Pour les cybercriminels, tous les moyens sont bons pour se faire de l’argent. Actuellement, les établissements scolaires constituent l’une de leurs principales cibles pour mener des attaques de ransomware ou de phishing.
Le Centre de partage et d’analyse de l’information multi-états (MS-ISAC), une division de la Sécurité intérieure des États-Unis, a lancé une alerte le 4 décembre 2017 à tous les districts scolaires de la maternelle à la 12e année (K12).
Voici comment se présente le résumé de l’alerte :
« Les attaquants utilisent des attaques de phishing pour capturer les identifiants de connexion des employés de l’école qui accèdent à leurs comptes de dépôt direct.
Ils utilisent ensuite les identifiants de connexion qu’ils ont capturés pour modifier les informations de dépôt direct et charger des cartes prépayées qu’ils peuvent utiliser à leur tour. »
Les cybercriminels lancent leurs attaques de la façon suivante :
- Ils envoient des emails de phishing aux employés du district scolaire. Le message contient un document Microsoft Office qui capture l’adresse email du destinataire et envoie d’autres messages de phishing à ses contacts. Le malware est lancé via la fonction de prévisualisation de Microsoft Office et ne nécessite pas que l’utilisateur ouvre le document.
- L’email usurpe l’identité du service de la paie et informe le personnel qu’il met à jour le portail de paiement en ligne. Un lien est intégré au message afin que les membres du personnel puissent mettre à jour leurs informations de dépôt direct et leurs justificatifs d’identité. Le message inclut également le logo de l’établissement scolaire pour qu’il ait l’air authentique.
- Le lien redirige les utilisateurs vers un domaine tiers géré par les pirates informatiques qui saisissent ensuite les données d’identification de l’utilisateur, après quoi, l’email s’efface automatiquement.
- Les cybercriminels utilisent ensuite les informations capturées pour se connecter aux comptes compromis et rediriger les paiements vers une série de cartes prépayées.
Patch de mise à jour contre les attaques de phishing visant les écoles
Cette nouvelle forme d’attaque présente un avantage et un inconvénient. L’avantage est qu’elle peut être atténuée si votre logiciel Microsoft Office est entièrement patché, car la menace tire parti d’une vulnérabilité dans la fonction d’aperçu de Microsoft Office.
Si vous gardez vos systèmes entièrement patchés, vous pouvez donc contrer plus efficacement la majorité des cyberattaques.
L’inconvénient est que les districts scolaires sont des cibles faciles.
Souvent, le personnel informatique est peu nombreux ; ou bien, il est trop occupé par les tickets, le dépannage et la maintenance ; ou encore parce qu’il n’a pas le temps ni la base de connaissances nécessaire pour garantir la cybersécurité.
Selon la revue académique « The Journal », il faut en moyenne 221 jours aux K12 pour identifier une brèche et 83 jours pour la contenir, alors qu’il faut respectivement 155 et 34 jours pour les professionnels dans le secteur financier.
Force est de constater que les districts scolaires disposent souvent de plus d’informations sur les personnes que la plupart des entreprises.
Les pirates informatiques ciblent les districts scolaires pour pénétrer dans leurs systèmes d’information afin de voler les renseignements personnels des élèves et du personnel, comme les numéros de sécurité sociale et les renseignements fiscaux.
Dans certains cas, il peut s’écouler des années avant que les victimes apprennent que leurs renseignements personnels ont été compromis.
Les données sur les adolescents sont particulièrement attrayantes pour les pirates informatiques. C’est pour cette raison qu’ils sont assez patients pour attendre que ces élèves commencent à établir leur crédit plus tard dans leur vie.
Un certain nombre d’écoles ont déjà été la cible d’attaques de ransomware. Ces établissements constituent d’excellentes cibles puisque la plupart d’entre eux sont complètement dépendantes de la technologie pour l’enseignement en classe.
Les écoles doivent même s’inquiéter des attaques d’élèves qui tentent de modifier les notes ; de voler des tests ou de mettre en œuvre des attaques DDoS afin de perturber les tests en ligne.
Puisque les districts scolaires sont considérés comme des cibles faciles à atteindre, ils sont parfois utilisés comme moyen de s’introduire dans d’autres institutions gouvernementales.
En octobre dernier, un groupe de pirates informatiques a pénétré dans quatre districts scolaires de Floride pour tenter de pénétrer dans d’autres systèmes gouvernementaux sensibles, notamment les systèmes de vote de l’État.
Compte tenu des failles dans la sécurité web des districts scolaires, il n’est pas surprenant que 445 incidents de sécurité aient eu lieu dans le secteur de l’éducation. C’est ce que le rapport d’enquête de Verizon sur les atteintes à la sécurité des données a rapporté l’an dernier.
Les résultats d’une récente enquête menée par le Consortium for School Networking (SoSN) et l’Education Week Research Center sont aussi surprenants.
Selon ledit rapport, seulement 15 % des responsables dans établissements scolaires ont déclaré avoir mis en place un plan de cybersécurité dans leur propre district.
Voici quelques-uns des résultats :
- 37 % ont affirmé que les escroqueries de phishing constituent une menace importante, tandis que 11 % les ont identifiées comme une menace très importante
- 27 % ont déclaré que les malwares et les virus constituent une menace importante, tandis que 6 % les ont identifiés comme une menace très importante
- 20 % considèrent les ransomwares comme une menace importante, tandis que 7 % les ont identifiés comme très importants
- 12 % des répondants considèrent les attaques DDoS comme une menace importante, tandis que 6 % les ont identifiées comme une menace très importante
- 10 % affirment que le vol d’identité constitue une menace importante, tandis que 6 % l’ont qualifié de menace très importante.
Les recommandations du MS-ISAC pour contrer le phishing visant les écoles
- Utiliser une authentification à deux facteurs pour l’accès aux sites web de dépôt direct des employés
- Les environnements Microsoft Office ne doivent pas être configurés pour une connexion mobile sans vérification du système ou de l’adresse IP
- Tapez manuellement l’adresse du site web de votre compte de dépôt direct. Ne vous fiez pas aux hyperliens intégrés dans les emails non sollicités qui prétendent provenir de votre site web de dépôt direct
- Les changements apportés au site web de dépôt direct pour les employés devraient comprendre une question de contestation
- Ne fournissez pas de renseignements personnels ou financiers en réponse à une demande par email
Les districts scolaires ont reconnu la valeur de l’intégration de la technologie dans l’apprentissage. De la même manière, ils doivent aussi reconnaître les risques que peuvent représenter les vulnérabilités du monde numérique.
Le fait de ne pas sécuriser chaque appareil qui se connecte au réseau de l’école offre l’ultime espace ouvert aux pirates informatiques. Alors, ne les laissez pas franchir la porte d’entrée de votre établissement scolaire.
Vous êtes un professionnel de l’informatique dans une école ? Vous souhaitez vous assurer que les données et les périphériques sensibles des élèves et du personnel sont protégés ? Parlez à un spécialiste ou envoyez-nous un email à info@titanhq.com pour toute question.