Le Bureau du commissaire à l’information (ICO) a émis un avertissement concernant une augmentation préoccupante des étudiants qui accédaient illicitement aux systèmes informatiques de leurs établissements d’enseignement. Ces actions, rapporte l’ICO, sont souvent motivées par des défis d’amusement ou de pairs. L’ICO met l’accent sur un manque perçu de sensibilisation aux éducateurs concernant les risques posés par les élèves ayant un accès interne aux réseaux scolaires, le décrivant comme une «menace d’initiés». Les données recueillies par l’ICO indiquent qu’une partie importante des cyber-incidents et des violations de données dans l’éducation est attribuable aux actions des étudiants. Heather Toomey, principale cyber-spécialiste de l’ICO, a souligné le potentiel d’activités apparemment inoffensives pour augmenter. Toomey a déclaré,
« Ce qui commence comme un défi, un défi, un peu de plaisir en milieu scolaire peut finalement conduire les enfants à participer à des attaques préjudiciables contre des organisations ou des infrastructures critiques. »
Cette déclaration souligne la préoccupation de l’ICO selon laquelle l’expérimentation de jeunesse peut évoluer en cyber-infractions plus graves avec des implications plus larges. Cet avertissement suit une série de cyberattaques de haut niveau sur des entreprises comme Marks and Spencer (M&S) et Jaguar Land Rover. Les enquêtes ont révélé l’implication des pirates d’adolescents, ce qui soulève des inquiétudes concernant la prévalence croissante des jeunes dans la cybercriminalité.
Violations dirigées par les étudiants en éducation
Depuis 2022, l’ICO a enquêté sur 215 incidents d’accès non autorisé et de violations de données provenant des établissements d’enseignement. Les enfants étaient responsables de 57% de ces incidents. Les violations restantes sont soupçonnées d’avoir été perpétrées par du personnel, des prestataires de services informatiques tiers et d’autres entités ayant un accès au système autorisé. Les données indiquent que près d’un tiers des violations étudiées concernaient les étudiants à obtenir un accès non autorisé aux systèmes informatiques du personnel. Ces violations se sont souvent produites grâce à des méthodes telles que deviner les mots de passe ou l’obtention illicite d’identification de connexion des enseignants, soulignant la simplicité relative de certaines vulnérabilités de sécurité exploitées.
Exemples de cas de cybercriminalité étudiante
Une affaire impliquait un enfant de sept ans impliqué dans une violation de données non divulguée. À la suite de l’incident, l’enfant a été référé au programme Cyber Choices de l’Agence nationale, qui éduque les jeunes sur les conséquences et les ramifications juridiques de la cybercriminalité. Dans un cas séparé, trois élèves de trois ans (âgés de 15 à 16 ans) ont consulté des bases de données scolaires contenant des informations personnelles pour plus de 1 400 étudiants. Ils ont utilisé des outils de piratage téléchargés sur Internet pour contourner les protections de mot de passe, citant un intérêt pour la cybersécurité et le désir d’explorer les capacités techniques. Un autre incident impliquait qu’un étudiant acquière un accès non autorisé aux bases de données d’un collège à l’aide des informations d’identification de connexion d’un enseignant. Cet accès a été utilisé pour modifier ou supprimer des informations personnelles pour plus de 9 000 employés, étudiants et candidats. Les données compromises comprenaient des noms, des adresses domestiques, des dossiers académiques, des informations sur la santé, des journaux de sauvegarde et pastoraux et des coordonnées d’urgence.
Rising Cyber Madenss to Educational Institutions
Selon la dernière enquête du gouvernement sur les violations de la cybersécurité, les établissements d’enseignement sont confrontés à un paysage de menace croissant. L’enquête a révélé que 44% des écoles ont déclaré avoir connu une cyberattaque ou une violation de données au cours de l’année écoulée, soulignant la vulnérabilité croissante du secteur. L’ICO a également souligné le rôle de la culture de la cybercriminalité des jeunes, notant son lien croissant avec les gangs adolescents anglophones. L’année dernière a vu des arrestations au Royaume-Uni et aux États-Unis de jeunes qui auraient été impliqués dans des campagnes de piratage ciblant les grandes organisations, notamment MGM Grand Casinos, Transport for London (TFL), Marks and Spencer et la coopérative.
