La pandémie de Covid 19 a provoqué une perturbation de l’enseignement dans le monde entier, car les mesures de verrouillage à l’échelle nationale ont obligé de nombreuses écoles à fermer temporairement leurs portes. Cela a conduit à l’essor de l’apprentissage en ligne, où l’enseignement est dispensé à distance et via des plateformes numériques. L’augmentation de l’adoption des plates-formes d’apprentissage en ligne s’est également accompagnée de difficultés liées à l’exposition de ces établissements d’enseignement supérieur aux cyber-menaces telles que les attaques de logiciels de rançon et le vol de données.
Les attaques par rançon restent un problème pour de nombreux secteurs. Cependant, pour le secteur de l’éducation, elles sont devenues une grande source d’inquiétude en raison des modalités d’apprentissage à distance, car les étudiants reçoivent leur enseignement en ligne alors que de nombreuses facultés travaillent également à distance. La société de cybersécurité BlueVoyant a indiqué que les attaques par logiciels espions contre les universités du monde entier ont doublé en 2020 en raison du passage massif à l’enseignement/apprentissage en ligne.
Dans sa dernière campagne de cybersécurité sur les établissements d’enseignement supérieur, BlueVoyant a analysé 2 702 universités dans 43 pays entre janvier 2019 et septembre 2020. Le rapport a révélé que les attaques de logiciels de rançon sur les universités avaient augmenté de 100 % et que le montant moyen des rançons versées par ces établissements approchait le demi-million de dollars.
Le pic enregistré dans le nombre d’attaques de logiciels de rançon pourrait s’expliquer par les défaillances observées dans l’architecture de sécurité de ces institutions : 22% des universités disposaient de ports de bureau à distance (RDP) ouverts ou non sécurisés et 66% n’avaient pas mis en place de protocoles tels que SPF, DMARC, DKIM pour sécuriser leurs systèmes contre le phishing. Ces deux vecteurs d’attaque (RDP et Email Phishing) ont fourni aux cyber-attaquants une opportunité d’entrer dans le réseau de ces institutions et, par conséquent, un moyen de lancer des attaques de type « ransomware ».
Les victimes de ces attaques envisageront probablement de payer des centaines de milliers de dollars, la plupart en équivalent bitcoin, pour restaurer leur réseau dès que possible, car les étudiants et le personnel dépendent de la disponibilité du réseau pour leurs activités universitaires.
Le vol de données est une autre menace qui a été observée pour la période considérée, représentant environ 50 % des événements enregistrés en 2019. Un certain nombre de ces violations étaient liées aux outils d’apprentissage en ligne et aux plateformes de vidéoconférence telles que ProctorU, Chegg et Zoom. BlueVoyant a fait remarquer que les listes de qualifications de nombreux membres du personnel universitaire font l’objet d’un trafic sur la toile noire et a attribué ce phénomène à une mauvaise gestion des mots de passe, la réutilisation des mots de passe et les qualifications simples étant monnaie courante. Le rapport a également mis en évidence 200 attaques de voleurs de données parrainés par l’État, mais a également inclus une mise en garde selon laquelle les attaques étaient probablement plus nombreuses au cours de la période considérée.
En raison de l’évolution rapide de l’apprentissage en ligne, les départements informatiques des universités sont généralement surchargés et/ou préoccupés par la nécessité de s’assurer que les étudiants et le personnel disposent des outils nécessaires pour mener à bien l’apprentissage à distance et, de ce fait, ne sont pas toujours aussi attentifs à la sécurité de l’information de l’établissement, ce qui offre aux cybercriminels une ouverture à exploiter.
Parmi les initiatives clés que les universités peuvent commencer à mettre en œuvre pour renforcer leur architecture de sécurité et réduire les risques d’être victimes de cybercriminels, on peut citer l’exigence d’une authentification multifactorielle pour tous les comptes de courrier électronique et la surveillance continue du réseau pour détecter les comportements anormaux tels que les connexions rapides à plusieurs comptes à partir d’un même endroit.