Cyberattaques : l’enseignement supérieur en état d’alerte durant les fêtes
[Exclusif] Toulouse INP, Grenoble INP, et l’IUT Paris – Rives de Seine n'étaient pas des cas isolés. Des efforts de vigilance ont été demandés durant les vacances scolaires de Noël afin de prévenir d’autres cyberattaques.
Mi-septembre, Toulouse INP entamait l’année scolaire sur une cyberattaque avec ransomware. Début décembre, Grenoble INP informait d’une « intrusion » sur ses serveurs informatiques, mais sans parler de cyberattaque. En même temps, nos confrères du Parisien révélaient que l’IUT Paris – Rives de Seine était ouvertement victime d’une attaque informatique. Ces cas ne sont pas isolés. Selon nos informations, 4 incidents importants dans l’enseignement supérieur ont été signalés en novembre, et 3 en décembre.
Début novembre, les équipes informatiques d’une université ont détecté du trafic suspect et repéré la présence d’un attaquant, entré en profondeur dans le système d’information, avant qu’il n’ait eu le temps de déployer et déclencher un rançongiciel.
Dix jours plus tard, l’histoire se répète dans une seconde université. Un compte d’étudiant compromis avait été détourné en accès initial sur un serveur d’accès distant. Un scénario comparable s’est reproduit dans une école d’ingénieurs dix jours plus tard.
À la toute fin du mois de novembre, c’est au tour de Grenoble INP. Selon nos informations, l’attaquant a réussi à toucher le cœur du système d’information. Ce dernier a été totalement mis à l’arrêt pour contrer l’attaque.
Le 4 décembre, l’IUT Paris – Rives de Seine a moins de chance : un ransomware est déployé et déclenché. L’attaque a depuis été revendiquée sur le site vitrine de Vice Society. La reconstruction du système d’information devrait prendre des semaines, sinon des mois.
Mais la série continue, avec un autre IUT, le 8 décembre. Là, le ransomware n’a été déployé que sur un périmètre limité. Deux jours plus tard, une autre école d’ingénieurs est concernée. L’attaquant est coupé dans son élan avant de déclencher le rançongiciel.
En proie aux info-stealers
Ces incidents survenus entre novembre et mi-décembre 2022 ont un point commun : ils ont tous commencé par un détournement de compte utilisateur permettant à accéder à distance à des ressources du système d’information. Un détournement rendu possible par le vol d’identifiants à l’aide de maliciels spécialisés : les info-stealers, aussi appelés voleurs d’informations ou dérobeurs de mots de passe.
Les équipes de Sekoia.io mènent, depuis plusieurs mois, un travail d’enquête poussé sur ces logiciels malveillants spécialisés. En avril 2022, ils se penchaient sur l’un d’entre eux, Mars Stealer. Et d’en résumer les capacités : « Mars Stealer est capable de collecter des données de plusieurs navigateurs (mots de passe, cookies, cartes de crédit, etc.), voler les informations d’identification des plugins crypto, des portefeuilles crypto et des plugins 2FA, récupérer des fichiers, [réaliser une] empreinte digitale de l’hôte infecté ». Mars Stealer n’est pas seul et partage son code « avec d’autres voleurs d’informations dont Arkei, Oski et Vidar ». À cela s’ajoutent notamment Racoon, Redline, ou encore Amadey, pour ne citer qu’eux.
Selon nos informations, plus d’un millier de détections de stealers dans l’enseignement supérieur ont été signalées entre novembre et mi-décembre. Une situation qualifiée d’inquiétante au ministère de l’Enseignement supérieur et de la Recherche qui a justifié l’activation, début décembre, de la cellule opérationnelle de crise cyber (COCC) embarquant notamment l’Agence nationale de la sécurité des systèmes d’information (Anssi) et le CERT-Renater.
D’où viennent ces dérobeurs de mots de passe ?
Ces info-stealers sont très notablement cachés dans des logiciels pirates, dits crackés. Fin août 2022, Zscaler analysait l’approche des acteurs distribuant des infostealers : « puisque l’obtention et l’utilisation de logiciels piratés sont interdites par la loi, de nombreuses personnes adoptant ce type de comportement ne font pas attention à la source de leur téléchargement ». Et sont donc promptes à se faire piéger avec un infostealer.
