Un groupe de hackers pro-russes connu sous le nom de Stormous a récemment fait sensation en divulguant en ligne des milliers d’identifiants et de mots de passe d’étudiants français.
Cyberattaque contre l’Éducation nationale
Les données sensibles décryptées auraient été extraites de plusieurs plateformes numériques liées à l’Éducation nationale, notamment Mes services étudiant et Cyclades. Cette affaire, survenue le 10 juin, a provoqué une onde de choc dans le milieu éducatif et soulève de nombreuses interrogations quant à la sécurité des données personnelles en France, en particulier celles concernant les jeunes et leurs familles.
Le groupe Stormous, déjà connu pour ses cyberattaques, affirme avoir réussi à pirater directement le ministère de l’Éducation nationale. Cependant, cette revendication semble douteuse. Plusieurs experts estiment que le piratage ciblait plutôt les différentes plateformes numériques utilisées dans le parcours scolaire des élèves.
Malgré tout, le fait demeure que ces hackers détiennent un volume important de données personnelles. En effet, selon leurs dires, ce sont près de 40 000 comptes qui auraient été compromis lors de cette opération. Un premier échantillon de ces informations a été rendu public sur un site du darknet, un espace du web accessible uniquement via des réseaux anonymisants, utilisé fréquemment par les cybercriminels pour diffuser leurs données illégalement.
Piratage massif des plateformes scolaires françaises
La Tribune a pu consulter ce document mis en ligne, révélant que les identifiants piratés provenaient de quatre portails officiels : ÉduConnect, Mes services étudiant, Cyclades et Pastel diplomatie. Ces plateformes jouent un rôle essentiel dans la vie administrative et scolaire des étudiants français. ÉduConnect, par exemple, permet aux élèves et à leurs familles de consulter les relevés scolaires. Mes services étudiant offre un accès aux dossiers liés au Crous, organisme gérant les aides et services pour la vie étudiante. Cyclades est, quant à lui, utilisé pour consulter les résultats d’examens, et Pastel diplomatie facilite les demandes d’état civil.
Une autre source d’inquiétude majeure réside dans la nature des données divulguées. Les mots de passe des comptes concernés ont été publiés en clair. Cela signifie qu’ils ne sont pas cryptés et peuvent être directement utilisés. La plupart de ces mots de passe restent encore fonctionnels, ce qui permettrait à n’importe quel cybercriminel de se connecter aux comptes des victimes, de consulter des informations personnelles, voire de les détourner pour des usages malveillants.
Source : La Tribune
