Une erreur informatique a été commise il y a 12 jours par un service de l'Académie Orléans -Tours. Des parents d'élèves ont reçu un mail comportant les adresses numériques de près de 34 000 collégiens du Centre-val de Loire. Une erreur qui tombe mal en pleine campagne de sensibilisation des jeunes à l'hameçonnage via la campagne Cactus. L'un de ces parents témoigne anonymement auprès de France 3.
C'est sans doute une erreur humaine mais une erreur qui tombe mal en pleine campagne de sensibilisation des jeunes à l'hameçonnage ou phishing, première menace cyber en France.
"J'ai reçu ce mail le 22 mai en fin de matinée d'un expéditeur qui est johndo@moncollege dans lequel il n'y avait pas de sujet. En l'ouvrant, je me suis rendu compte que c'était une liste de mails de collégiens. Il y en a exactement 33 845 lignes", raconte un parent d'une collégienne du Loiret qui a donné l'alerte.
Ce mail a été envoyé via l'espace numérique de travail (ENT). "Quand j'ai ouvert ce mail, j'ai été surpris. J'ai cru que l'ENT avait été hacké. Le principal a fait remonter au rectorat. Comme je n'avais pas de retour, j'ai contacté le site pour signaler une cybermalveillance qui a transmis au rectorat."
Le lendemain, le papa reçoit le mail qui correspondait à la campagne de faux mailings du rectorat pour sensibiliser les jeunes à la cybermalveillance. Mail qui a le même expéditeur que la veille. "Le mail disait : j'ai piraté l'ENT de ta classe pour t'envoyer plein de jeux hackés et de logiciels pour tricher. Va sur ce site pour télécharger gratuitement".
L'homme ouvre le mail dans un "bac à sable", un espace protégé pour éviter de prendre des risques. "Quand on l'ouvre, on tombe sur le site de cybermalveillance qui parle de l'opération Cactus. Une opération de sensibilisation sur l'hameçonnage."
Le papa est désarçonné. Il ne comprend pas pourquoi la veille, il a reçu un mail qui donne toutes les adresses mail pour faciliter l'hameçonnage.
N'ayant pas de retour, il appelle le principal le mardi 28 mai. Il l'alerte sur le fait que cette liste permet selon lui " de trouver les profils Facebook ou Instagram des élèves, elles servent aussi d'identifiant pour l'ENT. On peut donc se procurer des données personnelles des élèves. "
C'est ce manque d'informations que je trouve le plus grave. On ne peut pas savoir qui a reçu ce mail. Que la fuite informatique ait eu lieu suite à une erreur de manipulation, c'est une chose mais il faut aussi penser à la sécurité des élèves. Leurs noms et leurs prénoms ont été divulgués.
Un parent d'élève
Le parent d'élève ne veut pas dramatiser, mais il déplore le manque de communication de l'Éducation nationale.
Une fuite de données en pleine campagne contre la cybermalveillance
S'il s'agit certainement d'une erreur humaine, cette fuite de données tombe très mal pour les services de l'Académie Orléans-Tours.
Elle intervient en pleine campagne de sensibilisation des jeunes aux risques d'hameçonnage : l'opération Cactus et un appel à la plus grande vigilance.
"Ces derniers mois, les établissements scolaires ont été victimes d’une série d’attaques particulièrement malveillantes, via les espaces numériques de travail (ENT) des élèves. Ces actions cybercriminelles ont ainsi entraîné une atmosphère anxiogène et une perturbation des enseignements, conduisant la ministre à décider une fermeture temporaire des ENT, fin mars 2024", expliquait par communiqué le Ministère de l'Education nationale et de la Jeunesse le 28 mai 2024.
Les jeunes de 11 à 18 ans représentent une cible particulièrement exposée aux risques cyber. Multi-équipés, ils sont également ultra-connectés, et font souvent preuve d’un excès de confiance, à tort, dans leurs usages numériques et les pratiques cyber associées.
"Face à ce constat, la section de lutte contre la cybercriminalité du Parquet de Paris et de la Juridiction nationale de la lutte contre la criminalité organisée (JUNALCO) a proposé de mener une campagne de sensibilisation commune à destination des plus jeunes. L’objectif de cette action est principalement de sensibiliser et de responsabiliser les élèves en marquant leur esprit avec des messages forts dans une vidéo courte, format auquel ils sont particulièrement sensibles. Il s’agit de les inciter à la prudence pour ne pas s’exposer à être victime, et à les avertir du risque pénal encouru en tant qu’auteur," annonce le Ministère de l'Éducation nationale et de la Jeunesse.
C'est sans compter les erreurs humaines qui peuvent être commises. Comme la fuite de près de 34 000 adresses mails de collégiens de l'Académie d'Orléans-Tours.
L'institution tient à rassurer les familles car aucune conséquence néfaste n’a été enregistrée après cet incident.
Académie Orléans-Tours
En fin d'après-midi ce lundi 3 juin, le Rectorat a répondu par communiqué à notre sollicitation : "Cette erreur de manipulation, lors de l’envoi de messages destinés à appeler les collégiens à la vigilance face aux tentatives de phishing, n’a eu aucune incidence pour les comptes des élèves. Aucun compte n’a été piraté en raison d’une double sécurité mise en place pour accéder aux Espaces Numériques de Travail".
Le rectorat explique que l’incident a été déclaré à la CNIL et au ministère de l’Education Nationale. L'institution tient à rassurer les familles car "aucune conséquence néfaste n’a été enregistrée après cet incident."
