Une faille informatique sur un site scolaire menace des dizaines d’établissements privés

PIRATAGE Un rançongiciel pourrait même être mis en place pour extorquer les établissements scolaires

20 Minutes avec Agence

— 

Un hacker devant son écran. (Illustration)
Un hacker devant son écran. (Illustration) — Isopix / SIPA

Un hacker a découvert que le site Internet d’un établissement scolaire français est doté d’une faille informatique préoccupante. Le problème de sécurité a été décelé par hasard par le lanceur d’alerte, qui a contacté samedi 17 octobre Numerama.

Le nom de l’établissement privé sous contrat n’a pas été révélé, le défaut n’ayant pas encore été corrigé. Concrètement, il permet à n’importe qui de se connecter à l’interface de configuration du site. En quelques minutes, il est ainsi possible de laisser un message de propagande en page d’accueil ou de créer un nouveau site à la place de l’original.

Une prise d’otage sur Internet

Mais la faille peut être utilisée pour faire encore plus que du « défaçage ». Une personne malveillante pourrait s’en servir pour atteindre d’autres sites appartenant au même réseau scolaire et qui sont hébergés sur un serveur commun.

Il serait ainsi possible de lancer une attaque de rançongiciel qui aurait pour conséquence de crypter les données de plusieurs établissements. Les informations personnelles des élèves et des enseignants seraient également accessibles.

L’établissement en partie responsable

L’établissement a été prévenu par le lanceur d’alerte et par la rédaction de Numerama. Le responsable informatique n’a pas souhaité révéler l’identité du prestataire extérieur s’occupant du site concerné. « Ce n’est pas notre problème, c’est à eux de gérer ça », a-t-il tranché. Le problème de sécurité serait pourtant facile à régler, selon le hacker.

L’école ne dépendant pas directement du rectorat, le directeur des systèmes d’information (DSI) ne peut pas intervenir. Si la faille conduisait à une fuite de données, l’établissement serait en partie responsable, conformément au RGPD (règlement général européen sur la protection des données).