Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La fermeture des messageries dans les écoles est totale : ENT, Pronote, Pearltrees…

Comme dirait Gibert : Alerte générale !

La fermeture des messageries dans les écoles est totale : ENT, Pronote, Pearltrees…

Face à la vague importante de piratages des messageries, Nicole Belloubet annonce la fermeture de toutes les messageries des écoles. Cela concerne les ENT, mais également toutes les applications, comme Pronote. La ministre veut mettre en place « des mesures supplémentaires [...] à plus grande échelle » dès la rentrée prochaine.

Le 29 mars à 11h21

Hier, Nicole Belloubet, ministre de l’Éducation nationale, a annoncé que, suite aux piratages et menaces, elle a « décidé de suspendre à titre préventif toutes les messageries des espaces numériques dans nos établissements scolaires. Avec les représentants des élus et les éditeurs, nous allons déployer un véritable bouclier numérique ».

Plus de 100 établissements ciblés

Cette semaine était effectivement chargée pour l’éducation nationale, avec des piratages en série contre les espaces de travail numérique, les fameux ENT. Ils sont différents en fonction des régions, des académies et des établissements ; il n’y pas d’uniformité.

Mais c’est quoi un ENT déjà ? Éduscol le définit comme « un ensemble intégré de services numériques choisis et mis à disposition de tous les acteurs de la communauté éducative d'une ou plusieurs écoles ou d'un ou plusieurs établissements scolaires dans un cadre de confiance défini par un schéma directeur des ENT et par ses annexes ». On y retrouve de nombreux outils et application, ainsi qu’une messagerie.

Lundi, le ministère s’est fendu d’un communiqué de presse pour faire le point : « Au total, près de 130 établissements scolaires ont été ciblés par des actes malveillants visant les environnements numériques de travail (ENT) depuis la semaine dernière ».

Hier, le ministère indiquait à l’AFP que « au total, 323 menaces, dans 44 départements et 20 académies, ont été lancées en France depuis le milieu de la semaine dernière ». Le parquet de Paris indique à nos confrères qu’un « jeune homme de 17 ans avait été interpellé et placé en garde à vue à Malakoff, dans les Hauts-de-Seine, dans l’enquête sur les menaces d’attentats envoyées à des établissements scolaires ».

Un point de situation avec les éléments marquants des derniers jours était mis en ligne :

Des attaques menées grâce à la récupération d’identifiants

En début de semaine, l’hypothèse la plus probable de la cause des piratages était « la publication sur internet de nouvelles bases de données d’identifiants volés, qui contiennent, entre autres, des identifiants d’accès à des ENT ». Et, « dans une moindre mesure, une partie des identifiants volés peut aussi être issue de campagnes d’hameçonnage réussies ». Pas de faille à proprement parler, mais une réutilisation d’identifiants récupérés. Nicole Belloubet a d’ailleurs assuré mercredi à l’Assemblée nationale qu'« à ce stade, il n'y a pas de fuite massive de données ou d'attaque en règle de nos systèmes d'information ».

Selon le ministère, la première vague d’attaques massives a débuté le jeudi 21 mars. Les menaces, notamment avec « une vidéo très violente », ont ciblé 74 lycées de la région Ile-de-France. Cette dernière « a ouvert une cellule de crise et décidé de l’arrêt de l’ENT ». La messagerie a de nouveau été ouverte le mercredi 27 mars matin.

On apprend au passage que la fermeture avait aussi été décidée pour que les messages malveillants « soient supprimés des boites et que chacun puisse accéder à son compte de manière sécurisée ». Les autorités ont été informées, des « plaintes pénales ont été déposées et la Commission nationale de l’informatique et des libertés (Cnil) a été notifiée ».

Pendant une semaine, chacun mène son action dans son coin

Ce n’est pas la seule, la région Nouvelle-Aquitaine aussi a fermé les portes de sa messagerie dès la semaine dernière : « Suite à la diffusion de messages malveillants touchant plusieurs ENT dans toute la France, nous avons fermé à titre préventif le service de messagerie vendredi 22 mars au matin ».

La région confirme au passage que ces cyberattaques « viennent de cas d'usurpation d'identité. Celles-ci sont majoritairement commises soit par l'intermédiaire de logiciels espions installés sur des postes informatiques, soit par la constitution par des pirates de sites Internet miroir ». Elle rappelle donc à chaque utilisateur « de rester extrêmement attentif », une règle de base que l’on doit suivre en toute circonstance, pas seulement en période de crise.

