Les écoles ne sont pas épargnées par les cybercriminels. Ce week-end, des informations sensibles appartenant à des étudiants californiens ont fuité en ligne, la faute, une nouvelle fois, à un ransomware.
Après avoir mené une attaque par rançongiciel avec succès, un gang de pirates informatiques a commencé à mettre en ligne, samedi, des données personnelles et autres informations sensibles sur des élèves et étudiants du Los Angeles Unified School District (LAUSD), qui est le second plus grand district scolaire public américain, comptant environ 700 000 personnes. Le responsable du LAUSD, Alberto M.Carvalho, a confirmé la fuite ce dimanche dans un communiqué. Un acte loin d'être isolé, qui fait des établissements scolaires et universitaires, à l'instar des hôpitaux, des cibles de choix pour les hackers.
Un groupe qui fait des dégâts et amasse des données hautement sensibles
« Malheureusement, comme prévu, des données ont été récemment publiées par une organisation criminelle », a reconnu le LAUST dimanche. L'attaque fut lancée au début du mois de septembre, lors du week-end de la fête du Travail. Tous les signes ont alors rapidement pointé vers un groupe, Vice Society, spécialisé notamment dans la double extorsion. Elle consiste à exfiltrer les données, puis à menacer de les rendre publiques.
S'il est réputé discret, le groupe n'a pas hésité à revendiquer neuf piratages d'écoles américaines cette année, tous par ransomware. Et il n'épargne rien, s'attaquant à des établissements allant du 1st Grade au 12th Grade, c'est-à-dire de l'école primaire au lycée. Mais il a fait des dizaines d'autres victimes par ailleurs, et a même fait l'objet d'un signalement de l'ANSSI américaine, (la Cybersecurity and Infrastructure Security Agency ou CISA) le 6 septembre dernier.
Le 22 septembre 2022, soit environ deux semaines après l'attaque, Vice Society a émis une demande de rançon au district scolaire. Et si aucune confirmation officielle n'a été fournie, les dossiers juridiques, des documents commerciaux et même certaines évaluations psychologiques d'élèves et étudiants figureraient parmi les documents volés par les cybercriminels. On parle donc d'informations hautement sensibles. D'autres données, comme des numéros de sécurité sociale, des informations rattachées au passeport et d'autres documents estampillés « secrets et confidentiels » seraient aussi compris dans le lot, selon les médias américains.
Une répétition des attaques qui inquiète
Le district scolaire a, semble-t-il, pour l'instant suivi les recommandations des autorités cyber américaines, à savoir refuser de payer la rançon exigée par les hackers, dont on ignore le montant d'ailleurs. L'affirmation publique du refus de payer a inévitablement précipité la publication de certaines de ces données sur le dark web, deux jours même avant la date limite initiale de paiement posée par les pirates. Toujours est-il que les hackers menacent désormais de publier les fichiers récoltés après le piratage, et ce, d'ici la fin de la semaine.
Ce hacking monstre dont est victime le Los Angeles Unified School District n'est pas sans rappeler le ransomware qui a frappé le Sierra College, vaste établissement universitaire situé à Rocklin, déjà en Californie, qui fut plongé dans le chaos absolu le 19 mai 2021, paralysé par un rançongiciel. « Plusieurs personnes signalent des écrans de ransomware sur leurs écrans d'ordinateur pour chiffrer les données », affirmait alors le patron technologie de l'université, avant de conseiller, dans un e-mail envoyé à tout le personnel, de débrancher son ordinateur du réseau et de ne pas utiliser le système jusqu'à nouvel ordre.
Au mois d'août dernier, le Sierra College a encore été atteint par un ransomware. Même si celui-ci a eu un impact plus limité sur l'activité de l'université (deux jours de paralysie partielle), la répétition des cyberattaques inquiète. Encore une fois, l'école a refusé de payer la rançon. Elle a préféré remplacer les disques durs cryptés par les pirates et en commander 300 nouveaux dans la foulée. Coût total de l'opération : 18 700 dollars. Une facture à coup sûr bien moindre que la rançon réclamée.
Les cyberattaques contre des écoles sont particulièrement lucratives
Les cas du Sierra College et du LAUSD sont loin d'être isolés, nous le disions en introduction. Selon la société néo-zélandaise de cybersécurité Emsisoft, en 2021, 1 043 établissements scolaires et universités furent touchés par un ransomware. Mais les attaques sont encore plus importantes depuis le début de l'année. En 2022, plus de 1 735 écoles ont déjà été frappées par les cybercriminels.
Alors pourquoi attaquer des écoles ? Parce qu'il s'agit d'une activité vraiment rentable, au même titre qu'attaquer un hôpital. Et la seule façon d'endiguer ce phénomène serait de rendre les attaques moins ou plus rentables du tout. Mais « une grande partie de cela nécessite de renforcer la sécurité dans les écoles, afin qu'elles n'aient plus à payer », explique Emsisoft. Et là, c'est une autre histoire.