Point de situation : actes malveillants visant les environnements numériques de travail (ENT)

Au total, près de 130 établissements scolaires ont été ciblés par des actes malveillants visant les environnements numériques de travail (ENT) depuis la semaine dernière. Ces situations ont toutes été signalées aux forces de l’ordre, aux services d’enquête judiciaire, ainsi qu’à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Point de situation

  • Jeudi 21 mars : Une vague massive de menaces (comportant une vidéo très violente) a ciblé 74 lycées via la messagerie de l’ENT de la région Ile-de-France, qui a ouvert une cellule de crise et décidé de l’arrêt de l’ENT.
  • Vendredi 22 mars :
    • Extension des menaces (alerte à la bombe sans la vidéo) à l’ENT départemental de Seine-et-Marne (77) visant 22 collèges. Ouverture d’une cellule de crise départementale et arrêt de la messagerie de l’ENT.
    • L’académie de Strasbourg a détecté une importante campagne d’hameçonnage (phishing) en cours et des messages de menaces pour 11 collèges et lycées. La messagerie externe de l’ENT a été suspendue.
  • Samedi 23 mars : La région académique Hauts-de-France, regroupant les académies d’Amiens et Lille, a signalé des menaces via l’ENT régional pour 18 collèges et lycées.
  • Lundi 25 mars : des menaces signalées via l’ENT par le département de Meurthe-et-Moselle. Décision prise par la région académique, en lien avec la collectivité territoriale, de suspendre la messagerie ENT et de lancer une campagne de réinitialisation de comptes d’accès.

Analyse des faits

Les enquêtes judiciaires d’une précédente vague d’actes malveillants datant de 2023 ont montré que les usurpations de comptes d’accès des élèves ou des familles étaient liés à des logiciels malveillants dérobeurs de mots de passes ("stealer"), très largement diffusés dans le monde depuis 2022, implantés dans des logiciels contrefaits ("crackés" ou détournés de leur usage).
 
Au stade actuel des connaissances, l’hypothèse la plus probable est constituée par la publication sur internet de nouvelles bases de données d’identifiants volés, qui contiennent, entre autres, des identifiants d’accès à des ENT. Des individus malintentionnés peuvent ainsi disposer, gratuitement ou pour quelques euros, d’identifiants volés leur permettant d’envoyer des menaces.
 
Dans une moindre mesure, une partie des identifiants volés peut aussi être issue de campagnes d’hameçonnage réussies.
 
En lien étroit avec les services académiques, les collectivités territoriales poursuivent l’analyse des incidents et des corrections nécessaires, comme cela a été demandé par la ministre. Néanmoins, à ce stade, il n’a pas été relevé dans ces ENT d’intrusions par exploitation de failles ou de vulnérabilités de la sécurité des systèmes d’information.
 
Des réinitialisations de compte ainsi que des rappels de bonnes pratiques sur l’usage des outils numériques sont réalisés chaque fois que nécessaire pour sécuriser, à titre préventif comme en réaction à des messages malveillants, l’ensemble des accès et des messageries des élèves et personnels.

Mise à jour : mars 2024