La fermeture des messageries dans les écoles est totale : ENT, Pronote, Pearltrees…

Hier, Nicole Belloubet, ministre de l’Éducation nationale, a annoncé que, suite aux piratages et menaces, elle a « décidé de suspendre à titre préventif toutes les messageries des espaces numériques dans nos établissements scolaires. Avec les représentants des élus et les éditeurs, nous allons déployer un véritable bouclier numérique ».

Plus de 100 établissements ciblés

Cette semaine était effectivement chargée pour l’éducation nationale, avec des piratages en série contre les espaces de travail numérique, les fameux ENT. Ils sont différents en fonction des régions, des académies et des établissements ; il n’y pas d’uniformité.

Mais c’est quoi un ENT déjà ? Éduscol le définit comme « un ensemble intégré de services numériques choisis et mis à disposition de tous les acteurs de la communauté éducative d'une ou plusieurs écoles ou d'un ou plusieurs établissements scolaires dans un cadre de confiance défini par un schéma directeur des ENT et par ses annexes ». On y retrouve de nombreux outils et application, ainsi qu’une messagerie.

Lundi, le ministère s’est fendu d’un communiqué de presse pour faire le point : « Au total, près de 130 établissements scolaires ont été ciblés par des actes malveillants visant les environnements numériques de travail (ENT) depuis la semaine dernière ».

Hier, le ministère indiquait à l’AFP que « au total, 323 menaces, dans 44 départements et 20 académies, ont été lancées en France depuis le milieu de la semaine dernière ». Le parquet de Paris indique à nos confrères qu’un « jeune homme de 17 ans avait été interpellé et placé en garde à vue à Malakoff, dans les Hauts-de-Seine, dans l’enquête sur les menaces d’attentats envoyées à des établissements scolaires ».

Un point de situation avec les éléments marquants des derniers jours était mis en ligne :

Des attaques menées grâce à la récupération d’identifiants

En début de semaine, l’hypothèse la plus probable de la cause des piratages était « la publication sur internet de nouvelles bases de données d’identifiants volés, qui contiennent, entre autres, des identifiants d’accès à des ENT ». Et, « dans une moindre mesure, une partie des identifiants volés peut aussi être issue de campagnes d’hameçonnage réussies ». Pas de faille à proprement parler, mais une réutilisation d’identifiants récupérés. Nicole Belloubet a d’ailleurs assuré mercredi à l’Assemblée nationale qu'« à ce stade, il n'y a pas de fuite massive de données ou d'attaque en règle de nos systèmes d'information ».

Selon le ministère, la première vague d’attaques massives a débuté le jeudi 21 mars. Les menaces, notamment avec « une vidéo très violente », ont ciblé 74 lycées de la région Ile-de-France. Cette dernière « a ouvert une cellule de crise et décidé de l’arrêt de l’ENT ». La messagerie a de nouveau été ouverte le mercredi 27 mars matin.

On apprend au passage que la fermeture avait aussi été décidée pour que les messages malveillants « soient supprimés des boites et que chacun puisse accéder à son compte de manière sécurisée ». Les autorités ont été informées, des « plaintes pénales ont été déposées et la Commission nationale de l’informatique et des libertés (Cnil) a été notifiée ».

Pendant une semaine, chacun mène son action dans son coin

Ce n’est pas la seule, la région Nouvelle-Aquitaine aussi a fermé les portes de sa messagerie dès la semaine dernière : « Suite à la diffusion de messages malveillants touchant plusieurs ENT dans toute la France, nous avons fermé à titre préventif le service de messagerie vendredi 22 mars au matin ».

La région confirme au passage que ces cyberattaques « viennent de cas d'usurpation d'identité. Celles-ci sont majoritairement commises soit par l'intermédiaire de logiciels espions installés sur des postes informatiques, soit par la constitution par des pirates de sites Internet miroir ». Elle rappelle donc à chaque utilisateur « de rester extrêmement attentif », une règle de base que l’on doit suivre en toute circonstance, pas seulement en période de crise.

Ce lundi, la plateforme ENT Lycée Connecté de Nouvelle Aquitaine expliquait avoir été « jusqu'à présent épargnée par cette cyberattaque » et a donc décidé de rouvrir sa messagerie. Ce matin, elle est encore fonctionnelle, malgré l’annonce de la fermeture par Nicole Belloubet.

La fermeture concerne toutes les messageries

En effet, la ministre annonçait hier « suspendre à titre préventif toutes les messageries des espaces numériques dans nos établissements scolaires ». Elle précisait que cela durerait « jusqu’aux vacances de printemps sans doute ». Elles débuteront dans une à trois semaines en fonction des zones et dureront deux semaines.

Contacté, le service presse du ministère nous confirme que la décision concerne bien tous les ENT de France, sans exception. Pour les messageries encore ouvertes, la fermeture va donc se faire progressivement, ajoute le service presse. Elle est déjà effective en Île-de-France, mais pas encore en Nouvelle-Aquitaine ; n’hésitez pas à nous signaler ce qu’il en est dans votre région via les commentaires.

Nous avons aussi demandé des précisions au ministère sur le périmètre d’action de cette fermeture : la mesure concerne-t-elle uniquement les messageries dans les ENT au sens propre ou toutes les applications avec une messagerie, comme Pronote et Pearltrees, pour ne citer que ces deux-là. Réponse du ministère : ce sont bien toutes les messageries qui vont fermer. Là encore, la coupure est progressive, sans indication sur le délai nécessaire.

De son côté, le site Monlycee.net de la région Île-de-France va plus loin et impose un changement de mot de passe, de manière urgente : « le renouvellement obligatoire de votre mot de passe Monlycee.net est prévu le vendredi 29 mars 2024 à partir de 17 h 00. À la suite de ce renouvellement, vous devrez réinitialiser votre mot de passe ».

Des cyberattaques tous azimuts contre les institutions

Ce n’est pas la première fois que l’éducation nationale fait face à une vague de cyberattaques. On se souvient, par exemple, des classes virtuelles durant les confinements. Elles ont été confrontées à leur lot d’intrusions, d’insultes et de menaces, face à des enseignants parfois démunis et laissés pour compte par leur administration. Citons également la plateforme Ma classe à la maison du CNED ciblée par des pirates en avril 2021.

• • L’autre versant des classes virtuelles : « piratages », intrusions, insultes et menaces

• • CNED : des sources confirmeraient des cyberattaques venues de l’étranger

De manière générale, on l’a vu avec la continuité pédagogique, les moyens alloués au numérique, à la cybersécurité et la cyberrésilience sont insuffisants en France. La ministre annonce qu’à partir de la rentrée 2024, « des mesures supplémentaires seront prises à plus grande échelle, académie par académie et en lien avec les collectivités, notamment pour renforcer les modalités d’authentification sur les outils numériques relevant de l’Éducation nationale ».

À plus court terme, elle souhaite « restreindre les droits d’envoi de message au sein de l’ENT au strict nécessaire, puisque seuls les personnels administratifs et de direction de l’EPLE [Établissement public local d'enseignement, ndlr] peuvent envoyer des messages à l’ensemble des élèves et parents d’élèves ».

Il faudrait mettre cette politique en place dans de nombreux services publics, en témoignent les vagues de cyberattaques réussies contre diverses institutions ces derniers mois. Comme expliqué dans un édito, Internet devient un annuaire à ciel ouvert des Français avec toutes les fuites successives.

• • [Édito] Internet, un annuaire des Français à ciel ouvert