Ce lundi, la plateforme ENT Lycée Connecté de Nouvelle Aquitaine expliquait avoir été « jusqu'à présent épargnée par cette cyberattaque » et a donc décidé de rouvrir sa messagerie. Ce matin, elle est encore fonctionnelle, malgré l’annonce de la fermeture par Nicole Belloubet.

La fermeture concerne toutes les messageries

En effet, la ministre annonçait hier « suspendre à titre préventif toutes les messageries des espaces numériques dans nos établissements scolaires ». Elle précisait que cela durerait « jusqu’aux vacances de printemps sans doute ». Elles débuteront dans une à trois semaines en fonction des zones et dureront deux semaines.

Contacté, le service presse du ministère nous confirme que la décision concerne bien tous les ENT de France, sans exception. Pour les messageries encore ouvertes, la fermeture va donc se faire progressivement, ajoute le service presse. Elle est déjà effective en Île-de-France, mais pas encore en Nouvelle-Aquitaine ; n’hésitez pas à nous signaler ce qu’il en est dans votre région via les commentaires.

Nous avons aussi demandé des précisions au ministère sur le périmètre d’action de cette fermeture : la mesure concerne-t-elle uniquement les messageries dans les ENT au sens propre ou toutes les applications avec une messagerie, comme Pronote et Pearltrees, pour ne citer que ces deux-là. Réponse du ministère : ce sont bien toutes les messageries qui vont fermer. Là encore, la coupure est progressive, sans indication sur le délai nécessaire.

De son côté, le site Monlycee.net de la région Île-de-France va plus loin et impose un changement de mot de passe, de manière urgente : « le renouvellement obligatoire de votre mot de passe Monlycee.net est prévu le vendredi 29 mars 2024 à partir de 17 h 00. À la suite de ce renouvellement, vous devrez réinitialiser votre mot de passe ».

Des cyberattaques tous azimuts contre les institutions

Ce n’est pas la première fois que l’éducation nationale fait face à une vague de cyberattaques. On se souvient, par exemple, des classes virtuelles durant les confinements. Elles ont été confrontées à leur lot d’intrusions, d’insultes et de menaces, face à des enseignants parfois démunis et laissés pour compte par leur administration. Citons également la plateforme Ma classe à la maison du CNED ciblée par des pirates en avril 2021.

De manière générale, on l’a vu avec la continuité pédagogique, les moyens alloués au numérique, à la cybersécurité et la cyberrésilience sont insuffisants en France. La ministre annonce qu’à partir de la rentrée 2024, « des mesures supplémentaires seront prises à plus grande échelle, académie par académie et en lien avec les collectivités, notamment pour renforcer les modalités d’authentification sur les outils numériques relevant de l’Éducation nationale ».

À plus court terme, elle souhaite « restreindre les droits d’envoi de message au sein de l’ENT au strict nécessaire, puisque seuls les personnels administratifs et de direction de l’EPLE [Établissement public local d'enseignement, ndlr] peuvent envoyer des messages à l’ensemble des élèves et parents d’élèves ».

Il faudrait mettre cette politique en place dans de nombreux services publics, en témoignent les vagues de cyberattaques réussies contre diverses institutions ces derniers mois. Comme expliqué dans un édito, Internet devient un annuaire à ciel ouvert des Français avec toutes les fuites successives.

Commentaires (33)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Voilà une bonne mesure qui va empêcher les attentats contre les lycées. Et si jamais ils reçoivent des menaces par mail, par courrier, ou par téléphone, ils fermeront la boîte mail, la boîte aux lettres, et la ligne téléphone pour être en sécurité.
votre avatar
Généralement quand on prépare un attentat, on ne prévient pas à l'avance sur l'ENT.

Ici il s'agit simplement de mettre le boxon à l'Education Nationale.
votre avatar
Sauf si on veut déclencher l'attentat à la sortie en masse de tout le monde.
Sinon, c'est vrai: on s'attribue l'attentat après, pas avant.
votre avatar
Parce que tu crois que supprimer la messagerie entre profs, élèves, parents, et administration via l'ENT, ça ne vas pas "mettre le boxon à l'Education Nationale" ?
votre avatar
Naivement j'ai tendance à croire que passer par des mailings listes pour joindre les parents ou les élèves (les comptes ENT sont associés à des mails persos), cela pose moins de problème que d'évacuer en permanence des établissements avec arrêt des cours et stress associé.
votre avatar
Sauf que ces mailing-lists n'existent pas. Et la messagerie, c'est bien plus que la diffusion sur une mailing-list. C'est aussi : des élèves qui contactent des profs, des parents qui contactent des profs, des parents qui contactent l'administration. Toutes ces adresses mail ne sont pas publiques.

