Les écoles et les universités sont des cibles privilégiées dans le cadre de cyberattaques compte tenu du volume de données que ces établissements détiennent (informations personnelles, bancaires et de santé) concernant des milliers d’étudiants, de chercheurs et de professeurs.

L’analyse menée par Proofpoint se fonde sur l’existence ou non par les universités, d’un enregistrement DMARC (pour Domain-based Message Authentication, Reporting & Conformance), un standard international qui constitue à ce jour l’une des armes les plus puissantes pour lutter contre une classe d’attaque par courriel très effective : le domain spoofing (ou usurpation de domaine). DMARC comporte trois niveaux de traitement des courriels : surveillance, mise en quarantaine et rejet — ce dernier étant le niveau le plus sûr pour empêcher les messages suspects d’atteindre la boîte de réception du destinataire.

D’après l’étude Proofpoint 2023, 98 % des universités françaises incluses dans l’étude n’auraient pas le niveau recommandé de protection DMARC, laissant ouverte la possibilité à la falsification et le détournement du nom de leur établissement pour piéger et escroquer utilisateurs et contacts, par le biais de courriels frauduleux, comprenant une pièce jointe infectée, ou incluant un lien vers un faux portail web – où là seront demandé de renseigner les identifiants de connexion à certains comptes clés.

Xavier Daspre, directeur technique France chez Proofpoint explique que « le courrier électronique reste le vecteur le plus courant de compromission de la sécurité informatique, dans tous les secteurs d’activité. Ces dernières années, la fréquence, la sophistication et le coût des cyberattaques contre les universités ont augmenté, et avec l’accès de plus en plus généralisé aux solutions d’intelligence artificielle, il est de plus en plus simple pour les cybercriminels de se faire passer pour une administration avec la génération automatique de messages crédibles. C’est la combinaison de ces facteurs qui rend particulièrement inquiétant le fait que les courriels d’une seule des meilleures universités françaises, soient protégés par le standard DMARC. »

Résultats de l’étude 2023

Comparé à l’année précédente, le constat en 2023 est sensiblement le même, pointant vers une protection qui progresse, mais qui reste toujours largement déficitaire dans la plupart des grandes universités françaises :
–  27 des 42 universités étudiées (64 %) ont désormais un enregistrement DMARC contre 62 % en 2022. Plus de 35 % des meilleurs établissements n’ont donc toujours aucune protection en place pour empêcher l’usurpation de leur nom de domaine ;
–  En revanche, et ce comme en 2022, seule une des 42 universités (2 %) a le niveau de protection DMARC recommandé et le plus strict (« rejet »), signifiant que 98 % ne bloquent pas de manière suffisamment proactive les courriels frauduleux qui pourraient atteindre les boîtes de messageries de leurs utilisateurs ;
–  Fait encourageant, trois des établissements qui avaient un enregistrement DMARC en 2022, mettant leur nom de domaines sous surveillance, ont accru en 2023 leur niveau de protection en passant au stade supérieur de mise en quarantaine des courriers suspicieux ;

À l’échelle européenne

Comparés à nos voisins européens, les scores des meilleures universités françaises sont en deçà des niveaux de protection moyenne observés. En effet, parmi les 42 meilleures universités d’Europe :
–  4 (10 %) ont le niveau de protection DMARC maximal, contre une seule en France ;
–  29 des meilleures universités européennes (69 %) ont publié un enregistrement DMARC contre 27 (64 %) en France ;
–  Enfin, 9 universités en Europe (21 %) ont le niveau de protection leur permettant de mettre en quarantaine des courriers électroniques suspicieux, contre 7 (17 %) en France.

Ce retard est d’autant plus inquiétant que la France est de plus en plus la cible de fraude par courriels. Alors que l’anglais est la langue la plus couramment utilisée dans les campagnes de cyberattaques par hameçonnage (« phishing »), certains pays non anglophones commencent à voir des volumes plus élevés d’attaques dans leur propre langue, dont la France. Le rapport State of the Phish de Proofpoint montre en effet que les tentatives ont récemment augmenté en France (80 % contre 75 % l’an dernier).

« Les personnes constituent une ligne de défense essentielle contre la fraude par courriel, mais leurs actions restent l’une des plus grandes vulnérabilités pour les organisations. DMARC reste la seule technologie ouverte, capable non seulement de défendre contre l’usurpation de nom de domaine, mais aussi le risque d’usurpation d’identité qui en découle. Lorsque DMARC est mis en place en mode “rejet”, un courrier électronique malveillant ne peut pas atteindre la boîte de réception du destinataire, éliminant le risque d’interférence humaine qui souvent permet l’intrusion de l’imposteur dans les systèmes de l’entreprise », conclut Xavier Daspre.

Voici quelques exemples de cyberattaques par usurpation d’identité menées contre des étudiants à travers le monde :

–  Les étudiants dans le viseur des cybercriminels : Les cybercriminels se font passer pour des recruteurs et des employeurs. Ils utilisent la promesse d’un travail à domicile pour collecter des données personnelles, voler de l’argent ou convaincre les victimes de participer malgré elles à des activités illégales telles que le blanchiment d’argent. Proofpoint voit chaque jour près de 4 000 de ces escroqueries par courriel, qui impliquent souvent de faux chèques de salaire et des demandes d’argent par virement bancaire et Bitcoin. Cette arnaque cible presque exclusivement les étudiants et, selon le FBI, les victimes déclarent avoir perdu en moyenne près de 3 000 euros.
–  De jeunes diplômés en santé et bioscience victimes de fraude à l’emploi : une offre d’emploi est envoyée à partir d’un compte gratuit tel que Gmail ou Hotmail, qui usurpe l’identité d’une organisation légitime mais avec un nom de domaine différent du site web officiel de la structure, en demandant le paiement d’éléments tels que l’équipement soi-disant nécessaire pour le poste à pourvoir. L’attaquant demandent aux victimes d’avancer les frais, et certains cybercriminels vont même jusqu’à organiser de faux entretiens pour convaincre leurs victimes plus efficacement.

Méthodologie

Pour évaluer le niveau d’adoption de la protection DMARC, Proofpoint a réalisé une analyse des noms de domaines principaux des 42 premières universités françaises d’après le Times Higher Education – Global Ranking ainsi que les 42 premières universités européennes du classement Times Higher Education - Europe. L’analyse a été conduite en août 2023.