Plus de 50 universités du Royaume-Uni ont fait tester leur cyberdéfense
par des pirates éthiques, et les résultats sont loin d’être réjouissants.
Une équipe de pirates informatiques éthiques a récemment effectué des
tests sur les défenses de plus de 50 universités du Royaume-Uni en matière de
cybersécurité. Dans chaque cas, il leur a fallu moins de deux heures pour avoir
accès à des « données de grande valeur. »
C’est la conclusion tirée par le Higher Education Policy Institute (HEPI) et l’organisme à
but non lucratif Jisc, qui fournit des services numériques aux universités du
Royaume-Uni.
C’est le harponnage (ou spear-phishing)
qui est la clé de ces résultats si préoccupants. Ce type particulier de hameçonnage
consiste à envoyer un message personnalisé (dans le cas présent, par courriel)
à une victime potentielle ayant fait l’objet de recherches approfondies. Ces
courriels, où l’expéditeur prétend être une entité de confiance dans le but de
convaincre la victime d’ouvrir des pièces jointes malveillantes ou de visiter
de faux sites Web, ont contribué à compromettre le réseau de chacune des
universités participant à ce test.
Le rapport souligne qu’il « est alarmant de constater que lorsque Jisc
utilise le harponnage dans le cadre de son service de test d’intrusion, il
parvient à chaque fois à accéder aux données de grande valeur d’un
établissement d’enseignement supérieur dans les deux premières heures. »
Dans certains cas, il a fallu moins d’une heure aux pirates éthiques
pour « accéder aux renseignements personnels des étudiants et du
personnel, outrepasser les systèmes financiers et accéder aux bases de données
de recherche, » souligne la BBC.
Dans ce contexte, pas étonnant que les experts en sécurité soient
préoccupés. « Nous ne sommes pas convaincus que tous les prestataires
d’enseignement supérieur du Royaume-Uni disposent des connaissances, des
compétences et des investissements nécessaires en matière de
cybersécurité, » s’exclame John Chapman, directeur du Centre des
opérations de sécurité du Jisc.
Selon le National Cyber Security Centre (NCSC) du Royaume-Uni, la
plupart des attaques qui ciblent les universités du pays sont liées à l’hameçonnage
et aux tentatives d’obtention d’une rançon et d’autres logiciels malveillants,
notamment dans le but de voler des données de recherche sensibles et la
propriété intellectuelle.
Il va sans dire qu’au-delà des renseignements personnels des employés et
des étudiants, les universités détiennent des quantités stupéfiantes de données
de recherche de grande valeur et commercialement sensibles.