Éducation nationale : Stormous semble avoir constitué une « combolist »

Coup de tonnerre, en ce mardi 10 juin 2025. Le groupe malveillant Stormous revendique une cyberattaque contre les systèmes de l’Éducation nationale.

Il assure être en possession de données relatives à plus de 40 000 personnes et fournit, pour étayer ses allégations, un échantillon d’un peu moins de 1 400 lignes, soit autant de combinaison login/mot de passe, ou adresse mail/mot de passe. Et tout cela pour une poignée de services en ligne liés à l’Éducation nationale.

Mais cet échantillon suggère surtout que les allégations de Stormous sont fausses.

Nous l’avons confronté aux données de la plateforme Cavalier d’HudsonRock.

La conclusion s’impose rapidement : Stormous a commencé la divulgation d’une combolist vraisemblablement constituée en tout ou partie depuis d’innombrables logs de cleptogiciels (ou infostealers) partagés quotidiennement, gratuitement, et à tous les vents sur de multiples chaînes Telegram plus ou moins spécialisées. De quoi rappeler l’impressionnante liste ALIEN TXTBASE de la fin février.

Qu’il s’agisse d’adresses mail, de login, ou de mot de passe indiqués en clair dans l’échantillon fourni par Stormous, les résultats ne manquent pas. Il apparaît plus difficile d’en trouver qui soient inconnus d’Hudson Rock que le contraire, même si nous n’avons pas établi de statistique précise.

En outre, une colonne Date est présente dans les données de Stormous : dans de nombreux cas que nous avons pu vérifier, elle correspond à la date d’infection par cleptogiciel de l’ordinateur dont ont été extraites les données d’authentification. Certaines de ces dates renvoient à des infections remontant à 2019. D’autres semblent renvoyer à juillet et août 2025, mais c’est vraisemblablement le fruit d’une inversion entre le mois et le jour. Il n’en reste pas moins de près de 500 dates pointant vers les premiers mois de l’année en cours.

Le fait que toutes les données présentes dans l’échantillon de Stormous ne soient pas connues d’Hudson Rock suggère l’intégration de logs de cleptogiciel qui n’ont pas été publiquement partagés et donc indexés par la jeune pousse spécialiste de protection des identifiants numériques.

Les compromissions par cleptogiciels sont fréquentes chez les étudiants. Au point que, en mars 2023, l’Éducation nationale lançait une campagne de sensibilisation. C’était deux mois après que des menaces d’attentat ont été diffusées via des espaces numériques de travail, avec des comptes d’élèves piratés.

Entre novembre et décembre 2022, plusieurs incidents de sécurité avaient frappé des établissements de l’enseignement supérieur, avec un point commun : ils avaient tous commencé par un détournement de compte utilisateur permettant d’accéder à distance à des ressources du système d’information. Et régulièrement, mois après mois, le CERT Renater fait état de détections de cleptogiciels.