enfant ordinateur

La fermeture des messageries dans les écoles est totale : ENT, Pronote, Pearltrees…

Comme dirait Gibert : Alerte générale !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Société numérique

29/03/2024 7 minutes
33

enfant ordinateur

Face à la vague importante de piratages des messageries, Nicole Belloubet annonce la fermeture de toutes les messageries des écoles. Cela concerne les ENT, mais également toutes les applications, comme Pronote. La ministre veut mettre en place « des mesures supplémentaires [...] à plus grande échelle » dès la rentrée prochaine.

Hier, Nicole Belloubet, ministre de l’Éducation nationale, a annoncé que, suite aux piratages et menaces, elle a « décidé de suspendre à titre préventif toutes les messageries des espaces numériques dans nos établissements scolaires. Avec les représentants des élus et les éditeurs, nous allons déployer un véritable bouclier numérique ».

Plus de 100 établissements ciblés

Cette semaine était effectivement chargée pour l’éducation nationale, avec des piratages en série contre les espaces de travail numérique, les fameux ENT. Ils sont différents en fonction des régions, des académies et des établissements ; il n’y pas d’uniformité.

Mais c’est quoi un ENT déjà ? Éduscol le définit comme « un ensemble intégré de services numériques choisis et mis à disposition de tous les acteurs de la communauté éducative d'une ou plusieurs écoles ou d'un ou plusieurs établissements scolaires dans un cadre de confiance défini par un schéma directeur des ENT et par ses annexes ». On y retrouve de nombreux outils et application, ainsi qu’une messagerie.

Lundi, le ministère s’est fendu d’un communiqué de presse pour faire le point : « Au total, près de 130 établissements scolaires ont été ciblés par des actes malveillants visant les environnements numériques de travail (ENT) depuis la semaine dernière ».

Hier, le ministère indiquait à l’AFP que « au total, 323 menaces, dans 44 départements et 20 académies, ont été lancées en France depuis le milieu de la semaine dernière ». Le parquet de Paris indique à nos confrères qu’un « jeune homme de 17 ans avait été interpellé et placé en garde à vue à Malakoff, dans les Hauts-de-Seine, dans l’enquête sur les menaces d’attentats envoyées à des établissements scolaires ».

Un point de situation avec les éléments marquants des derniers jours était mis en ligne :

Des attaques menées grâce à la récupération d’identifiants

En début de semaine, l’hypothèse la plus probable de la cause des piratages était « la publication sur internet de nouvelles bases de données d’identifiants volés, qui contiennent, entre autres, des identifiants d’accès à des ENT ». Et, « dans une moindre mesure, une partie des identifiants volés peut aussi être issue de campagnes d’hameçonnage réussies ». Pas de faille à proprement parler, mais une réutilisation d’identifiants récupérés. Nicole Belloubet a d’ailleurs assuré mercredi à l’Assemblée nationale qu'« à ce stade, il n'y a pas de fuite massive de données ou d'attaque en règle de nos systèmes d'information ».

Selon le ministère, la première vague d’attaques massives a débuté le jeudi 21 mars. Les menaces, notamment avec « une vidéo très violente », ont ciblé 74 lycées de la région Ile-de-France. Cette dernière « a ouvert une cellule de crise et décidé de l’arrêt de l’ENT ». La messagerie a de nouveau été ouverte le mercredi 27 mars matin.

On apprend au passage que la fermeture avait aussi été décidée pour que les messages malveillants « soient supprimés des boites et que chacun puisse accéder à son compte de manière sécurisée ». Les autorités ont été informées, des « plaintes pénales ont été déposées et la Commission nationale de l’informatique et des libertés (Cnil) a été notifiée ».

Pendant une semaine, chacun mène son action dans son coin

La suite est réservée à nos abonnés.

Déjà abonné ? Se connecter

Abonnez-vous

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Plus de 100 établissements ciblés

Des attaques menées grâce à la récupération d’identifiants

Pendant une semaine, chacun mène son action dans son coin

La fermeture concerne toutes les messageries

Des cyberattaques tous azimuts contre les institutions

Fermer

Commentaires (33)


Voilà une bonne mesure qui va empêcher les attentats contre les lycées. Et si jamais ils reçoivent des menaces par mail, par courrier, ou par téléphone, ils fermeront la boîte mail, la boîte aux lettres, et la ligne téléphone pour être en sécurité.
Généralement quand on prépare un attentat, on ne prévient pas à l'avance sur l'ENT.

