d’une vidéo Tik Tok, de quelques prompts sur Chat GPT, de quelques vidéos Youtube ou de ressources plus occultes, mais connues de certains utilisateurs de Reddit ou messageries type Telegram.
Des élèves sont capables de le faire ; et je ne parle pas de wifi ouvert, qui sont des aberrations totales d’un point de vue sécurité informatique, mais bien de wifi censés ne pouvoir accueillir que des tablettes destinées à des usages pédagogiques. Une fois sur les bornes tout ce qui y transite devient accessible, y compris donc les identifiants et mots de passe. Et je le répète, ce n’est pas réservé à des génies de l’informatique, mais bien à des élèves sortant à peine du collège et ayant pour seul bagage informatique quelques tutos, cours de SNT ou de NSI.
Mais il y a encore mieux que l’approche technique : viser le fameux maillon faible : l’élève, l’enseignant, le chef d’établissement bref, l’humain.
Des responsabilités plurielles
La sécurisation des réseaux informatiques, des ENT, a un coût. L’État, les collectivités territoriales ont, à force d’économies de bout de chandelle, sacrifié la sécurité sur l’autel des économies. Oui mais voilà, mettre du numérique partout, c’est multiplier de façon exponentielle les risques. Les protocoles de sécurité, les outils s’inscrivent sur des lignes budgétaires. Ils sont à mettre dans la balance avec les risques encourus de ne pas dépenser cet argent en amont. Mettre des pcs partout, des bornes wifi, distribuer des tablettes, sans avoir la structure humaine pour gérer la matrice, c’est aller devant de grands problèmes, prévisibles, évidents, connus.
Je l’annonce d’ores et déjà ; la ministre a parlé du « temps nécessaire » pour sécuriser les ENT. Et bien quel que soit ce temps, et même si nous allions jusqu’à septembre, au moment où les ENT redeviendront accessibles, nous serons à nouveau hautement vulnérables. On pourra proposer la double vérification d’identifiant, essayer de sécuriser, réellement, les wifi, mettre des firewalls techniquement irréprochables, compter sur des antivirus EDR dernière génération pour empêcher les clés USB qui circulent sur les intranet en propageant potentiellement malwares et autres trojans, le problème essentiel ne sera pas réglé d’ici septembre. Trop de choses se jouent entre la chaise et le clavier.
Prenons un exemple technique simple : la double vérification. Elle offrirait assurément aux ENT une meilleure sécurité. Problème, double vérification signifie utilisation du smartphone ; va-t-on imposer cet outil décrié à tous les élèves pour qu’ils puissent se connecter à leurs ENT dans les établissements ? Et dans le mien, qui est loin d’être seul dans ce cas, la qualité médiocre, les bons jours, du réseau, nous obligerait à aller dehors, au milieu de la cours, en tendant le bras, pour capter une ou deux barres pour recevoir le code …. Ou alors on passe par un email. Oui mais il faut alors pouvoir se connecter à ce dernier, de façon sécurisée, pour éviter qu’un tiers puisse récupérer identifiant et mots de passe, qui circulent aussi de toute façon potentiellement sur le web….
Laissons de côté les aspects techniques et revenons donc au vrai maillon faible : nous.
Entre la chaise et le clavier
Les attaques récentes semblent, comme souvent, le fait de lycéens, de collégiens, voulant faire sauter des cours. Il peut y avoir un fond beaucoup plus grave parfois, mais c’est souvent pour des choses futiles que se déroulent ces attaques. Dans le cas présent il semble même qu’il ne s’agisse pas d’attaques cyber, mais simplement de récupération de données, de phishing, en exploitant par exemple les failles sécuritaires d’un jeu vidéohttps://www.bfmtv.com/tech/cybersecurite/comment-une-triche-sur-fortnite-peut-mener-a-un-piratage-d-ent_AV-202403250561.html.
Et voilà le fond du problème : le niveau quasi nul de culture de sécurité informatique des élèves, mais de façon plus générale des personnels des collèges, lycées, mais aussi des universités, de toute l’Éducation Nationale. Cette dernière est à l’image de la société, ni plus vertueuse, ni plus mauvaise ; simplement utilise-t-elle plus massivement et ouvertement ces outils.
Pour la majorité des consommateurs on achète et utilise un smartphone, un PC comme une télévision. On branche, on appuie sur power et c’est parti.
Qui utilise un logiciel digne de ce nom sur ses appareils connectés pour se protéger des attaques ? Qui met à jour dès qu’il le faut, ses logiciels, ses matériels ? Qui change de mot de passe deux à trois fois par an ? Bien entendu, étant validé le fait qu’il faut un mot de passe par usage, et non le même mot de passe pour tous les usages… Qui comprend vraiment que le cloud n’est pas un espace de stockage, de sauvegarde, mais tout juste d’échange ?
Et dois-je parler des politiques en général, qui courent derrière X et Tik Tok pour faire du buzz ou faire monter les vues, sans prendre la mesure des questions de fuites de données, de guerre informationnelle, partageant parfois des ressources, des liens malveillants ? Comment reprocher à des jeunes de consommer du numérique sans réfléchir quand des adultes, des décideurs, le font tout autant ?https://cinehig.clionautes.org/derriere-nos-ecrans-de-fumee.html
Des élèves ont voulu tricher à un jeu vidéo, ont installé pour se faire un logiciel qui sans qu’ils s’en rendent compte a permis d’accéder à leurs identifiants et mot de passe divers. Des collègues, à tous les niveaux, laissent ouvert leurs sessions dans les établissements, dans leurs salles, sans surveillance, ce qui permet d’accéder aux identifiants et mots de passe. On se connecte allègrement au wifi gratuit dans les grandes surfaces, les trains, les hôtels, certaines chaines de restauration rapide. La majorité des citoyens consomme du numérique sans se poser de question. On a un mot de passe pour tout, car un c’est plus simple que plusieurs.
