Infostealers : vaste campagne de sensibilisation dans l’éducation

Rentrée scolaire, début janvier 2023. Des menaces d’attentat étaient diffusées via les espaces numériques de travail (ENT). Elles concernaient une vingtaine d’établissements scolaires. 

Pas la moindre substance explosive n’avait été trouvée dans les établissements concernés. Auprès de nos confrères du Monde, le ministère de l’Éducation nationale indiquait qu’un « tel nombre de menaces est une première ».

Les menaces émanaient d’un compte ENT d’un élève, piraté. Mais comment ? À l’aide d’identifiants dérobés par un infostealer. Car depuis le mois de mars, l’éducation nationale s’attache à sensibiliser sur cette menace. 

« Il s’agit d’une initiative lancée par la Police nationale et le Parquet J3, à la suite de la multiplication des fausses alertes à la bombe, diffusées via les canaux de communication numérique des établissements scolaires. »

Joint par la rédaction, Jérôme Notin, directeur général du GIP Acyma, explique : « il s’agit d’une initiative lancée par la Police nationale et le Parquet J3, à la suite de la multiplication des fausses alertes à la bombe diffusées via les canaux de communication numérique des établissements scolaires. La note d’information a été coécrite avec Cybermalveillance.gouv.fr ». 

De fait, la note commence ainsi : « les établissements scolaires ont connu une vague importante de fausses alertes à la bombe, diffusées via les Espaces Numériques de Travail (ENT) ou des applications de gestion de vie scolaire ». Car « des comptes d’élèves, dont les identifiants ont été volés, sont encore utilisés pour poster des messages sur ces applications à leur insu ». 

Et « lors des investigations, plusieurs logiciels malveillants de type stealer ont été retrouvés sur des ordinateurs personnels d’élèves ». 

La note souligne le risque posé par le stockage d’identifiants dans le navigateur, « face aux stealers qui cherchent à dérober ces informations ». Elle explique que « les cybercriminels exploitent l’intérêt des internautes à obtenir des fichiers vidéo (films, séries), des logiciels piratés (“crackés”) ou encore des programmes permettant d’améliorer les performances dans les jeux vidéo, etc. »

Si les fausses alertes à la bombe ont motivé cette campagne de sensibilisation – relancée à plusieurs reprises ces derniers mois –, la prise de conscience renforcée de la menace des infostealers peut avoir d’autres effets bénéfiques : mieux protéger le monde de l’éducation, jusqu’à l’enseignement supérieur et potentiellement bien au-delà, contre les cyberattaques avec ransomware.

Entre novembre et décembre 2022, plusieurs incidents de sécurité ont frappé des établissements de l’enseignement supérieur, avec un point commun : ils ont tous commencé par un détournement de compte utilisateur permettant d’accéder à distance à des ressources du système d’information. Un détournement rendu possible par le vol d’identifiants à l’aide de ces maliciels spécialisés : les infostealers, aussi appelés voleurs d’informations ou dérobeurs de mots de passe.

Les dernières données statistiques du CERT Renater soulignent d’ailleurs que la menace est loin d’avoir reculé : durant la semaine du 13 octobre, 958 compromissions par infostealer ont été détectées. Après une accalmie, la menace s’est à nouveau fortement manifestée durant la semaine du 24 novembre, avec 640 détections rapportées.