Notre réaction suite aux cyberattaques d'établissements scolaires

 

1. Des menaces inacceptables mais limitées dans l’espace

La société Kosmos condamne avec force les menaces inacceptables ayant touché plusieurs lycées et collèges et s’associe pleinement à l’émotion qui a gagné la communauté éducative, dans un contexte de menace terroriste à son plus haut niveau. Nous sommes parfaitement conscients des dommages psychologiques, notamment auprès des élèves, que peuvent causer ce type d’attaques, mais nous souhaitons par ce communiqué bien en circonscrire le périmètre.

Selon les chiffres fournis par le ministère de l’éducation lui-même, environ 130 établissements ont été touchés, à date, de façon plus ou moins forte par ces attaques, sur un total d’un peu plus de 10 700 établissements du second degré. C’est moins de 1,3 % des collèges et lycées de France. C’est sans doute déjà trop mais cela montre le caractère numériquement limité du phénomène. De plus, les menaces se sont concentrées géographiquement sur un nombre réduit de territoires où Kosmos n’est pas l’opérateur ENT, Ile de France et Hauts de France au premier chef, et n’ont donc pas pris la forme d’une cyberattaque massive et généralisée.

Pour ce qui concerne nos solutions, sur les quelques 4 000 établissements utilisateurs, seule une vingtaine de réquisitions judiciaires ont été diligentées, principalement dans le Grand-Est, et nous confirmons donc que la très grande majorité de nos clients sont restés indemnes de toute attaque.

2. Aucune de ces attaques n’est imputable à une faille de sécurité de nos ENT

Contrairement à ce qu’ont pu laisser penser les premiers articles de presse, les ENT ne sont pas directement à l‘origine des problèmes rencontrés, en ce sens qu’ils n’ont présenté ni faille de sécurité ni vulnérabilité permettant des attaques coordonnées.

Si la messagerie de certains ENT a bien été le vecteur des menaces proférées, l’origine du problème se situe en amont. Comme le montrent de façon certaine les premières enquêtes et analyses, la cause principale du phénomène est liée à l’usurpation d’identité ayant touché certains comptes, soit par vol du login / mot de passe au moment de la connexion via les guichets d’authentification institutionnels Educonnect (pour les familles) et Arena/Sapia (pour le personnel de l’Education Nationale et de l’Enseignement Agricole), soit par action de hameçonnage (phishing), soit par l’utilisation d’un cheval de Troie (stealer).

Comme l’ont souligné plusieurs experts dans différents médias, les techniques utilisées pour arriver à ce résultat sont relativement simples à mettre en œuvre, ce qui conduit à s’interroger sur l’origine réelle de la menace.

Si des phénomènes d’usurpation sont bien à l’origine de la situation, le cœur de nos systèmes n’a en revanche fait l’objet d’aucune défaillance, et nous pouvons donc affirmer avec force que nos ENT sont opérationnels et sécurisés et n’ont en rien permis les attaques incriminées.

3. Des attaques qui appellent une nécessaire réaction des pouvoirs publics

Face à ces attaques, le Ministère a choisi, dans l’urgence, de demander aux collectivités de couper l’accès aux services de messagerie des ENT. Nous prenons acte de cette décision et étudions avec nos collectivités clientes la faisabilité de la mesure. Nous pensons toutefois que face à la menace, la réaction des autorités doit se concentrer sur trois types d’actions, préventives, correctives et prospectives.

• Préventive : il importe de renforcer la sensibilisation de la communauté éducative aux enjeux cyber et aux bonnes pratiques associées (changement de mot de passe, identification des éventuels phishing et usurpation d’identité criticité de la confidentialité des mots de passe sur les guichets d’authentification pour la sécurité des accès au même titre qu'un site de banque…). Comme souvent en matière de sécurité informatique, la principale faille se trouve entre la chaise et l’écran.
• Corrective : renforcer la défense en profondeur d’Educonnect et d’Arena/Sapia, leur sécurité et leur industrialisation. La gestion centralisée des accès par une autorité ministérielle est une excellente initiative qu’il convient de souligner. Encore faut-il que cette option soit exempte de toute vulnérabilité et présente toutes les garanties de sécurité susceptibles de rassurer les millions d’utilisateurs qui y ont recours. Certains éléments techniques de cette défense en profondeur manquent encore à ce jour (géolocalisation, MFA, etc.) et il importe d’y apporter rapidement les correctifs nécessaires.
• Prospective : même si Educonnect et Arena/Sapia ont, dans le cas présent, montré des insuffisances face à ce type d'attaque, la logique de "concentration" des mécanismes d’authentification via un service souverain public constitue un élément clé de sécurité. Trop de services numériques, comme les services de scolarité déployés dans les établissements, ne sont pas branchés sur ce dispositif. Il serait donc nécessaire dans un délai très court, qu’ils y soient plus massivement raccordés, afin d’offrir une défense centralisée et effective du système d’information de l’établissement.

4. Une attention particulière à porter aux services de messagerie

La puissance publique ne peut et ne pourra pas, sauf moyens exceptionnels, protéger des millions de boites de messagerie « ouvertes » mises à disposition auprès des familles contre des cyberattaques qui deviennent de plus en plus sophistiquées. Aussi le cadre d’utilisation des services de messagerie présents au sein des établissements (messagerie institutionnelle, messagerie ENT, messagerie des services de scolarité, etc.) doit être repensé pour empêcher les attaquants de véhiculer leurs menaces. Afin de limiter par exemple les risques de « phishing » ou même de cyberharcèlement, notre recommandation fondamentale a toujours été et sera toujours de ne pas ouvrir les messageries destinées aux familles au « monde  extérieur » à la communauté éducative et donc de respecter la logique de messagerie interne sécurisée. Tous nos projets qui ont fait le choix de suivre cette recommandation n'ont pas été touchés par les problèmes évoqués ici.

5. Pour les éditeurs, investir massivement sur la sécurité

Dans le contexte actuel de menace, la sécurité informatique est un enjeu majeur au regard des usages massifs et des publics utilisateurs, par nature sensible. Elle doit être au cœur de la stratégie de tous les opérateurs.

Pour notre part elle est au centre de nos actions et de nos investissements les plus récents, en lien avec nos collectivités clientes et sous le contrôle d’organismes certificateurs. Nous adressons en ce moment à tous nos clients un récapitulatif de toutes nos actions en la matière, afin qu’ils soient totalement rassurés quant à la sécurité de nos solutions.

Aucun système n’étant par nature infaillible, nous restons pleinement mobilisés pour faire face aux futures attaques et adapter notre stratégie aux nouvelles menaces afin de faire en sorte que les établissements scolaires demeurent des sanctuaires où élèves, enseignants et personnels puissent étudier et travailler à l’abri des menaces cyber.

Dans cette période troublée, nous souhaitons avant tout leur renouveler aujourd’hui notre soutien ainsi que notre solidarité aux confrères privés et opérateurs publics qui se mobilisent exemplairement à l’unisson dans ce sens.

Jean PLANET, Président du groupe Kosmos