Ah ! La jeunesse, ce moment incroyable de la vie où nous nous sentons invincibles. C’est une époque où nous sommes enclins à prendre plus de risques et où nous ne sommes pas encore devenus sceptiques à l’égard du monde. Par conséquent, nous sommes plus confiants et moins méfiants que les personnes âgées. Ces caractéristiques rendent les jeunes moins surveillés et moins vulnérables aux menaces cybercriminelles.
La naïveté des élèves de tous les niveaux fait d’eux des cibles idéales.
De nombreux systèmes scolaires aux États-Unis mettent en œuvre des programmes individuels, de sorte que chaque élève du secondaire dispose d’un ordinateur, généralement un ordinateur portable. Dans de nombreux cas, ces programmes s’adressent aux élèves des écoles intermédiaires. Pour la plupart d’entre eux, il s’agit de leur premier appareil informatique personnel mobile et, pour certains, du premier ordinateur mobile du ménage. Pour cette raison, les parents de ces élèves ne peuvent pas transmettre les protocoles et procédures de sécurité de base concernant ces dispositifs. Pour ces étudiants, les menaces de cybersécurité et les malwares sont des concepts non pertinents ou inconnus et leur naïveté fait d’eux des cibles idéales.
Questions de confidentialité autour du partage de fichiers et des sites de Torrents
Comme nous le savons tous, le partage de fichiers est toujours très prisé par les adolescents d’aujourd’hui. Ces derniers se tournent volontiers vers les sites d’hébergement de fichiers (cyberlocker) et les sites de Torrents pour télécharger des films et de la musique. À titre d’exemple, jusqu’à sa fermeture récente par les autorités, en juin 2016, KickassTorrents était le 69e site le plus populaire sur Internet et attirait plus de 50 millions de visiteurs par mois.
Bien sûr, les sites de Torrents exposent les utilisateurs aux risques de divulgation des données confidentielles en exposant leurs adresses IP et en créant des connexions ouvertes à des exploits malveillants. Les adolescents sont également plus disposés à télécharger les dernières versions des jeux tendance, sans se soucier des éventuelles attaques de chevaux de Troie et des enregistreurs de clés installées dans des sites anonymes.
Contourner le filtre web des écoles
De nombreux étudiants de la maternelle à la 12e année se lancent quotidiennement dans une mission consistant à contourner le filtre web de l’école. Il existe un jeu de chat et de souris entre les étudiants et les membres du personnel informatique, car les étudiants partagent facilement entre eux les récents fichiers exécutables (proxy.exe) publics tels que Psiphon et UltraSurf.
Bien que la plupart des systèmes scolaires disposent d’une solution de filtrage web, nombre d’entre elles sont incapables de filtrer les sites miroirs, en particulier ceux à l’échelle de ces grands réseaux proxy. En contournant la protection totale du filtre, les étudiants font de leurs ordinateurs des cibles de choix pour les ransomwares et d’autres types de malwares.
Pourquoi un lycée ou un établissement d’enseignement supérieur nécessite-t-il une attention particulière ?
Pendant leurs études secondaires, les élèves utilisent leurs appareils informatiques dans un environnement relativement sûr et protégé. Bien que les étudiants recherchent constamment des failles de sécurité pour obtenir des proxies et des applications de partage de fichiers, les menaces potentielles sont contrôlées. Mais ensuite, ils vont à l’université et vivent dans un environnement qui est presque exactement le contraire.
Ce qui différencie réellement les établissements d’enseignement supérieur et le réseau d’entreprise est la nature du campus et du réseau de l’Université. Composée de nombreux réseaux, parfois dispersés, l’infrastructure réseau des universités constitue un cauchemar pour les professionnels de la sécurité informatique d’entreprise. Ce n’est pas dû à un manque de prévoyance ou d’ignorance en matière de sécurité informatique sur le campus (c’est loin d’être le cas !). En effet, l’environnement éducatif et l’ouverture du campus au grand public signifient qu’il n’y a aucune infrastructure centrée sur la sécurité étroite telle qu’on voit dans les réseaux d’entreprise.
Dans les établissements d’enseignement, il est courant de voir des flux réguliers d’étudiants de premier cycle ; des chercheurs et des diplômés qui collaborent et partagent des données à l’échelle mondiale ; des universitaires en visite ; des pratiques qui permettent aux utilisateurs d’apporter leurs propres appareils pour se connecter au réseau, etc. Pourtant, dans de tels environnements, le concept de sécurité des données rigoureuse a toujours été considéré comme inutile, voire indésirable. Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises. Les communautés de la maternelle à la 12e année ont été lentes à adopter des normes de sécurité strictes.
