Universités ciblées en Ukraine, l’ENT en France

Selon l’équipe derrière Wordfence, une attaque massive contre des facultés ukrainiennes coïncide avec l’invasion de l’Ukraine par la Russie, et a entraîné la compromission d’au moins 30 sites Web d’entre elles. Tout comme la région Île-de-France annonçait le 2 mars 2022, que l’espace numérique de travail (ENT) des lycées franciliens avait subi une agression informatique, ce malgré les mesures de sécurité engagées. Les différentes entités se placent et prennent position sur le conflit Russo-Ukrainien.

Wordfence protège plus de 8 000 sites Web en Ukraine, hors mis trois cents universités, la société indique s’occuper de sites Web privés, gouvernementaux, militaires et policiers. « Nous avons identifié l’acteur de la menace à l’origine de l’attaque, qui fait partie d’un groupe appelé le groupe Monday, que les membres appellent “theMx0nday” », précisent-ils en s’appuyant sur des données, explications et images. Toujours selon le travail de Wordfence « la majorité des attaques ont transité par un fournisseur de services Internet appelé Njalla ». Cette société permettant l’anonymat, jusqu’à une certaine mesure, est l’œuvre de Peter Sunde. Il a été condamné dans le cadre du procès The Pirate Bay, et a depuis monté plusieurs projets, avec plus ou moins de succès.

« Le groupe Monday a historiquement ciblé un grand nombre de sites brésiliens. Ils intègrent une vidéo de rap brésilien dans le code HTML des sites qu’ils dégradent », relate Wordfence. Ce qui a pour effet le conditionnement de Pavlov, avertissant d’un danger, ou d’une attaque lors de la prochaine écoute du morceau. (Crédits : Capture d’écran/Twitter)

Trois pseudonymes (son1x, bky992 et xtdin66) associés à des comptes Twitter, dont les deux derniers sont définitivement clos, pourraient être les opérateurs derrière l’organisation « The MxOnday ». L’entité n’en est pas à son coup d’essai, fin 2021 des renseignements sensibles de la police indonésienne avaient été dérobés. De qui s’agissait-il ? « Un pirate brésilien nommé son1x a affirmé avoir réussi à s’introduire dans les données personnelles des policiers et des membres de leur famille la plus proche », écrivait le journal The Indonesia, le 22 novembre 2021. Environ 28 ko de données fournissaient le nom, le grade, le lieu et la date de naissance, l’unité de travail, l’état civil, le numéro de registre principal et plusieurs autres personnelles étaient en libre accès. De plus, il apparaîtrait que l’acteur de la menace est basé au Brésil.

« The Mx0nday » a déclaré publiquement qu’il « soutenait » la Russie. Il ressort être identifié pour la première fois par Zone-H le 4 juillet 2019, suite à un incident. (Crédits : Zone-H)

La nouvelle société de Peter Sunde propose à ses clients de réserver pour eux les noms de domaines qu’ils souhaitent acquérir, tout en leur laissant les droits d’utilisation. Cela leur procure un niveau d’anonymat supplémentaire, car le service Whois ne permet pas facilement de retrouver ledit détenteur. Njalla sera par conséquent bureau d’enregistrement, le client et détenteur du fameux nom de domaine, les bureaux ne disposeront pas d’information sur l’identité de l’utilisateur final. Le nom proviendrait d’une coutume du peuple Sami, qui a pour tradition de construire des huttes sur pilotis pour y conserver ses biens.

Pic d’attaques

Comme tout endroit sur Terre, des tentatives d’infections par diverses attaques (brute-force, DDoS…) se produisent à chaque instant. La majeure partie du mois a été marquée comme à l’accoutumée de quelques centaines d’attaques quotidiennes sur tous les sites de l’enseignement ukrainien (.EDU.UA). « À partir du 25 février, nous avons assisté à un pic de plus de 104 000 attaques en une seule journée visant ces sites universitaires », indique Wordfence. Tous sites confondus, le 25 février 2022, c’est un peu plus de 144 000 attaques. « Ce pic représente environ trois fois le nombre d’attaques quotidiennes du début du mois sur les sites ukrainiens que nous protégeons. »

Sur les sites éducatifs, 479 attaques ont eu lieu le 24 février, 37 974 attaques le 25 février, 104 098 attaques le 26 février et 67 552 attaques le 27 février. (Crédits : Wordfence)

Les lycées franciliens

À moins de deux jours de la rentrée scolaire en Corse, Montpellier, Toulouse, et la région Île-de-France, la dernière annonçait mercredi 2 mars 2022 que l’espace numérique de travail (ENT) des lycées franciliens avait subi une cyberattaque. La collectivité territoriale, en lien avec les autorités académiques, « a immédiatement réagi et d’ores et déjà pris les mesures techniques et juridiques qui s’imposaient ». Le compte identifié comme étant à l’origine de l’accès frauduleux a été bloqué, une plainte a été déposée auprès du procureur de la République. « Un plan de protection a été mis en œuvre avec Orange Cyber Défense sur la base des recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) », alerte la région Île-de-France.

« La maintenance sans cesse prolongée depuis trois jours de l’ENT île-de-France et donc le non accès à Pronote alors qu’on doit remplir les bulletins, c’est normal ? », questionnait une professeure d’Histoire et Géographie. (Crédits : capture d’écran)

La région Île-de-France et les services du ministère de l’Éducation nationale ont informé les personnes concernées par cette cyberattaque, les invitant à modifier leurs mots de passe. Mais également de prendre des initiatives à prendre en cas d’utilisation illicite de données permettant de les identifier. Si les combats en Ukraine sont principalement conventionnels, rappelle l’ANSSI, elle constate l’usage de cyberattaques dans le cadre du conflit. Afin de réduire au maximum la probabilité de tels événements et d’en limiter les effets, l’agence incite les entreprises et les administrations à prendre les devants.

Fidel Plume

Équilibriste des mots, j'aime à penser qu'il existe un trésor au pied de chaque arc-en-ciel. Un sourire éclaire la journée de la personne qui le reçoit. Elizabeth Goudge disait : « La gratitude va de pair avec l'humilité comme la santé avec l'équilibre. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.