☕️ Des données d’élèves exposées après une cyberattaque visant ÉduC…

Next INpact rapporte une information importante : ☕️ Des données d’élèves exposées après une cyberattaque visant ÉduConnect.

Des données personnelles ont pu être volées durant une cyberattaque qui s’est déroulée en décembre dernier au sein du service de gestion des comptes des élèves. Des informations comme les prénoms, noms, identifiants ÉduConnect, établissements et classes, ainsi que les adresses email (si elles ont pu être renseignées) d’élèves sont en fuite. Le ministère de l’Éducation nationale a déposé plainte, et saisi l’ANSSI et la CNIL. 

Illustration : Flock

Les auteurs de la cyberattaque ont exploité une faille suite à l’usurpation d’identité d’un personnel habilité. Ils ont de la sorte obtenu un accès frauduleux à ce service annexe à ÉduConnect, le système d’authentification pour les élèves (collège et lycée) et les parents. Il leur permet d’accéder à l’ensemble des services numériques scolaires sans avoir à multiplier les identifiants.

Un point d’entrée unique bien pratique donc, mais aussi très tentant pour les pirates. La faille a pu être corrigée par les services du ministère, mais pas avant que le ou les malandrins puissent se servir dans les serveurs. L’accès au service a pu être immédiatement suspendu, tandis qu’un travail de renforcement de la sécurité s’est engagé « par un mécanisme de double authentification ».

L’enquête a déterminé que l’attaquant a pu télécharger des données concernant des élèves « au-delà de ceux de l’établissement initialement visé ». Le nombre exact de victimes reste encore à évaluer.

Le ministère précise que les comptes ÉduConnect activés par les élèves et leurs parents ou responsables « au moment de l’attaque » ne sont pas compromis. Ces comptes peuvent continuer à être utilisés « en toute sécurité ». Les autorités ont procédé à une réinitialisation complète des codes d’accès pour les comptes qui n’avaient pas été activés au moment de la cyberattaque. Certains d’entre eux ont pu être compromis avec l’utilisation du code d’activation. Le ministère reste « pleinement mobilisé » pour garantir la sécurité des systèmes d’information « et accompagner les familles et les établissements concernés. »

Ce n’est malheureusement pas la première fois que des données scolaires sont en fuite. Le mois dernier, une intrusion dans le portail RH Compas a exposé les informations de 243 000 agents et stagiaires.