Piratage des ENT: le ministère de l’Éducation nationale évoque des logiciels "dérobeurs de mot de passe"

Depuis quelques jours, des collèges et lycées français sont visés par des menaces terroristes. Les élèves et enseignants d’Ile-de-France ont été les premiers à recevoir ces messages par mail le 20 mars. Des établissements scolaires des Hauts-de-France ont aussi été touchés.

"Au total, près de 130 établissements ont été ciblés par des actes malveillants visant les environnements numériques de travail depuis la semaine dernière", a déclaré le ministère de l'Éducation nationale dans un communiqué ce 25 mars.

Ces élèves et enseignants ont été menacés après avoir subi un piratage des espaces numériques de travail (ENT) de leurs établissements. En Île-de-France, les hackers avaient notamment lancé une campagne de hameçonnage basée sur un faux site ressemblant à celui de l’ENT pour récupérer les mots de passe des victimes, sans que l'on puisse juger de l'ampleur de cette campagne.

Des logiciels voleurs de mots de passe

De son côté, le ministère de l’Éducation nationale évoque surtout des "stealers" pour dérober ces derniers. Ces logiciels malveillants sont conçus pour voler des informations, dans le cas présent, des mots de passe.

"Les enquêtes judiciaires d’une précédente vague d’actes malveillants datant de 2023 ont montré que les usurpations de comptes d’accès des élèves ou des familles étaient liées à des logiciels malveillants dérobeurs de mots de passes ("stealer"), très largement diffusés dans le monde depuis 2022, implantés dans des logiciels contrefaits ("crackés" ou détournés de leur usage)" précise le communiqué.

De tels logiciels sont notamment intégrés à des logiciels visant à tricher dans certains jeux vidéo - comme le très populaire Fortnite - qui sont téléchargés par les collégiens ou lycéens. Une fois installés, ces virus vont aspirer les mots de passe enregistrés dans le navigateur web.

Selon le ministère, "au stade actuel des connaissances, l’hypothèse la plus probable est constituée par la publication sur internet de nouvelles bases de données d’identifiants volés, qui contiennent, entre autres, des identifiants d’accès à des ENT".

Ces identifiants dérobés ont ainsi pu être utilisés par des individus mal intentionnés, qui y ont eu accès gratuitement ou les ont achetées en ligne, pour envoyer des menaces aux élèves et enseignants.

Continuant d’enquêter sur ces incidents, le ministère précise qu’"à ce stade, il n’a pas été relevé dans ces ENT d’intrusions par exploitation de failles ou de vulnérabilité de sécurité".