À l’aube de la nouvelle année scolaire, nous savons que les établissements d’enseignement ont beaucoup de soucis à se faire. Missions des enseignants. Élaboration d’un programme d’études. Rassembler des fournitures. Préparer les salles de classe. Mais une question devrait préoccuper les administrateurs scolaires et les conseils scolaires plus que la plupart d’entre eux : la protection de leurs réseaux contre la cybercriminalité.
Au cours de l’année scolaire 2018-2019, l’éducation a été la cible principales des pirates
Les logiciels malveillants est la catégorie de menaces la plus détectée (et donc la plus répandue) pour toutes les entreprises. Les « créateurs » et « diffuseurs » de logiciels publicitaires (adware) et de rançonnage (ransomware) ont particulièrement ciblé le secteur de l’éducation l’an dernier, qui s’est classé au premier et au deuxième rang des cibles les plus recherchées par les industries, respectivement. Ainsi les statistiques des créateurs d’anti-virus et autres défenses logicielles montrent que les « adware », les Trojan (chevaux de Troie) et les « backdoor » (portes dérobées) étaient les trois menaces les plus courantes pour les écoles et autres lieux d’éducation. En fait, 43 pour cent de toutes les détections étaient des logiciels publicitaires, tandis que 25 pour cent étaient des chevaux de Troie et 3 p. 100 étaient des portes dérobées.
Qu’est-ce que cela nous indique donc pour l’année scolaire 2019-2020 ? D’une part, les établissements d’enseignement doivent se préparer à une attaque continue de cyberattaques, car les éléments qui les ont rendus attrayants pour les criminels n’ont pas changé. Cependant, plus important encore, en examinant les tendances de la cybercriminalité et en envisageant des solutions aux faiblesses qui les rendent susceptibles d’être attaquées, les écoles peuvent être en mesure d’expulser définitivement de leurs réseaux les acteurs qui constituent une menace gênante.
Pourquoi l’éducation est plus visée ?
Il y a sûrement des cibles plus rentables pour les cybercriminels que l’éducation. La technologie et la finance ont des budgets exponentiellement plus importants qui pourraient être exploités par le biais de demandes de rançon importantes. Les opérations et les données sur les soins de santé sont essentielles aux soins des patients – la perte de l’un ou l’autre pourrait entraîner des pertes de vie.
Mais les cybercriminels sont opportunistes : s’ils voient une cible facile et mûre avec des données précieuses, ils vont en profiter. Pourquoi passer du temps et de l’argent à développer un code personnalisé pour des vecteurs d’attaque sophistiqués alors qu’ils peuvent pratiquement passer une porte ouverte sur les réseaux scolaires ?
Plusieurs facteurs clés se combinent pour faire des écoles des cibles faciles. La première est que la plupart des institutions appartenant au secteur de l’éducation – en particulier celles de l’enseignement public – ont du mal à trouver des financements. Par conséquent, la majeure partie de leur budget est reportée sur le programme de base et non sur la sécurité. L'embauche de personnel en TI et en sécurité, la formation sur les meilleures pratiques et l’achat d’outils et de programmes de sécurité robustes sont souvent une réflexion après coup.
Deuxièmement, l’infrastructure technologique des établissements d’enseignement est généralement désuète et facilement pénétrée par les cybercriminels. Il y ainsi pléthore de matériel et systèmes d’exploitation hérités qui ne sont plus pris en charge par les correctifs comme les logiciels scolaires personnalisés et systèmes de gestion de l’apprentissage (LMS) qui auraient dû être mis à jour depuis longtemps comme les routeurs Wi-Fi qui fonctionnent avec des mots de passe par défaut. Tout cela rend les écoles encore plus vulnérables aux attaques.
