Piratage des ENT: cinq conseils pour ne pas se faire dérober ses mots de passe

Plus de 150 collèges et lycées visés par des menaces terroristes. Depuis le 20 mars, des établissements scolaires en France ont reçu des messages malveillants envoyés via leur espace numérique de travail (ENT) qui ont été piratés.

Pour y parvenir, les hackers ont pris pour cible les élèves, avec des campagnes de hameçonnage ou encore en les incitant à télécharger des contenus cachant en réalité des programmes malveillants. Ils ont ainsi pu récupérer les identifiants et mots de passe des collégiens et lycéens, pour se connecter à leur compte et diffuser largement des messages aux autres élèves.

"On a peut-être négligé une des failles les plus connues, c’est aujourd’hui le vol de mot de passe", a résumé Gérôme Billois, expert en cybersécurité sur BFMTV.

Face à ce danger, voici cinq conseils pour ne pas se faire dérober ses mots de passe.

Se méfier des logiciels dont l’origine n’est pas garantie

Les logiciels les plus sûrs sont ceux diffusés par leur éditeur officiel. Dans le cas où leur origine n’est pas garantie, il vaut mieux s’en méfier, préconise le ministère de l’Éducation nationale dans un communiqué publié le 28 mars. Ils peuvent en effet être utilisés pour installer des logiciels malveillants sur la machine d’un internaute à son insu.

Alors que des jeunes cherchent parfois à tricher sur des jeux vidéo comme Fortnite, des hackers se sont par exemple servi de faux outils de triche afin de voler leurs données personnelles à l’aide de stealers. Ces logiciels "dérobeurs" de mots de passe ont d’ailleurs été évoqués par ministère de l’Éducation nationale dans un communiqué le 25 mars, ayant probablement été utilisés pour accéder aux ENT des établissements scolaires.

Choisir un mot de passe robuste

Pour éviter de se faire voler son mot de passe, il faut évidemment en choisir un qui n’est pas facile à deviner, comme "123456" ou "000000". Il ne doit également pas comporter votre prénom, votre date de naissance ou encore votre ville de résidence. Selon le consensus, un mot de passe sécurisé doit comporter au moins 12 caractères, mêlant des chiffres, des lettres et des caractères spéciaux.

La Cnil propose d’ailleurs un outil pour vous aider à créer un mot de passe robuste. Il s’agit d’un générateur permettant de créer son mot de passe à partir d’une phrase.

Il est en outre recommandé de diversifier ses mots de passe pour éviter que le piratage de l’un ne mette en danger l’ensemble des comptes en ligne d’un internaute. Si avoir un mot de passe complètement différent sur chaque plateforme est un choix judicieux, modifier une simple lettre est aussi un bon réflexe et cela permet de s’en rappeler plus facilement.

Utiliser un gestionnaire de mots de passe

Choisir un mot de passe robuste et le mémoriser peut être difficile, mais des outils existent pour aider les internautes. Les gestionnaires de mots de passe permettent par exemple, comme leur nom l’indique, de gérer ces derniers. Apple et Google proposent de tels outils qui génèrent des mots de passe difficiles à déchiffrer.

Renseignant automatiquement les identifiants et mots de passe dans les formulaires de connexion, ces gestionnaires permettent aux internautes de sécuriser leurs comptes sans se soucier de la mémorisation de leur mot de passe.

Ne jamais saisir son mot de passe à la suite de la réception d’un lien

Alors que des courriels peuvent rediriger les internautes vers des pages où ils doivent saisir le mot de passe d’un compte, il est conseillé de ne jamais le faire. Les hackers utilisent en effet cette technique pour voler leurs données personnelles en se faisant passer pour une entreprise ou une organisation qu’ils connaissent. C’est ce qu’on appelle le hameçonnage.

Dans le cas des ENT, les pirates sont d’ailleurs parvenus à dérober les boîtes mail d’élèves avec une campagne de hameçonnage basée sur un faux site imitant l’interface de ces espaces numériques de travail.

Mettre régulièrement à jour ses applications et équipements

Des mises à jour sont régulièrement déployées pour les applications et équipements des internautes. Cela, pour une bonne raison. Ces mises à jour visent souvent à corriger des failles de sécurité pour éviter que celles-ci ne soient exploitées par des acteurs malveillants.

Ces vulnérabilités peuvent exposer les personnes concernées à de graves risques comme le vol de données. Raison pour laquelle il est recommandé de les installer dès que possible.