L’enseignement supérieur est le centre de partage d’idées et de collaboration avec à peu près n’importe qui dans le monde. Les réseaux de ces intuitions sont donc beaucoup moins gardés. C’est probablement la raison pour laquelle — selon l’organisation DataLossDB qui suit les atteintes à la cybersécurité dans le monde — 9 % de toutes les atteintes à la sécurité informatique aux États-Unis visaient les universités.
Alors que de nombreux étudiants continuent à participer ouvertement à des sites de partage et de télécharger des fichiers et des applications « gratuites » contenant des chevaux de Troie et d’autres malwares, les étudiants sont confrontés à un défi unique et assez important concernant la sécurité de leurs appareils. Lorsque dix à cinquante mille élèves sont rassemblés dans une même zone, les places sont limitées. Qu’il s’agisse du dortoir, de la bibliothèque du collège, du centre étudiant ou du café local, les étudiants travaillent dans des environnements très bondés. Dans ces types de lieux encombrés, laisser un ordinateur sans surveillance, ne serait-ce que quelques minutes, peut les exposer à de nombreuses brèches physiques, y compris le vol et les violations par le biais des clés USB. Le shoulder surfing (le fait de regarder par-dessus l’épaule) est aussi une menace constante dans les salles bondées et pleines d’activité. La mise en œuvre d’écrans protégés par mot de passe et de bloqueurs USB devrait être une mesure de protection obligatoire dans ces types d’environnements.
Attaques par des malwares diffusées par les réseaux sociaux
De nos jours, les étudiants n’accordent pas autant d’importance aux e-mails que leurs parents, mais la messagerie électronique est souvent la passerelle vers presque tous les autres comptes qu’un utilisateur peut avoir. Lorsqu’une personne perd ou oublie un mot de passe d’un compte, c’est son e-mail qui est utilisé pour pouvoir le réinitialiser. Alors que de nombreux professionnels utilisent maintenant l’authentification multifactorielle pour mieux protéger leurs comptes de messagerie, de nombreux étudiants n’utilisent leur messagerie que de façon limitée, par exemple pour communiquer avec leurs instituteurs, et ils le font avec moins de prudence.
Bien que les étudiants ne soient pas aussi vulnérables aux attaques de phishing par e-mail puisqu’ils n’utilisent pas la messagerie électronique de la même manière que les utilisateurs plus âgés, ils sont très exposés aux attaques de malwares livrés par les sites de médias sociaux. En juin 2016, une escroquerie mondiale par phishing sur Facebook a été découverte. Des messages d’amis malhonnêtes ont été transmis par le biais de Facebook Messenger. L’attaque touchait une victime toutes les 20 secondes. Récemment, une application malveillante appelée Instacare a également incité des utilisateurs Instagram peu méfiants à fournir les mots de passe de leur compte.
La vérité, c’est qu’en matière de cybersécurité, les étudiants ont encore beaucoup à apprendre.
Attaques dirigées par des ordinateurs compromis dans des universités américaines
Les administrateurs informatiques des écoles ou des districts scolaires doivent s’assurer que leurs machines sont propres. Ils doivent également éduquer les élèves, les sensibiliser à propos des politiques qui s’appliquent à l’ensemble de l’institution, notamment ceux qui possèdent et utilisent les ressources informatiques. Les données personnelles et financières stockées dans les systèmes de données universitaires sont d’une grande valeur pour les cybercriminels. Lorsque les systèmes informatiques du New York Times ont été piratés en 2013, l’enquête subséquente a révélé que les attaques avaient été dirigées par des ordinateurs compromis dans des universités américaines. Les données commerciales, quant à elles, peuvent intéresser les espions d’entreprises, tandis que les données liées à la recherche scientifique ou aux subventions peuvent être ciblées par des groupes soutenus par un État-nation.
La sécurité informatique est un compromis
Il y a un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place. La sécurité dans toutes les organisations, commerciales ou académiques, est un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier qui pourraient être encourus en défense en cas d’atteinte à la protection des données. Cela peut être complexe et nécessiter une analyse détaillée des risques, outre l’établissement de priorités de gestion et des mesures de sécurité connexes. En réalité, c’est une approche qui commence à être adoptée par les réseaux d’entreprise.
Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’établissement, des élèves et du personnel sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.