Ici il s'agit simplement de mettre le boxon à l'Education Nationale.

carbier

Généralement quand on prépare un attentat, on ne prévient pas à l'avance sur l'ENT.

Ici il s'agit simplement de mettre le boxon à l'Education Nationale.
Sauf si on veut déclencher l'attentat à la sortie en masse de tout le monde.
Sinon, c'est vrai: on s'attribue l'attentat après, pas avant.

carbier

Généralement quand on prépare un attentat, on ne prévient pas à l'avance sur l'ENT.

Ici il s'agit simplement de mettre le boxon à l'Education Nationale.
Parce que tu crois que supprimer la messagerie entre profs, élèves, parents, et administration via l'ENT, ça ne vas pas "mettre le boxon à l'Education Nationale" ?

alex.d.

Parce que tu crois que supprimer la messagerie entre profs, élèves, parents, et administration via l'ENT, ça ne vas pas "mettre le boxon à l'Education Nationale" ?
Naivement j'ai tendance à croire que passer par des mailings listes pour joindre les parents ou les élèves (les comptes ENT sont associés à des mails persos), cela pose moins de problème que d'évacuer en permanence des établissements avec arrêt des cours et stress associé.

carbier

Naivement j'ai tendance à croire que passer par des mailings listes pour joindre les parents ou les élèves (les comptes ENT sont associés à des mails persos), cela pose moins de problème que d'évacuer en permanence des établissements avec arrêt des cours et stress associé.
Sauf que ces mailing-lists n'existent pas. Et la messagerie, c'est bien plus que la diffusion sur une mailing-list. C'est aussi : des élèves qui contactent des profs, des parents qui contactent des profs, des parents qui contactent l'administration. Toutes ces adresses mail ne sont pas publiques.

Et puis bon, les mailing-lists ont le même problème : soit elles sont modérées, et tu te retrouves avec le problème habituel des messages qui mettent une semaine à passer ; soit elles sont ouvertes, et le problème de départ revient.
Sauf qu’en piratant un ENT, tu peux t’adresser à tous les utilisateurs en même temps sans avoir besoin de leurs coordonnées.

Faire ça par e-mail ou courrier c’est pas la même histoire.

jpaul

Sauf qu’en piratant un ENT, tu peux t’adresser à tous les utilisateurs en même temps sans avoir besoin de leurs coordonnées.

Faire ça par e-mail ou courrier c’est pas la même histoire.
S'ils piratent le compte d'un élève ou d'un parent, ça ne suffit pas pour envoyer un message à tout le monde. Et pour les comptes des membres de l'administration, ça ne soit pas être si compliqué que ça de réinitialiser tous les mots de passe par mesure de sécurité.

alex.d.

S'ils piratent le compte d'un élève ou d'un parent, ça ne suffit pas pour envoyer un message à tout le monde. Et pour les comptes des membres de l'administration, ça ne soit pas être si compliqué que ça de réinitialiser tous les mots de passe par mesure de sécurité.
S'ils piratent le compte d'un élève ou d'un parent, ça ne suffit pas pour envoyer un message à tout le monde.


C'est effectivement cet aspect des choses que je n'ai pas compris, et qui n'a été expliqué nulle part.

alex.d.

S'ils piratent le compte d'un élève ou d'un parent, ça ne suffit pas pour envoyer un message à tout le monde. Et pour les comptes des membres de l'administration, ça ne soit pas être si compliqué que ça de réinitialiser tous les mots de passe par mesure de sécurité.
Sauf si une liste de diffusion est mise à disposition dans le carnet d'adresses de l'ENT
Modifié le 29/03/2024 à 16h06

Historique des modifications :

Posté le 29/03/2024 à 16h05


Sauf si une liste de diffusion est mise à disposition dans le carnet d'adresses de l'ENT

Posté le 29/03/2024 à 16h06


S'ils piratent le compte d'un élève ou d'un parent, ça ne suffit pas pour envoyer un message à tout le monde.

Sauf si une liste de diffusion est mise à disposition dans le carnet d'adresses de l'ENT

Le ministre de l'Éducation Nationale va-t-il acheter des clés U2F/WebAuthn pour tous les élèves et leur parents?