Quelques jours plus tard, Cyware soulignait à son tour le phénomène, faisant état de campagnes d’empoisonnement de SEO et de malvertising – détournement publicitaire malveillant – pour promouvoir de vrais-faux sites distribuant des logiciels piratés, des cracks et autres générateurs de numéros de série, mais aussi et surtout des infostealers. Le tout en misant sur des archives compressées suffisamment volumineuses et protégées par mot de passe pour échapper à l’analyse par les outils de protection des postes de travail.
C’est là, notamment, qu’interviennent les traffers, des spécialistes de la génération de trafic, ou plutôt de la redirection d’internautes vers des contenus malveillants. Selon les équipes de Sekoia.io, ces traffers « monétisent le trafic vers ces opérateurs de botnets qui ont l’intention de compromettre les utilisateurs soit à grande échelle, soit de manière spécifique à une région ou à un système d’exploitation. […] En d’autres termes, l’activité des trafiquants est une forme de génération de prospects ».
Et justement, un nombre croissant de traffers « rejoint des équipes pour distribuer des maliciels de vol d’information », des infostealers. Autrement dit : ils se mettent indirectement au service de l’alimentation du marché des courtiers en accès initiaux. De quoi, ensuite, alimenter l’économie des ransomwares. Et cela avec une barrière à l’entrée particulièrement peu élevée.
Des menaces régulières
Selon nos informations, les détections survenues dans les établissements français ces derniers mois ont majoritairement concerné des réseaux d’enseignement et des réseaux WiFi où sont connectés des ordinateurs d’étudiants. Des machines non administrées, non supervisées, mais à partir desquelles des utilisateurs légitimes accèdent à des ressources du système d’information et peuvent contenir des données d’authentification.
En soi, la situation n’est pas inédite pour le monde de l’enseignement, qui doit composer avec ce contexte comparable à du BYOD à très grande échelle. Des comptes de messagerie électronique des académies de l’Hexagone ont été détournés par les opérateurs d’Emotet à l’automne 2020. En mars 2021, l’alerte avait été lancée aux compromissions avec IcedID.
Il y a un an, le fonctionnaire de sécurité des systèmes d’information (FSSI) de l’enseignement supérieur, de la recherche et de l’innovation, alertait de « tentatives de compromission particulièrement ciblées vers notre communauté », évoquant une « menace très active ». Le scénario était toutefois là différent : selon nos informations, tout serait alors parti d’une compromission ayant visé une instance, au sein d’une université, du système d’authentification du portail d’accès mutualisé de la Fédération Éducation-Recherche, qui offre des mécanismes de SSO (Single Sign-On, ou authentification unique) jusqu’à des applications hébergées en dehors des organismes membres de la fédération.
Des vacances de Noël sous le signe de la vigilance
Face à la menace des intrusions à renfort d’identifiants compromis, il a été demandé aux recteurs d’académies et directeurs d’établissements d’enseignement supérieur et de recherche, notamment, d’assurer durant les vacances scolaires de Noël une permanence des équipes informatiques « afin de prendre en compte et traiter » en moins de deux heures tout signalement transmis par les services du haut fonctionnaire de défense et de sécurité du ministère de l’Éducation nationale, de l’Enseignement supérieur et de la Recherche.
En outre, il a été recommandé de resensibiliser, dans les établissements, « sur les conséquences majeures potentielles [pour les utilisateurs eux-mêmes comme les établissements] dans l’usage de logiciels téléchargés depuis des sources non fiables ».
Outre les alertes et les marqueurs techniques fournis par les autorités, il est également recommandé de s’appuyer sur les données collectées et distribuées par Abuse.ch pour bloquer les flux sortants liés à des menaces déjà identifiées, à commencer par des serveurs de commande et de contrôle de maliciels.
Les recommandations sont très loin de s’arrêter à cela et recouvrent également « un ensemble d’actions techniques pour réduire la surface d’exposition aux attaques des [systèmes informatiques] exposés sur Internet ».