L’enseignement catholique a reconnu un piratage commis ces derniers jours et a communiqué sur le sujet :
« Le Secrétariat général de l’Enseignement catholique a été victime d’une attaque informatique ciblant l’application de gestion de ses établissements du premier degré. Cet incident, identifié rapidement, a entraîné un accès non autorisé aux données relatives à l’identification des utilisateurs de cette application et aux coordonnées des élèves, de leurs familles et des enseignants. Le Secrétariat général de l’Enseignement catholique a immédiatement déployé un protocole de réponse rigoureux. Toutes les mesures nécessaires ont été prises sans délai pour sécuriser les systèmes, notamment :
• La sécurisation immédiate de tous les accès ;
• La suspension des services impactés par l’incident ;
• Le signalement aux autorités juridiques et administratives compétentes, en premier lieu desquelles le Ministère de l’Éducation Nationale.
Parallèlement, une communication proactive a été établie avec l’ensemble des chefs d’établissement, des enseignants et des parents d’élèves concernés pour les informer des mesures mises en place pour assurer la sécurisation des systèmes et transmettre des recommandations de vigilance, notamment relatives à la modification des accès et à l’usage de mots de passe complexes.
Par ailleurs, l’Enseignement catholique s’est adjoint la collaboration d’experts en cybersécurité pour analyser la situation en profondeur, limiter les conséquences potentielles de cet incident et envisager les éventuels correctifs de sécurité.
Le Secrétariat général regrette profondément cette situation et assure l’ensemble des communautés éducatives de son entière mobilisation pour limiter les effets de cette attaque et renforcer encore la protection des données personnelles des familles et de ses personnels ».
Selon un média spécialisé, Zataz, « la cible pourrait être une solution utilisée par des établissements privés en France. Le vendeur affirme détenir 856 000 adresses électroniques, 2 000 000 élèves, dont 1 600 000 identités uniques, ainsi que 1 420 000 parents. Le lot est proposé à 1 500 dollars US (environ 1 400 euros). Un échantillon a circulé. Zataz indique avoir pu en constater l’existence. Il comprend, selon cette veille, des identités, des adresses postales et des adresses numériques ».
En revanche, « aucun numéro de téléphone, aucune photo, aucune donnée bancaire ni donnée médicale n’y apparaît. Cette précision est essentielle. Elle ne réduit pas la gravité potentielle de l’incident, car les personnes concernées semblent inclure des mineurs et leurs parents, mais elle cadre la nature du risque immédiat. Le danger principal semble relever, à ce stade, de l’identification, du ciblage et de l’ingénierie sociale, davantage que de la fraude bancaire directe« .