C'est bon moyen pour éviter la compromission de compte.
Il faudrait déjà qu'elle "achète" des profs...
Il suffirait de passer à une 2FA classique, déjà. Il existe déjà des solutions au sein du même ministère (Esup Auth, par exemple).
Aucun MFA de base, même par SMS, sur ces environnements ?
Il faudrait que quelqu'un paie la facture derrière, donc c'est sûrement ce qui bloque..
L'ENT est toujours ouvert et fonctionnel pour moi (Académie de Bordeaux). On est épargné ?
L’ENT ne ferme pas en lui même, ce sont les messageries :chinois:

Sébastien Gavois

L’ENT ne ferme pas en lui même, ce sont les messageries :chinois:
ENT complètement innaccessible pour nous depuis ce week-end (Essonne) :(
C'est pas l'ENT qui est fermé mais la messagerie de l'ENT

édit : arf, grilled :P
Modifié le 29/03/2024 à 14h17

Historique des modifications :

Posté le 29/03/2024 à 14h16


C'est pas l'ENT qui est fermé mais la messagerie de l'ENT

J'ai testé à l'instant : sur Pronote, la messagerie est ouverte en effet. Sur Lycée Connecté, c'est fermé.
Si ils pouvaient en profiter pour fermer complètement l'ENT du Grand-Est qui est une démonstration de ce qu'il ne faut pas faire quand on fait un produit informatique...
Pour les alertes via cet ENT, j'ai vu une capture d'écran: l'email n'avait pas d'expéditeur. Donc grosse faille, pas de compromission de compte j'imagine.
Les spécialistes : « Attention ! Avant les JOs faudra se préparer à un grand nombre d'attaques numériques ! »
Le gouvernement : « Pas de soucis, on est prêt ! »

157 attaques réussies et vols de données plus tard

Le gouvernement : « Bah en fait, il va falloir qu'on durcisse tout ça. On va allouer des fonds après la rentrée. »


Fières d'être amateurs…
Le lycée de mon gamin utilise exclusivement la messagerie de Pronote et elle est encore parfaitement fonctionnelle et utilisée par l'établissement.
Les personnels de l'éducation Nationale me semblent assez hermétiques aux questions de sécurité informatique.
Quelques exemples aberrants :
Dans mon collège, le mot de passe admin de Pronote est le nom du collège. Le Principal trouve ça plus simple.
Mes collègues ont refusé la confirmation de première connexion Pronote sur un nouvel appareil par code Pin. Trop compliqué.
Dans le collège de ma fille, ils obligent les élèves à avoir tous la même structure de mot de passe (nom+ddn). Le prof de techno trouve ça plus simple.
Ça peut évoluer, mais il faudrait une formation rigoureuse. Depuis 20 ans que je bosse, la DSI n'a jamais sensibilisé les personnels sur la sécurité informatique alors que les usages ont explosé.
"Certains personnels"
Quoi ? Non ! Comment ça le personnel de l'éducation nationale est en tout point identique au reste de la population ? Et les difficultés dans le public sont les mêmes que dans le privé ? On m'aurait menti ? :troll:

Nozalys

Quoi ? Non ! Comment ça le personnel de l'éducation nationale est en tout point identique au reste de la population ? Et les difficultés dans le public sont les mêmes que dans le privé ? On m'aurait menti ? :troll:
Oui, enfin là on parle pas de compte fb mal sécurisés...
Potentiellement on a des millions de dossiers scolaires prêts à diffuser parce qu'on a pas une politique solide de sécurité.
Le problème, par rapport au privé, c'est que les usagers ont pas le choix de nous confier leurs données. Et je trouve que certains effectivement (mais nombreux quand-même) de mes collègues ne prennent pas la mesure de cela.
On en revient à la nécessité d'une authentification multi-facteurs.

Les utilisateurs ayant des permissions de diffusion larges au niveau des destinataires des messages qu'ils peuvent envoyer (l'ensemble d'un établissement par exemple) et plus généralement pouvant avoir accès à des fonctions sensibles devraient être obligés de configurer une authentification multi-facteurs pour que ces possibilités soient ouvertes.

Problème : la majorité des ENT ne supportent même pas l'authentification multi-facteurs.

Pourtant, le SecurID de RSA (OTP matériel) est déjà déployé au sein de l'Education Nationale pour les personnels de direction pour l'accès aux applications de gestion des données des élèves SIECLE (2nd degré) et ONDE (1er degré) ; donc ils ont quand même un peu conscience de la nécessité de ce type d'authentification renforcée.

Maintenant, avec l'arrivée des clés d'accès/passkeys logicielles standardisées par la FIDO Alliance, ajouter une authentification multi-facteurs ne devrait plus être aussi coûteux et compliqué qu'avant.

