Rentrée : les établissements scolaires, nouvelle cible des hackers
Les parents envisagent que l'école de leur enfant puisse leur téléphoner pour différentes raisons, au sujet d'un bulletin de notes, d'un problème de comportement ou pour leur demander de venir chercher leur enfant malade… Mais avec l'apparition des cyberattaques visant les écoles, un nouveau type d'appel peut survenir : "Bonjour monsieur, nous vous informons que l'ensemble des informations que vous nous avez fournies pour l'inscription de votre enfant est disponible sur le darknet en raison d'un piratage".
Pourquoi cible les établissements scolaires ?
Il faut différencier les pays dans lesquels le système privé est prépondérant (Grande-Bretagne, Etats-Unis) et ceux possédant à l'inverse un système public fort, comme en France. Pour les premiers, l'intérêt des cyberattaquants est vite identifiable, les établissements possèdent d'importants fonds et les hackers peuvent par conséquent leur demander une rançon. Mais dans les pays où le public est majoritaire, les fonds ne sont pas aussi importants. Que peuvent donc viser les hackers ? La réponse est simple, les données des parents pour les établissements allant de la maternelle au lycée, et ceux des étudiants pour les universités. Un butin auquel s'ajoutent les données du personnel.
Car les parents laissent de nombreuses informations aux écoles : coordonnées personnelles (adresse, numéro de téléphone, e-mail), documents d'identité, coordonnées bancaires pour payer la cantine etc. Ces données peuvent se monnayer de 2 euros pour les mails à 120 euros pour des données bancaires. Donc en prix de gros sur le darknet, des données volées à un établissement scolaire peuvent rapporter de jolies sommes aux hackers, même si on se situe plus dans le millier d'euros que dans le million. Néanmoins, les cybercriminels réalisent une bonne opération car les établissements scolaires sont beaucoup moins défendus que les entreprises. Ils peuvent donc facilement déposer un infostealer dans leur système informatique et récupérer les données sans difficulté.
Cette technique a l'avantage d'être théoriquement indétectable, surtout par les systèmes de défense des établissements scolaires qui font souvent le minimum en la matière. Les données volées sont ensuite vendues et/ou utilisées dans une future cyberattaque.
Comment se protéger lorsqu'on est un parent d'élève ?
Selon Thierry Fabre, senior manager sales engineering chez BlackBerry, "le premier réflexe est d'imposer un filigrane sur les documents d'identité qu'on fournit à l'établissement scolaire. C'est facile à réaliser via un outil gratuit fourni par le gouvernement. On précise bien via le filigrane que ces documents ne sont utilisables que pour la création du dossier scolaire. Ainsi, ils ne pourront pas être détournés pour autre chose. Ce simple geste permet de faire disparaître leur valeur auprès des hackers. Après, il faut toujours surveiller ses comptes en banque après que ses données ont été volées."
Le cas spécifique des universités
Les universités peuvent, elles aussi, se retrouver dans le viseur des hackers. Parmi les meilleures universités françaises, seulement une a le niveau de protection DMARC maximal contre quatre en moyenne en Europe. Ce protocole d'authentification permet de sécuriser le canal de gestion des adresses mail pour un nom de domaine. Comme nous l'explique Xavier Daspre, directeur technique France chez Proofpoint, "c'est une protection pour éviter qu'un tiers puisse créer une fausse adresse mail avec le nom de domaine de la société. Un exemple bien connu d'utilisateur du DMARC est la Gendarmerie nationale. Désormais, toute personne qui envoie un e-mail au nom de la gendarmerie ne peux plus le faire sauf en commettant une faute (un caractère) sur le nom de domaine de la gendarmerie. Ce qui alerte la cible de ce faux mail".
Lors d'une cyberattaque sur une université, l'objectif prioritaire est de voler les données des étudiants. Mais les hackers peuvent mener d'autres actions en parallèle. La plus simple est la prise de contrôle d'un e-mail possédant le nom de domaine de l'université, les hackers pourront l'utiliser pour lancer une campagne de phishing contre les autres e-mails de l'université. Mais là n'est pas le graal pour les hackers.
Les universités, surtout les meilleures, ont en leur sein des informations bien plus précieuses que les données de leurs étudiants avec les sujets de recherches… Xavier Daspres précise : "Les chercheurs ont souvent plusieurs adresses mail, et la moins bien protégée est celle rattachée à leur université. Les cybercriminels peuvent l'utiliser comme porte d'entrée pour ensuite dérober les résultats de leurs recherches." Thierry Fabre ajoute : "Le vol de documents liés à la recherche est très spécifique. Une fois le vol effectué, les cybercriminels ne peuvent pas écouler facilement leur butin via le darknet. Ils doivent donc trouver un acheteur potentiel en amont de la cyberattaque. Les acheteurs de documents de recherches universitaires sont souvent des Etats, car ce savoir peut leur permettre d'améliorer leurs propres recherches".