WEB & TECH

Cyberattaques : le Cned de nouveau ciblé dans la nuit de mercredi à jeudi


Pour l’enseignement à distance français, l’épreuve cyber se poursuit. « Tous les sites du Cned et les plateformes Ma classe à la maison sont de nouveau les cibles de cyberattaques depuis cette nuit du 7 au 8 avril 2021 », nous a confié le Centre national d’enseignement à distance jeudi matin, précisant que « les services reviennent progressivement à la normale depuis 9 h 45 (jeudi, NDLR) et toutes nos équipes sont mobilisées pour rétablir un service optimal au plus vite ».

Cyberattaque étatique ou menée par des plaisantins, ou simplement surcharge des serveurs : le mystère reste entier. Les plateformes informatiques de télé-enseignement ont subi des perturbations graves mardi 6 avril, au premier jour de la grande opération d’enseignement à distance du ministère de l’Éducation nationale, dans le cadre de la lutte contre la pandémie de Covid-19. La section cybercriminalité du parquet de Paris a immédiatement ouvert une enquête.

Pas de cyberattaque pour l’ENT et Pronote

Pour l’Environnement numérique de travail (ENT) et le logiciel Pronote, « tout le monde a déjà compris qu’il ne s’agit pas d’une cyberattaque », assure Laurent Besset, directeur cyberdéfense chez I-Tracing. « Ces services ont été victimes de leur succès quand la France entière s’est connectée dessus mardi matin », explique-t-il, évoquant des serveurs « probablement sous-dimensionnés ». « Si on veut parler de cyberattaque sur ces plateformes, alors il faut accepter que ce sont les parents et les élèves qui l’ont menée en se connectant massivement ! » ironise-t-il.

À LIRE AUSSIÉcoles fermées : une « rentrée » virtuelle et chaotique

En revanche, la plateforme « Ma classe à la maison », appuyée sur les services du Cned, aurait bien été victime d’une cyberattaque. Pour la caractériser et en identifier l’origine, les équipes de l’Agence nationale de cyberdéfense (Anssi, qui n’a pas souhaité communiquer) doivent analyser de grandes quantités de « logs », ces journaux de bord des systèmes informatiques qui recensent tous les événements, par millions. Le scénario suspecté est celui d’une attaque par déni de service distribué (DDoS), c’est-à-dire une saturation des ressources des serveurs informatiques avec des tentatives de connexion massives et simultanées. Le plus souvent, elles sont générées grâce à un botnet, un réseau d’appareils zombies infectés par un code malveillant, qui se loue sur les réseaux parallèles des darknets.

Attaque ou saturation, mêmes symptômes

« Le problème, c’est qu’une attaque par déni de service a un effet identique à celui d’un sous-dimensionnement des serveurs », explique Arnaud Lemaire, directeur technique France de F5, entreprise spécialisée dans la sécurité des applications. Même si le ministre de l’Éducation nationale, Jean-Michel Blanquer, a évoqué une « très forte attaque informatique venue de l’étranger », il est donc trop tôt pour savoir s’il s’agit vraiment d’une agression étrangère ou plus simplement de l’œuvre de plaisantins.

À LIRE AUSSIFermeture des écoles : comment Macron a changé d’avis

Cette dernière hypothèse est plausible, car il est relativement facile de lancer une cyberattaque. « Pour utiliser un botnet, il peut y avoir des prix d’entrée à quelques centaines d’euros », assure Arnaud Lemaire. Surtout que la mise hors service d’une plateforme ne nécessite pas toujours de tout saturer : « Il suffit parfois de cibler un point faible de l’application, par exemple l’attaquant va viser le champ de recherche d’un portail de réservation », précise encore l’expert. Mardi matin, le service était déjà très sollicité par des requêtes légitimes, et « il ne manquait peut-être pas grand-chose pour le saturer avec une cyberattaque », assure Laurent Besset, selon lequel « il y a vraisemblablement eu un acte malveillant au même moment ».

Ne pas « taper sur le ministère »

« C’est assez facile de taper sur le ministère, en disant que cela fait un an qu’on est confinés, qu’on devrait être préparés, mais beaucoup de gens ne mesurent pas la difficulté que cela représente de construire et de mettre en place un service en ligne pour une telle population de plusieurs millions d’accédants potentiels », tempère Laurent Besset. « Aucun service français ne draine autant de connexions ! » assure-t-il, et « quand on doit monter ce type de service, on essaie d’estimer le trafic qu’il y aura et d’associer des ressources techniques. On prend un peu de marge, mais il faut trouver un équilibre avec le coût, car cette marge a un prix », explique-t-il encore. Selon lui, « les ressources ont probablement été revues à la hausse depuis mardi, mais s’ils avaient surdimensionné les ressources sans connaître la demande, cela aurait coûté très cher ».

Pour Arnaud Lemaire, il faut rester très attentif, car « les attaques par déni de service sont aussi utilisées pour en masquer d’autres : l’attaquant crée des problèmes de sécurité pour occuper tout le monde, et pendant ce temps, il fait passer une attaque ciblée bien plus dangereuse : c’est comme un écran de fumée », prévient-il. Les équipes de l’Anssi ont encore du travail…



Lire l’article au complet sur www.lepoint.fr