Pour couronner le tout, les réseaux scolaires sont en danger parce que les élèves et le personnel se connectent à partir d’appareils personnels à la fois sur les lieux et à la maison. Avec les nouveaux étudiants et parfois du personnel chaque année, il y a une surface d’attaque plus grande et plus ouverte pour que les criminels puissent s’infiltrer. En fait, il a été constaté que les dispositifs se branchant sur les réseaux d’écoles (par opposition aux dispositifs appartenant à l’école) représentaient 1 compromis sur 3 détectés.
Pour compliquer les choses, les élèves eux-mêmes piratent souvent les logiciels scolaires par pur ennui ou lancent des attaques DDoS pour pouvoir fermer Internet et perturber la journée scolaire. Chaque infiltration ne fait qu’élargir le périmètre de défense, ce qui fait qu’il est presque impossible pour les enseignants de protéger leurs élèves et eux-mêmes des cyberattaques qui ne manqueront pas de se produire.
Et avec un accès aussi facile, que recherchent exactement les criminels ? En un mot : données. Les écoles recueillent et stockent des données précieuses et sensibles sur leurs enfants et les membres de leur personnel, depuis les allergies et les troubles d’apprentissage jusqu’aux notes et aux numéros de sécurité sociale. Cette information est très recherchée par les acteurs de la menace, qui peuvent l’utiliser pour tenir des écoles en échange d’une rançon ou pour vendre à des marges bénéficiaires élevées sur le marché noir (les données appartenant aux enfants sont généralement plus chères).
Menaces à l’école : un examen plus approfondi
Les logiciels publicitaires représentaient le pourcentage le plus élevé de détections sur les appareils scolaires au premier semestre 2019. Bon nombre « d’applications » détectées, comme SearchEncrypt, Spigot et IronCore, se présentent comme des moteurs de recherche axés sur la protection de la vie privée. Au lieu de cela, ils bombardent les utilisateurs de publicités pop-up, de barres d’outils et de redirections de sites Web. Bien qu’ils ne soient pas aussi nuisibles que les chevaux de Troie ou les logiciels de rançon, les logiciels publicitaires affaiblissent un système de défense déjà faible.
Viennent ensuite les chevaux de Troie, qui ont pris en charge un quart des détections de menaces sur les terminaux scolaires en 2019. En 2018, les chevaux de Troie étaient le sujet de conversation et les détections de cette menace dans les organisations ont augmenté de 132 pour cent cette année-là.
Les deux principales familles de chevaux de Troie en éducation sont les deux mêmes qui ont causé des maux de tête à des organisations du monde entier : Emotet et TrickBot. Emotet est en tête des détections de chevaux de Troie dans tous les secteurs d’activité, mais sa croissance s’est accélérée dans le domaine de l’éducation. Au premier semestre 2019, Emotet était la cinquième menace la plus importante identifiée dans les écoles, passant de la onzième place en 2018 à la cinquième. Pendant ce temps, TrickBot, le cousin d’Emotet, est le plus grand type de détection dans l’éducation parmi les chevaux de Troie, attirant près de 6 % de tous les compromis identifiés.
Emotet et TrickBot travaillent souvent ensemble dans des attaques mixtes contre des organisations, Emotet fonctionnant en tant que téléchargeur et module anti-spam, tandis que TrickBot infiltre le réseau et se propage latéralement en utilisant des exploits de la NSA. Parfois, la responsabilité s’arrête là. D’autres fois, TrickBot a un autre tour dans son sac : Ryuk ransomware.
Selon le New York Times, l’ année scolaire pourrait être confrontée à de nombreuses menaces, car certains districts sont déjà aux prises avec des attaques de la rentrée scolaire. Des chevaux de Troie comme Emotet et TrickBot ont connu un succès fou l’an dernier – attendez-vous à ce qu’il ait d’autres logiciels malveillants polyvalents comme eux…
Si les équipes informatiques des écoles font leurs recherches, proposent des solutions de sécurité intelligentes à leurs conseils scolaires et aident les élèves et le personnel à adopter les meilleures pratiques en matière d’hygiène en ligne, elles peuvent contribuer à faire en sorte que nos établissements scolaires restent des lieux fonctionnels et sûrs pour les élèves.