Incidents de cybersécurité dans les écoles américaines et britanniques
Cette semaine, des cybercriminels ont perturbé le fonctionnement de plusieurs établissements scolaires aux États-Unis et au Royaume-Uni, empêchant des enfants d’accéder à leur première journée d’école. Dans l’État de Washington, des élèves de maternelle n’ont pas pu se rendre à l’école, tandis que les étudiants de la région de Biggin Hill en Angleterre ont vu leurs systèmes informatiques suspendus pour une durée de trois semaines.
Le district scolaire de Highline Public Schools, qui dessert plus de 17 000 élèves de la maternelle au lycée dans la région de Seattle, a informé les parents et les élèves que toutes les activités scolaires prévues pour le lundi avaient été annulées. Dans un message publié sur leur site, ils ont déclaré : « Nous avons détecté une activité non autorisée sur nos systèmes technologiques et avons pris des mesures immédiates pour isoler les systèmes critiques. »
Après avoir identifié la présence d’intrus numériques sur leur réseau, le district a fait appel à des experts en cybersécurité ainsi qu’aux forces de l’ordre fédérales et étatiques pour restaurer les systèmes affectés.
Le district gère 34 établissements scolaires et emploie plus de 2 000 personnes dans les communautés de Burien, Des Moines, Normandy Park, SeaTac et White Center, dans l’État de Washington. « Nous comprenons que cela constitue une perturbation inattendue, surtout à l’approche du premier jour de maternelle pour de nombreuses familles, » a ajouté l’alerte de dimanche. « Nous reconnaissons le fardeau que cette décision impose aux familles et au personnel, mais la sécurité des élèves est notre priorité absolue, et nous ne pouvons pas avoir d’école sans ces systèmes critiques en place. »
Le district n’a pas précisé quels systèmes critiques avaient été touchés par l’intrusion, ni si l’incident était lié à un ransomware. Aucun groupe criminel n’a encore revendiqué la responsabilité de cette violation, bien que ces fermetures d’écoles surviennent après une infection par ransomware qui avait perturbé le trafic à l’aéroport international de Seattle-Tacoma fin août.
À partir de mercredi, toutes les écoles restent fermées, avec une réouverture prévue pour les élèves de la maternelle à la terminale le jeudi 12 septembre, tandis que le premier jour de la maternelle est désormais programmé pour le lundi 16 septembre.
Situation au Royaume-Uni
De l’autre côté de l’Atlantique, l’école Charles Darwin a informé les parents le 6 septembre que les « problèmes informatiques » rencontrés étaient « plus graves que prévu », en raison d’une attaque par ransomware. Cette école accueille 1 320 élèves de secondaire et de sixième à Bromley, en Angleterre.
Selon le directeur Aston Smith, l’établissement sera fermé du 9 au 11 septembre, le personnel informatique devant réinitialiser tous les appareils des enseignants et réorganiser les leçons. Les systèmes Internet, de messagerie et autres seront hors service pendant environ trois semaines. « Nous ne savons pas à ce stade quelles données ont été accessibles, mais nous devons préciser qu’il y a un potentiel d’accès à toutes les informations détenues par l’école, » a-t-il écrit.
Le groupe Black Suit, considéré comme un dérivé de l’ancien gang de ransomware Conti, a revendiqué l’attaque contre l’école Charles Darwin, affirmant avoir volé 200 Go de données, y compris des informations sur les utilisateurs, les employés, les étudiants et des données financières.
L’école a signalé la violation de sécurité au Bureau du Commissaire à l’information du Royaume-Uni et collabore avec une entreprise de cybersécurité pour mener une enquête approfondie. Smith a promis de tenir la communauté informée « régulièrement » au fur et à mesure de l’avancement de l’enquête. « Malheureusement, les cyberattaques comme celle-ci se produisent de plus en plus fréquemment, malgré les mesures de sécurité les plus récentes, » a-t-il déclaré.
Le Conseil de Tewkesbury, dans le Gloucestershire, a également été touché par une cyberattaque paralysante, mettant hors service ses systèmes et services publics. Le responsable du conseil, Alistair Cunningham, a déclaré cette semaine : « Nous n’avons aucune preuve que des données aient quitté cette organisation. Nos systèmes sont arrêtés par mesure de précaution. »
Aux États-Unis, 108 districts scolaires K-12 ont été victimes d’attaques par ransomware l’année dernière, selon les statistiques d’Emsisoft.
Analyse des attaques par ransomware
Sean Deuby, technologue principal chez Semperis, a déclaré à propos des attaques : « Il n’y a pas d’honneur parmi les gangs de ransomware qui ciblent les écoles dans l’État de Washington et au Royaume-Uni. » Il a ajouté que les écoles sont des cibles plus vulnérables en raison de leurs budgets informatiques plus restreints et de leurs ressources défensives limitées. « Attaquer juste avant le premier jour d’école pour de jeunes élèves de maternelle démontre leur immoralité. »
Ces attaques me font croire que les écoles ont été touchées par des ransomwares.
Bien que le district de Seattle n’ait pas qualifié l’incident de ransomware, Deuby a exprimé son opinion selon laquelle « lire entre les lignes de ces attaques me fait croire que les écoles ont été touchées par des ransomwares. » Un rapport récent de la société de sécurité Active Directory a révélé que 83 % des organisations interrogées avaient été ciblées par des criminels de ransomware au cours des 12 derniers mois, et 82 % des établissements d’enseignement ont déclaré avoir été des cibles.
Deuby a également noté que la plupart des écoles utilisent aujourd’hui Office 365 tout en s’appuyant sur leur système d’identité sur site, Active Directory, pour leurs utilisateurs, ce qui rend l’exploitation des vulnérabilités de Microsoft AD plus attrayante pour les criminels. « Il n’y a pas de solution miracle pour résoudre les défis de sécurité des écoles, » a-t-il ajouté, suggérant de travailler avec leurs fournisseurs informatiques pour identifier les services critiques qui sont des points de défaillance uniques.
« Si des services critiques tombent en panne, l’école s’arrête, et les bus scolaires ne circulent pas, » a-t-il noté. « Ayez un plan pour savoir quoi faire. Cela n’a pas besoin d’être parfait, mais réfléchissez dès maintenant à ce qu’il faut faire si l’e-mail disparaît ou si un portail enseignant est verrouillé. »
