Une attaque par rançongiciel à l’Université Mount Royal compromet les données des étudiants et des employés

Une attaque par rançongiciel à l’Université Mount Royal (MRU) à Calgary a compromis les données personnelles des étudiants et des employés, soulevant des questions urgentes sur la manière dont les établissements d’enseignement supérieur gèrent la divulgation des violations et les protections qu’ils doivent aux personnes les plus touchées. L’université a confirmé que des données institutionnelles ont été dérobées lors de l’attaque, mais sa décision de n’offrir une surveillance de crédit qu’aux employés, et non aux étudiants, a suscité des critiques et laissé beaucoup se demander si leurs informations sont vraiment en sécurité.

Cet incident n’est pas un cas isolé. Le schéma d’attaques par rançongiciel et de violations de données dans les universités est devenu l’une des histoires de cybersécurité les plus récurrentes de ces dernières années, les établissements d’enseignement supérieur étant soumis à une pression incessante de la part de groupes criminels qui considèrent les campus comme des cibles de grande valeur et souvent mal défendues.

Pourquoi les universités sont des cibles de choix pour les rançongiciels

Les universités se trouvent à un carrefour inhabituel : elles détiennent de grandes quantités de données personnelles, financières et de recherche sensibles, tout en fonctionnant dans des environnements réseau ouverts et collaboratifs qui privilégient l’accès plutôt que les restrictions. Un hôpital ou une banque peut justifier des contrôles d’accès stricts ; un campus universitaire est censé être ouvert par nature.

Cette ouverture crée des vulnérabilités structurelles. Les étudiants, le corps professoral, les sous-traitants et les chercheurs invités se connectent tous aux mêmes réseaux, souvent sur des appareils personnels dont les configurations de sécurité sont incohérentes. Les équipes informatiques de la plupart des établissements d’enseignement supérieur manquent de moyens par rapport à l’ampleur de l’infrastructure qu’elles gèrent. Et comme les universités détiennent souvent de la propriété intellectuelle en plus des dossiers personnels, les groupes de rançongiciel peuvent menacer de divulguer les deux catégories de données, maximisant ainsi leur levier.

Le calcul financier des attaquants est simple. Les universités sont peu susceptibles de fermer complètement leurs activités, ce qui signifie qu’elles subissent une forte pression pour payer ou négocier. Et contrairement aux entreprises privées, elles ont souvent des structures de gouvernance, des chiffres d’inscription et des sources de financement visibles publiquement, ce qui aide les attaquants à estimer l’intensité de la pression à exercer.

Quelles données ont été compromises à l’Université Mount Royal

MRU a confirmé que des données institutionnelles concernant l’université ont été dérobées lors de l’attaque, ainsi que des informations personnelles appartenant aux étudiants et aux employés. L’université a prévenu qu’une analyse complète de ce qui a exactement été consulté pourrait prendre plusieurs semaines ou mois, une réalité courante et frustrante après un incident de rançongiciel. Les enquêtes judiciaires sont lentes, et les attaquants ne laissent pas toujours des traces claires de ce qu’ils ont exfiltré.

Ce qui est déjà clair, c’est que les données des employés ont été traitées différemment de celles des étudiants dans la réponse de MRU. L’université offre une surveillance de crédit aux employés mais pas aux étudiants, au motif que les informations des étudiants ne présentent pas le même profil de risque financier. Cette distinction mérite d’être examinée attentivement.

Pourquoi la décision de MRU de refuser la surveillance de crédit aux étudiants soulève des inquiétudes

L’argument de MRU selon lequel les données des étudiants présentent un risque moindre que celles des employés suppose que la principale menace d’une violation est la fraude financière immédiate, celle que la surveillance de crédit vise à détecter. Mais les dossiers des étudiants incluent généralement les noms, les dates de naissance, les numéros d’identification d’étudiant, les coordonnées, et dans de nombreux cas le statut d’immigration, l’historique de scolarité et les dossiers de paiement. C’est un ensemble de données riche pour l’usurpation d’identité, même si le risque de fraude immédiate diffère de celui d’un dossier de paie volé.

