Une équipe de pirates informatiques éthiques a récemment effectué des tests sur les défenses de plus de 50 universités du Royaume-Uni en matière de cybersécurité. Dans chaque cas, il leur a fallu moins de deux heures pour avoir accès à des « données de grande valeur. »
C’est la conclusion tirée par le Higher Education Policy Institute (HEPI) et l'organisme à but non lucratif Jisc, qui fournit des services numériques aux universités du Royaume-Uni.
C’est le harponnage (ou spear-phishing) qui est la clé de ces résultats si préoccupants. Ce type particulier de hameçonnage consiste à envoyer un message personnalisé (dans le cas présent, par courriel) à une victime potentielle ayant fait l'objet de recherches approfondies. Ces courriels, où l'expéditeur prétend être une entité de confiance dans le but de convaincre la victime d'ouvrir des pièces jointes malveillantes ou de visiter de faux sites Web, ont contribué à compromettre le réseau de chacune des universités participant à ce test.
Le rapport souligne qu’il « est alarmant de constater que lorsque Jisc utilise le harponnage dans le cadre de son service de test d'intrusion, il parvient à chaque fois à accéder aux données de grande valeur d'un établissement d'enseignement supérieur dans les deux premières heures. »
Dans certains cas, il a fallu moins d'une heure aux pirates éthiques pour « accéder aux renseignements personnels des étudiants et du personnel, outrepasser les systèmes financiers et accéder aux bases de données de recherche, » souligne la BBC.
Dans ce contexte, pas étonnant que les experts en sécurité soient préoccupés. « Nous ne sommes pas convaincus que tous les prestataires d'enseignement supérieur du Royaume-Uni disposent des connaissances, des compétences et des investissements nécessaires en matière de cybersécurité, » s’exclame John Chapman, directeur du Centre des opérations de sécurité du Jisc.
Selon le National Cyber Security Centre (NCSC) du Royaume-Uni, la plupart des attaques qui ciblent les universités du pays sont liées à l'hameçonnage et aux tentatives d'obtention d'une rançon et d'autres logiciels malveillants, notamment dans le but de voler des données de recherche sensibles et la propriété intellectuelle.
Il va sans dire qu’au-delà des renseignements personnels des employés et des étudiants, les universités détiennent des quantités stupéfiantes de données de recherche de grande valeur et commercialement sensibles.