Il faut juste une volonté et une impulsion politique derrière quoi ...
Pourtant, le SecurID de RSA (OTP matériel) est déjà déployé au sein de l'Education Nationale pour les personnels de direction pour l'accès aux applications de gestion des données des élèves SIECLE (2nd degré) et ONDE (1er degré)

Ainsi que pour la gestion des jurys d'examen (DELIBNET pour le bac)
Modifié le 30/03/2024 à 09h59

Historique des modifications :

Posté le 29/03/2024 à 22h04


Pourtant, le SecurID de RSA (OTP matériel) est déjà déployé au sein de l'Education Nationale pour les personnels de direction pour l'accès aux applications de gestion des données des élèves SIECLE (2nd degré) et ONDE (1er degré)


Ainsi que pour la gestion des jurys d'examen (DELIBNET pour le bac)

Dans la région Grand Est, l'ENT a vu sa messagerie fermé lundi 25 mars vers 9h suite à des menaces et diffusions de mails de phishing.
Ce sont effectivement des comptes usurpés suite à de précédentes campagnes de phishing qui sont utilisés pour continuer à faire tourner des mails de phishing (notamment un qui proposait aux élèves de pouvoir changer leurs notes en se connectant).
Au final, les comptes de tous les enseignants ont été réinitialisés le lundi soir directement.
Ceux des élèves et parents sont en cours de réinitialisation.
(notamment un qui proposait aux élèves de pouvoir changer leurs notes en se connectant).


Intelligent comme appât ! La suite des évènements l'est beaucoup moins ...
Et en ce qui concerne les universités ? Eux utilisent des solutions correctes ?
Sur Paris-Saclay, ça m'a l'air correct. On a souvent des spams pour essayer d'obtenir des identifiants mais on a des mails de sensibilisation. Les droits associés aux comptes sont assez différenciés selon les fonctions.
Il faut dire qu'on est passé au numérique plus tôt que les lycées. On a déjà commis les erreurs à une époque où c'était moins critique. Je me souviens qu'il y a une quinzaine d'années, voire un peu moins, les hashs des mots de passe stockés étaient accessibles depuis le réseau interne via le LDAP. 🤣
Et c'était du sha1 ou du md5, je ne me souviens plus.
Mais je m'étais amusé à faire un peu de force brute et j'avais en moins de deux minutes trouvé un mot de passe équivalent au miens (il y a beaucoup de collisions sur ces algorithmes obsolètes). Je l'avais testé, ça marchait.
L'information remontée, ça avait été très rapidement corrigé.
Modifié le 10/04/2024 à 14h39

Historique des modifications :

Posté le 10/04/2024 à 14h36


Sur Paris-Saclay, ça m'a l'air correct. On a souvent des spams pour essayer d'obtenir des identifiants mais on a des mails de sensibilisation. Les droits associés aux comptes sont assez différenciés selon les fonctions.
Il faut dire qu'on est passé au numérique plus tôt que les lycées. On a déjà commis les erreurs à une époque où c'était moins critique. Je me souviens qu'il y a une quinzaine d'années, voire un peu moins, les hashs des mots de passe stockés étaient accessibles depuis le réseau interne via le LDAP. 🤣
Et c'était du sha1 ou du md5, je ne me souviens plus.
Mais je m'étais amusé à faire un peu de force brute et j'avais en moins de deux minutes trouvé un mot de passe équivalent au miens (il y a beaucoup de collisions sur ces algorithmes obsolètes). Je l'avais testé, ça marchait.

Posté le 10/04/2024 à 14h36


Sur Paris-Saclay, ça m'a l'air correct. On a souvent des spams pour essayer d'obtenir des identifiants mais on a des mails de sensibilisation. Les droits associés aux comptes sont assez différenciés selon les fonctions.
Il faut dire qu'on est passé au numérique plus tôt que les lycées. On a déjà commis les erreurs à une époque où c'était moins critique. Je me souviens qu'il y a une quinzaine d'années, voire un peu moins, les hashs des mots de passe stockés étaient accessibles depuis le réseau interne via le LDAP. 🤣
Et c'était du sha1 ou du md5, je ne me souviens plus.
Mais je m'étais amusé à faire un peu de force brute et j'avais en moins de deux minutes trouvé un mot de passe équivalent au miens (il y a beaucoup de collisions sur ces algorithmes obsolètes). Je l'avais testé, ça marchait.