Les leçons, retour d’expérience, nous les accumulons depuis des décennies. On pourra toujours invoquer les errances de l’État, des collectivités, les failles techniques des outils, le manque de personnel. Oui, tout ceci existe.
Mais il faut aussi regarder la vérité en face : tout le monde participe à ces failles, par désintérêt pour les questions de cybersécurité, par paresse de devoir se souvenir de plusieurs mots de passe ou identifiant. « Enregistrer le mot de passe sur cet appareil » et surtout ne jamais le changer, c’est quand même pratique. Nous sommes dans l’ère de l’application : cliquer, profiter. Le plus vite possible. Nous nous baladons dans la jungle, en tong, avec un t-shirt des bisounours et espérant que l’arc-en-ciel nous protégera.
De la Résilience
Cette nouvelle crise met en lumière les failles d’un système, celui des ENT. Trop de personnes circulent dans les établissements, trop de connexion, il est illusoire d’espérer créer des bulles totalement sécurisées tant que ne sera pas réglé la question humaine.
Si je laisse de côté les attaques complexes de réseaux structurés pour rester sur les seuls élèves en quête de coup d’éclat, il y a quelques éléments qui me semblent évidents. Les élèves se pensent à l’abri derrière un VPN. Or ils sont toujours retrouvés par les enquêteurs. Que ça se sache, qu’on communique sur les sanctions, qui doivent être exemplaires, suffisamment fortes pour activer le levier de la dissuasion. Les élèves doivent comprendre qu’ils seront retrouvés et très durement sanctionnés.
Ensuite pirater un ENT, menacer des personnels, élèves, semble suffisant pour bloquer le système. Il est nécessaire de disposer d’un plan B, C, D. On doit pouvoir continuer à fonctionner, dans un établissement, sans ENT. Il faut mettre en place des protocoles, au niveau local, de communication annexe. Il faut pouvoir se connecter de différentes façons aux divers outils utilisés, Pronote ou assimilé, manuels numériques, Pearltrees ou autre outil. Depuis la fermeture de notre ENT, je fonctionne sans problème avec mes divers outils numériques. Un ENT rend beaucoup de services, mais il ne peut et ne doit pas être l’alpha et l’omega de nos usages, car jamais il ne pourra être totalement sécurisé. Si demain nous n’avons plus de réseau du tout, et bien je fonctionnerai quand même en hors ligne.
Cela fait longtemps que je compte d’abord sur moi pour m’adapter aux crises techniques rencontrées. Dès lors que l’impact de ces attaques sera réduit à la simple gêne, alors on coupera l’envie à certains de tenter le coup. Restera les cas les plus graves, mais là c’est à l’ANSII, aux services dédiés de gérer ces crises.
La clé est et restera toujours la formation de tous. Tout le monde doit faire l’effort. Nous devons à notre jeunesse de la former à ces questions. La SNT à peine, PIX un peu, permettent de parler de cybersécurité. Mais ça n’imprime pas. Les collègues sont eux même pour l’essentiel peu ouverts. La formation des jeunes collègues sur ces questions est globalement réduite au néant, en dehors d’initiatives locales.
De la surprise d’être surpris. La SF aborde ces questions depuis longtemps, les séries tv aussi.
Surpris ?
Il y a quelques jours, le 20 mars, le général Lecointre était auditionné par la commission de défense https://www.youtube.com/watch?v=YBmtYzupO6o. L’ancien chef d’État-major a eu des mots très justes, qui finalement rejoignent cette crise des ENT. Il a tout d’abord remarqué que cette commission n’est pas celle qui attire le plus les députés. Les questions de sécurité ne sont pas très populaires, très porteuses il faut, croire, comme la cybersécurité est totalement secondaire dans l’Éducation Nationale. Un second point me semble percutant. Interrogé sur le désarmement, depuis des années, de nos armées, du les difficultés d’envisager aujourd’hui un conflit de haute intensité, le Général a rappelé sur lui, et de très nombreux spécialistes ont, depuis des années, des décennies, tiré la sonnette d’alarme à ce sujet. En vain.
Aujourd’hui, après deux ans de guerre en Ukraine, nous commençons à nous demander si potentiellement nous pouvons nous préparer à commencer à réfléchir à passer, peut-être véritablement, en économie de guerre potentielle, au cas où.
« Nous allons suspendre la messagerie dans les ENT à titre préventif, jusqu’aux vacances de printemps sans doute »
Rendez-vous à la prochaine attaque, désagrément cyber dans les établissements scolaires pour mesurer combien nous aurons progressé. Ou pas.
Bonjour,
Merci pour cet article intéressant. Je suis informaticien dans l’éducation nationale et je suis confronté tout les jours à des personnels (enseignants, administratifs ou même inspecteurs) victimes de phishing qui rentrent leur mots de passe à tour de bras sur des sites malveillants sans faire attention. Je me dis parfois que les générations actuellement formées sauront mieux discerner le faux du vrai. Malheureusement ça n’a pas l’air d’être le cas…
Merci beaucoup Monsieur Chevassus.
Vous pointez très justement une des problèmatiques de notre société actuelle c’est à dire :
La Déliquescence de celle-ci…