Et puis bon, les mailing-lists ont le même problème : soit elles sont modérées, et tu te retrouves avec le problème habituel des messages qui mettent une semaine à passer ; soit elles sont ouvertes, et le problème de départ revient.
votre avatar
Sauf qu’en piratant un ENT, tu peux t’adresser à tous les utilisateurs en même temps sans avoir besoin de leurs coordonnées.

Faire ça par e-mail ou courrier c’est pas la même histoire.
votre avatar
S'ils piratent le compte d'un élève ou d'un parent, ça ne suffit pas pour envoyer un message à tout le monde. Et pour les comptes des membres de l'administration, ça ne soit pas être si compliqué que ça de réinitialiser tous les mots de passe par mesure de sécurité.
votre avatar
S'ils piratent le compte d'un élève ou d'un parent, ça ne suffit pas pour envoyer un message à tout le monde.
C'est effectivement cet aspect des choses que je n'ai pas compris, et qui n'a été expliqué nulle part.
votre avatar
Sauf si une liste de diffusion est mise à disposition dans le carnet d'adresses de l'ENT
votre avatar
Le ministre de l'Éducation Nationale va-t-il acheter des clés U2F/WebAuthn pour tous les élèves et leur parents?

C'est bon moyen pour éviter la compromission de compte.
votre avatar
Il faudrait déjà qu'elle "achète" des profs...
votre avatar
Il suffirait de passer à une 2FA classique, déjà. Il existe déjà des solutions au sein du même ministère (Esup Auth, par exemple).
votre avatar
Aucun MFA de base, même par SMS, sur ces environnements ?
votre avatar
Il faudrait que quelqu'un paie la facture derrière, donc c'est sûrement ce qui bloque..
votre avatar
L'ENT est toujours ouvert et fonctionnel pour moi (Académie de Bordeaux). On est épargné ?
votre avatar
L’ENT ne ferme pas en lui même, ce sont les messageries :chinois:
votre avatar
ENT complètement innaccessible pour nous depuis ce week-end (Essonne) :(
votre avatar
C'est pas l'ENT qui est fermé mais la messagerie de l'ENT

édit : arf, grilled :P
votre avatar
J'ai testé à l'instant : sur Pronote, la messagerie est ouverte en effet. Sur Lycée Connecté, c'est fermé.
votre avatar
Si ils pouvaient en profiter pour fermer complètement l'ENT du Grand-Est qui est une démonstration de ce qu'il ne faut pas faire quand on fait un produit informatique...
Pour les alertes via cet ENT, j'ai vu une capture d'écran: l'email n'avait pas d'expéditeur. Donc grosse faille, pas de compromission de compte j'imagine.
votre avatar
Les spécialistes : « Attention ! Avant les JOs faudra se préparer à un grand nombre d'attaques numériques ! »
Le gouvernement : « Pas de soucis, on est prêt ! »

157 attaques réussies et vols de données plus tard

Le gouvernement : « Bah en fait, il va falloir qu'on durcisse tout ça. On va allouer des fonds après la rentrée. »