La surveillance de crédit n’est certes pas un outil parfait, et sa valeur varie selon les données réellement dérobées. Mais la décision d’exclure les étudiants de cette protection, sans avoir encore terminé un examen judiciaire complet de ce qui a été compromis, est un choix important. Les étudiants sont souvent plus jeunes, peuvent avoir un historique de crédit plus mince et être moins expérimentés pour reconnaître les signes avant-coureurs d’une utilisation frauduleuse de l’identité. Ils disposent également de moins de ressources institutionnelles pour réagir si quelque chose tourne mal des mois plus tard.

Les universités ont un devoir de diligence envers les personnes qui leur confient leurs informations personnelles. Ce devoir ne diminue pas parce que la personne concernée est inscrite comme étudiante plutôt qu’employée.

Mesures que les étudiants et les employés peuvent prendre dès maintenant pour se protéger

Que MRU étende ou non des protections formelles aux étudiants, les personnes touchées par cette violation devraient prendre leurs propres mesures immédiatement. Attendre qu’un établissement termine son analyse, ce qui pourrait prendre des mois, n’est pas une stratégie de protection viable.

Vérifiez vos comptes pour détecter toute activité inhabituelle. Consultez vos comptes bancaires, cartes de crédit et tout compte financier lié à votre adresse courriel étudiante ou professionnelle. Activez les alertes de transaction si votre banque le propose.

Modifiez les mots de passe associés à vos comptes universitaires. Si vous réutilisez des mots de passe sur plusieurs services, changez-les également. Utilisez un gestionnaire de mots de passe pour générer et stocker des identifiants uniques pour chaque compte.

Soyez vigilants face aux tentatives d’hameçonnage. Les groupes de rançongiciel vendent ou utilisent souvent les données volées pour créer des courriels d’hameçonnage ciblés. Méfiez-vous de toute communication vous demandant de cliquer sur un lien ou de vérifier des informations personnelles, même si elle semble provenir d’une source fiable.

Envisagez un gel de crédit. Au Canada, vous pouvez demander un gel de crédit ou une alerte de fraude auprès d’Equifax et de TransUnion. Contrairement à la surveillance de crédit, un gel empêche activement l’ouverture d’un nouveau crédit à votre nom sans votre autorisation explicite.

Utilisez un VPN sur le campus et les réseaux publics. Les environnements Wi-Fi des campus peuvent être surveillés ou compromis. L’utilisation d’un VPN réputé lorsque vous accédez à des comptes sensibles sur les réseaux universitaires ajoute une couche de chiffrement qui rend plus difficile pour quiconque sur le même réseau d’intercepter votre trafic. Il s’agit d’une habitude pratique pour tout étudiant ou membre du personnel, indépendamment d’une violation spécifique.

Surveillez vos informations dans le temps. Les données volées ne sont souvent pas utilisées immédiatement. Programmez un rappel pour consulter votre dossier de crédit tous les quelques mois au cours de l’année à venir, et soyez attentifs à toute ouverture de compte ou modification inattendue.

Ce que cela signifie pour vous

L’attaque par rançongiciel et la violation de données à l’Université Mount Royal nous rappellent que les incidents de cybersécurité dans les établissements ont des conséquences réelles et personnelles pour les personnes qui n’ont eu d’autre choix que de fournir leurs informations pour s’y inscrire ou y travailler. L’enquête judiciaire est en cours, et il faudra peut-être des mois avant d’avoir une vision complète de ce qui a été compromis.

Si vous êtes étudiant ou employé à MRU, appliquez dès maintenant les mesures ci-dessus plutôt que d’attendre que l’université termine son examen. Et si vous êtes étudiant ou membre du personnel dans un autre établissement d’enseignement supérieur, cet incident est une occasion de réévaluer vos propres habitudes numériques. Les réseaux des campus sont des environnements partagés, et votre posture de sécurité personnelle importe indépendamment de ce que votre établissement fournit ou non. Revoir la manière dont vous utilisez ces réseaux, notamment la question de savoir si un VPN a sa place dans votre boîte à outils habituelle, est une mesure pratique qui coûte peu et peut faire une différence significative.