Les corsaires scolaires

Cette année, la rentrée scolaire de Rik Delmotte, directeur d’un groupement de six écoles catholiques de l’enseignement secondaire à Tielt et à Ruiselede, en Flandre occidentale, a ressemblé à un cauchemar éveillé. Le 10 septembre au matin, il reçoit un mail dans un anglais approximatif. Un inconnu lui annonce qu’il a piraté le système informatique des six établissements, verrouillé l’accès à ses données et réclame une rançon de plusieurs milliers d’euros, payée en bitcoins (plus difficilement traçables donc), pour libérer le système.

A priori, rien de bien grave : les professeurs, eux, n’avaient pas été kidnappés. Sauf que ces écoles sont entrées de plain-pied dans l’ère digitale. Rapidement, Rik Delmotte constate les dégâts. De nombreuses données personnelles sont entre les mains du pirate. Très rapidement, la direction et le service informatique éteignent le réseau pour éviter une propagation de l’attaque. Les ordinateurs et les tableaux interactifs ne fonctionnent plus. Les élèves ne peuvent plus payer leur repas avec leur carte d’étudiant. La plateforme en ligne Smartschool, qui sert à distribuer les devoirs à domicile, ne fonctionne plus.

Rik Delmotte refuse de payer et s’adresse à la police et à la Computer Crime Unit. Et il faut désormais, sur la base de sauvegardes, reconstruire le réseau et les données. « Certaines configurations, comme le réseau sans fil, étaient aussi verrouillées. » L’auteur de l’attaque a su se protéger. Des rumeurs ont circulé, murmurant qu’il s’agirait d’un élève. Mais tout ce que le directeur sait aujourd’hui, c’est que l’e-mail avec la demande de rançon en bitcoins a été envoyé depuis un serveur en Suisse. « Je ne sais pas si l’auteur ou les auteurs ont été intensivement pourchassés, déclare Delmotte. Jusqu’à aujourd’hui nous n’avons pas été davantage informés par la police ou la Computer Crime Unit régionale. »

Ce kidnapping de données va amener des adaptations. En 2019, Rik Delmotte prévoit une augmentation des dépenses pour la sécurisation de ses installations informatiques, réalisées par des externes et prévoit des audits de sécurité ponctuels. Il en profite pour interpeller les autorités flamandes : il faut urgemment amener un soutien à la sécurisation des réseaux.

En Belgique francophone, cette attaque a fait peu de bruit. Est-ce que les infrastructures scolaires, et donc les données des élèves, sont-elles sécurisées ? Sébastien Reinders, expert en « éducation digitale » à l’Agence wallonne du numérique, rappelle d’abord les différentes strates des équipements scolaires : « Pour notre part, du côté de la Région wallonne (NDLR : qui est responsable d’une partie de l’équipement en matériel, des écoles, via des appels à projets), ce que nous fournissons aux écoles, notamment en termes de mise en réseau d’ordinateurs et d’implantations wi-fi, est sécurisé par un sous-traitant, la société Systemat, qui fournit un help desk aux écoles. Les plateformes numériques comme celle utilisée dans les écoles piratées sont, elles, installées à l’initiative des écoles. Leur sécurisation dépend également d’elles, et les pratiques constatées sur le terrain ne sont pas toujours exemplaires. »

Sécurité ratée

Selon le baromètre numérique Digital Wallonia, 32 % des écoles en Fédération Wallonie-Bruxelles utilisent actuellement ces plateformes, qui sont souvent accessibles via le web (dans le nuage, donc, via des accès par mots de passe) et offrent une série de services, qui facilitent « la gestion des données administratives ou le partage et l’utilisation de ressources pédagogiques numériques ». Les usages vont du journal de classe à la liste des absences en passant par les communications aux parents ou le partage de manuels. Ces plateformes sont surtout répandues en promotion sociale.

La Communauté germanophone recommande à ses établissements d’utiliser un système appelé Fronter. Du côté de la Fédération Wallonie-Bruxelles (FWB), on ne recommande rien en particulier. Toutefois, la nouvelle stratégie numérique pour l’éducation, parue le 26 octobre 2018, prévoit une mise en conformité de la sécurité des données des élèves avec le nouveau Règlement général sur la protection des données (RGPD).

La stratégie prévoit notamment que « le développement de nouveaux dispositifs et outils numériques, tels que les différents espaces personnels et le dossier d’accompagnement de l’élève […] sera conçu pour renforcer la protection la sécurité, la transparence et la confidentialité des informations à caractère personnel ». Depuis le début des années 2000, des formations sont données aux chefs d’établissement pour les sensibilisations « à la nécessaire sécurisation des données d’informations », rappelle le Service Communication et Relations publiques de la FWB.

L’arrivée du RGPD et les obligations qui vont avec ne conduiront qu’à une « adaptation des pratiques » mais la « philosophie globale » quant à la sécurité restera la même. Pas de branle-bas de combat, donc du côté de l’enseignement obligatoire. Ni de craintes en cas d’abordage en terres francophones ?