Fières d'être amateurs…
votre avatar
Le lycée de mon gamin utilise exclusivement la messagerie de Pronote et elle est encore parfaitement fonctionnelle et utilisée par l'établissement.
votre avatar
Les personnels de l'éducation Nationale me semblent assez hermétiques aux questions de sécurité informatique.
Quelques exemples aberrants :
Dans mon collège, le mot de passe admin de Pronote est le nom du collège. Le Principal trouve ça plus simple.
Mes collègues ont refusé la confirmation de première connexion Pronote sur un nouvel appareil par code Pin. Trop compliqué.
Dans le collège de ma fille, ils obligent les élèves à avoir tous la même structure de mot de passe (nom+ddn). Le prof de techno trouve ça plus simple.
Ça peut évoluer, mais il faudrait une formation rigoureuse. Depuis 20 ans que je bosse, la DSI n'a jamais sensibilisé les personnels sur la sécurité informatique alors que les usages ont explosé.
votre avatar
"Certains personnels"
votre avatar
Quoi ? Non ! Comment ça le personnel de l'éducation nationale est en tout point identique au reste de la population ? Et les difficultés dans le public sont les mêmes que dans le privé ? On m'aurait menti ? :troll:
votre avatar
Oui, enfin là on parle pas de compte fb mal sécurisés...
Potentiellement on a des millions de dossiers scolaires prêts à diffuser parce qu'on a pas une politique solide de sécurité.
Le problème, par rapport au privé, c'est que les usagers ont pas le choix de nous confier leurs données. Et je trouve que certains effectivement (mais nombreux quand-même) de mes collègues ne prennent pas la mesure de cela.
votre avatar
On en revient à la nécessité d'une authentification multi-facteurs.

Les utilisateurs ayant des permissions de diffusion larges au niveau des destinataires des messages qu'ils peuvent envoyer (l'ensemble d'un établissement par exemple) et plus généralement pouvant avoir accès à des fonctions sensibles devraient être obligés de configurer une authentification multi-facteurs pour que ces possibilités soient ouvertes.

Problème : la majorité des ENT ne supportent même pas l'authentification multi-facteurs.

Pourtant, le SecurID de RSA (OTP matériel) est déjà déployé au sein de l'Education Nationale pour les personnels de direction pour l'accès aux applications de gestion des données des élèves SIECLE (2nd degré) et ONDE (1er degré) ; donc ils ont quand même un peu conscience de la nécessité de ce type d'authentification renforcée.

Maintenant, avec l'arrivée des clés d'accès/passkeys logicielles standardisées par la FIDO Alliance, ajouter une authentification multi-facteurs ne devrait plus être aussi coûteux et compliqué qu'avant.

Il faut juste une volonté et une impulsion politique derrière quoi ...
votre avatar
Pourtant, le SecurID de RSA (OTP matériel) est déjà déployé au sein de l'Education Nationale pour les personnels de direction pour l'accès aux applications de gestion des données des élèves SIECLE (2nd degré) et ONDE (1er degré)
Ainsi que pour la gestion des jurys d'examen (DELIBNET pour le bac)
votre avatar
Dans la région Grand Est, l'ENT a vu sa messagerie fermé lundi 25 mars vers 9h suite à des menaces et diffusions de mails de phishing.
Ce sont effectivement des comptes usurpés suite à de précédentes campagnes de phishing qui sont utilisés pour continuer à faire tourner des mails de phishing (notamment un qui proposait aux élèves de pouvoir changer leurs notes en se connectant).
Au final, les comptes de tous les enseignants ont été réinitialisés le lundi soir directement.
Ceux des élèves et parents sont en cours de réinitialisation.
votre avatar
(notamment un qui proposait aux élèves de pouvoir changer leurs notes en se connectant).
Intelligent comme appât ! La suite des évènements l'est beaucoup moins ...
votre avatar
Et en ce qui concerne les universités ? Eux utilisent des solutions correctes ?
votre avatar
Sur Paris-Saclay, ça m'a l'air correct. On a souvent des spams pour essayer d'obtenir des identifiants mais on a des mails de sensibilisation. Les droits associés aux comptes sont assez différenciés selon les fonctions.
Il faut dire qu'on est passé au numérique plus tôt que les lycées. On a déjà commis les erreurs à une époque où c'était moins critique. Je me souviens qu'il y a une quinzaine d'années, voire un peu moins, les hashs des mots de passe stockés étaient accessibles depuis le réseau interne via le LDAP. 🤣
Et c'était du sha1 ou du md5, je ne me souviens plus.
Mais je m'étais amusé à faire un peu de force brute et j'avais en moins de deux minutes trouvé un mot de passe équivalent au miens (il y a beaucoup de collisions sur ces algorithmes obsolètes). Je l'avais testé, ça marchait.
L'information remontée, ça avait été très rapidement corrigé.

La fermeture des messageries dans les écoles est totale : ENT, Pronote, Pearltrees…

  • Plus de 100 établissements ciblés

  • Des attaques menées grâce à la récupération d’identifiants

  • Pendant une semaine, chacun mène son action dans son coin

  • La fermeture concerne toutes les messageries

  • Des cyberattaques tous azimuts contre les institutions

Fermer