On est tombés des nues au Secrétariat général de la défense et de la sécurité nationale (SGDSN), un organisme de pointe chargé de veiller aux menaces « cyber » et qui relève de Matignon, en entendant Jean-Michel Blanquer invoquer mardi une attaque informatique « apparemment venue de l’étranger », qui expliquerait la paralysie du site du Centre national d'enseignement à distance (Cned).
La plateforme « Ma classe à la maison » fournie par cet établissement public dépendant du ministère de l’éducation nationale était effectivement inaccessible mardi depuis une large partie du territoire, et connaissait encore des ralentissements mercredi matin. Un coup des hackers russes, chinois sinon nord-coréens, semblait donc suggérer le ministre.
Or, d’après plusieurs sources de Mediapart au sein du SGDSN, aucune attaque venue de l’étranger n'a été identifiée expliquant l'inaccessibilité du site. Ce mercredi encore, l’une des sources témoignait de son agacement à propos de cette interprétation.
À cause la pandémie de Covid-19, les élèves français doivent suivre leurs cours en ligne. Le 3 avril 2021. © ACHEL COTTE / HANS LUCAS / HANS LUCAS VIA AFP L’histoire semble avoir été inventée de toutes pièces par Jean-Michel Blanquer pour justifier l’incapacité de son administration à assurer la « continuité pédagogique » promise aux enseignants et aux familles, au premier jour de la fermeture des établissements scolaires pour cause de pic épidémique.
Un détail ne trompe pas. Selon ces mêmes sources, le « haut fonctionnaire de défense et de sécurité » référent au ministère de l’éducation nationale, Marie-Anne Lévêque, et son adjoint, le préfet Philip Alloncle, ont dû consulter Google Actualités mardi en fin de matinée, depuis leurs bureaux rue de Grenelle, pour en apprendre davantage sur cette cyber-agression « venue de l’étranger ».
Sollicité par Mediapart, le Cned indique que « l'ensemble des éléments techniques liés à ces cyberattaques ont été transmis [mardi soir –ndlr] à l’Agence nationale de la sécurité des systèmes d’information [l’ANSSI – ndlr] », une agence rattachée au SGDSN. Questionné sur l’origine géographique ou le motif de ces attaques, le Cned évacue : « Nous n’avons pas d’informations complémentaires. »
Contactée à son tour, l’ANSSI nous a indiqué mardi soir : « Les équipes du Cned échangent régulièrement avec les équipes de l’ANSSI pour déterminer les meilleures mesures à prendre pour atténuer les effets de ces attaques. » Ces « attaques » auraient-elles donc été géolocalisées ? Malgré notre relance, pas de réponse.
La section cybercriminalité du parquet de Paris a tout de même ouvert une enquête pour « accès frauduleux à un système de traitement automatisé » et « entrave au fonctionnement » de ce système, a appris France Télévisions mercredi. Sans qu’une piste étrangère soit évoquée à ce stade. Mercredi midi, dans son dernier communiqué, le ministère parlait cette fois de simples « malveillances »…
D’autres éléments de langage ont par ailleurs été avancés mardi pour expliquer les pannes des « espaces numériques de travail » (ENT), qui dépendent des collectivités territoriales. D’après Jean-Michel Blanquer, elles auraient été causées par l’incendie qui a frappé le data center strasbourgeois d’OVHcloud, le 10 mars dernier.
Sauf que les ENT, notamment en Île-de-France, avaient été remis en ordre de marche dès le lendemain du sinistre et que son fonctionnement n’a jamais été perturbé depuis cette date. Le président-directeur général d’OVH, Michel Paulin, a démenti sur Twitter toute responsabilité de son entreprise.
© Michel Paulin▶️OVHcloud n'est pas responsable des dysfonctionnements de certains services d'éducation à distance.
— Michel Paulin (@michel_paulin) April 6, 2021
▶️L’incendie de Strasbourg n’a aucun lien avec ces derniers.
▶️Des regions ENT affectées et des applications indisponibles ne sont pas hébergées chez Ovhcloud !
Côté enseignants, la défense du ministre ne convainc personne. « On savait que cela ne fonctionnerait pas, tranche Arnaud*, un professeur de français affecté par les dysfonctionnements des ENT. On sait que depuis un an, rien n’a été fait pour améliorer les différentes ressources à notre disposition. Quant aux supposées attaques envers le Cned… »
Attaques « venues de l’étranger » ou non, l’essentiel est ailleurs pour les syndicats. « Je n’ai pas l’expertise informatique pour affirmer ou infirmer que des attaques ont bien eu lieu, affirme Sophie Vénétitay, secrétaire générale adjointe du Snes-FSU, première organisation syndicale dans le secondaire. On sait qu’il y a des attaques sur les hôpitaux et sur des collectivités territoriales. La vraie question, c’est de savoir pourquoi dans un moment aussi stratégique, l’État est incapable de fournir un service sécurisé. »
Et d’ajouter : « Comme le ministère a refusé de passer à l’école à distance [ces derniers mois – ndlr], jamais il n’a eu de vraie réflexion sur l’enseignement à distance. Il aurait fallu tirer les conséquences de l’année dernière. Au Snes, on voulait anticiper, mais jamais le ministère n’a voulu ouvrir ce dossier. »
Mercredi, dans un communiqué, la fédération des syndicats Sud Éducation a proposé de vérifier les propos de Jean-Michel Blanquer : « Il existe un moyen simple de lever le doute et distinguer s’il s’agit d’une masse de connexions d’élèves, de personnels, et de familles, ou bien d’un réseau de machines piratées : il suffit de publier les journaux de connexions aux serveurs du Cned, en remplaçant les adresses IP par une somme de contrôles par souci pour la vie privée des usagers et usagères. Ainsi, il sera possible à n’importe qui de vérifier les allégations du ministre. »
De son côté, Jérôme Notin, directeur du portail CyberMalveillance, lié à l’ANSSI, a avancé plusieurs hypothèses sur le site de France Info : « Les motivations de ce type d'attaques en général sont soit une demande de rançon – ce qui n’a pas été le cas pour le ministère […] – soit idéologiques ; peut-être que des étudiants, des collégiens se sont ligués pour louer ce réseau de machines zombies qui va ensuite attaquer les serveurs du Cned. » Une hypothèse qui n’aura pas échappé aux enquêteurs de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLTIC), saisis par le parquet de Paris.