Depuis mercredi, près de 130 collèges et lycées ont été menacés d'attentats. Ces menaces ont été proférées via les espaces numériques de travail des établissements (ENT), consultés par les élèves, leurs parents, mais aussi le personnel. Ces plateformes sont désormais bloquées et plusieurs enquêtes ont été ouvertes.

Six jours après que les premières menaces d'attentats ont été envoyées sur les espaces numériques de travail (ENT) de collèges et lycées franciliens avec une vidéo de décapitation, le ou les auteurs n'ont pas été identifiés. Et alors que jeudi midi, le ministère de l'Éducation nationale faisait état d'une quarantaine d'établissements visés, ce nombre a désormais triplé.

"Au total, près de 130 établissements ont été ciblés par des actes malveillants visant les environnements numériques de travail depuis la semaine dernière. Ces situations ont toutes été signalées à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et à l'autorité judiciaire", révèle-t-il ce lundi midi dans un communiqué.

Plusieurs départements visés

Dans le détail, le ministère précise que les premières menaces du type envoyées jeudi et "comportant une vidéo très violente" ont ciblé 74 lycées via la messagerie de l’ENT de la région Ile-de-France, qui a ouvert une cellule de crise et décidé de l’arrêt de l’ENT.

Il ajoute que vendredi, le phénomène s'est amplifié avec des messages d'alerte à la bombe, mais "sans la vidéo", ont été envoyés à l’ENT départemental de Seine-et-Marne, visant cette fois 22 collèges. Le ministère indique qu'une cellule de crise départementale et l'arrêt de la messagerie de l’ENT ont été ordonnés. Ce même jour, la région Alsace (académie de Strasbourg) a détecté une importante campagne d’hameçonnage (phishing) et des messages de menaces pour 11 collèges et lycées. La messagerie externe de l’ENT a été stoppée.

Samedi, c'est la région des Hauts-de-France, regroupant les académies d’Amiens et Lille, qui a été visée. Celle-ci a en effet signalé des menaces via l’ENT régional pour 18 collèges et lycées.

Et ce lundi, toujours selon le ministère, les menaces se poursuivent. "Des envois de menaces signalés via l’ENT CD54 (conseil départemental de Meurthe-et-Moselle). La décision a été prise par la région Grand Est et la Région académique de stopper la messagerie ENT et de lancer une campagne de réinitialisation de comptes d’accès", détaille-t-il.

Usurpations d'identité

Selon plusieurs sources, les messages ont été envoyés la plupart du temps avec le nom d'un élève de l'établissement visé, et dont l'identité a été usurpée. "Les enquêtes judiciaires d’une précédente vague d’actes malveillants datant de 2023 ont montré que les usurpations de comptes d’accès des élèves ou des familles étaient liés à des logiciels malveillants dérobeurs de mots de passes ("stealer"), très largement diffusés dans le monde depuis 2022, implantés dans des logiciels contrefaits ("crackés" ou détournés de leur usage)", explique le ministère de l'Éducation dans son communiqué.

"Au stade actuel des connaissances, l’hypothèse la plus probable est constituée par la publication sur internet de nouvelles bases de données d’identifiants volés, qui contiennent, entre autres, des identifiants d’accès à des ENT. Des individus mal intentionnés peuvent ainsi disposer, gratuitement ou pour quelques euros, d’identifiants volés leur permettant d’envoyer des menaces. Dans une moindre mesure, une partie des identifiants volés peuvent aussi être issus de campagnes d’hameçonnage réussies", précise-t-il.

Selon le ministère, il n’a pas été relevé à ce stade dans ces ENT d’intrusions par exploitation de failles ou de vulnérabilité de sécurité.

Les procédures centralisées

Depuis mercredi, plusieurs enquêtes ont été ouvertes par différents parquets.

Contacté par TF1info ce lundi, le parquet de Paris fait savoir que sa section de lutte contre la cybercriminalité "centralise à ce jour les procédures pour piratage des ENT commis au préjudice d’une centaine de lycéens franciliens, mais seules quelques plaintes ont été reçues pour le moment".

"Les parquets communiquent toutefois afin de permettre une centralisation des procédures si des recoupements étaient avérés", ajoute-t-il.