Après de nombreuses cyber-attaques dans les collèges et les lycées, les autorités ont lancé des campagnes de sensibilisations nationales auprès des élèves. Un test à grande échelle a été effectué auprès de 2.5 millions de collégiens et lycéens qui ont reçu un email frauduleux. Selon les résultats, 1 élève sur 12 aurait cliqué.

"Vous avez quarante secondes pour lire ces emails et me dire s'ils sont vrais ou faux", dit la lieutenante-colonelle Sophie Lambert à une classe de cinquième qu'elle sensibilise aux risques de hameçonnage sur le réseau numérique scolaire.

Face à une multiplication d'actes malveillants sur l'espace numérique de l'Education nationale (ENT) ces dernières années, les autorités chargées de la cybersécurité lancent une campagne de sensibilisation nationale dans les collèges et lycées, après une expérimentation l'an dernier dans les académies d'Orléans-Tours et Versailles.

Sur les quatre emails envoyés par la lieutenante-colonelle, trois sont aussitôt diagnostiqués comme suspects par les élèves. En revanche, presque tous font confiance à un courriel qui semble envoyé par leur chef d'établissement et les invite à changer leur mot de passe "immédiatement". Mais c'est un piège.

"Vous faites confiance à l'adresse email car elle semble venir de votre établissement scolaire. Sauf qu'on s'est aperçu que cet espace numérique de travail peut faire aussi l'objet de cybermalveillance", poursuit Mme Lambert, lors de cette formation au collège Paul Landowski de Boulogne-Billancourt, près de Paris.

L'appel à cliquer rapidement aurait dû les rendre méfiants: les cyber-criminels mettent leurs proies sous pression. La leçon à retenir: "Il faut prendre plus de dix secondes pour bien regarder les emails avant de décider de cliquer ou pas", conclut Mme Lambert.

Test à grande échelle

La semaine dernière, plus de 2,5 millions de collégiens et lycéens français ont reçu un faux email de hameçonnage les incitant à cliquer pour gagner des jeux gratuits et piratés. Ceux qui se sont faits duper ont été dirigés vers une vidéo éducative. D'après le ministère de l'Education nationale, le parquet national, la Commission nationale informatique et liberté (Cnil) et le ministère de l'Intérieur, qui contribuent à cette campagne, un élève sur douze a cliqué.

Toutes les académies doivent poursuivre l'opération de sensibilisation au risque de hameçonnage ou de vol de mots de passe d'ici la fin de l'année scolaire, précise à l'AFP Stéphane Guérault, chargé de mission cybersécurité à la Direction générale de l'enseignement scolaire. Des formations d'environ 55 minutes, similaires à celle de ce collège francilien, seront menées par des intervenants - essentiellement des enseignants - qui recevront un kit.

"Le phishing" - nom de hameçonnage en anglais - "est la première menace cyber qui touche le monde scolaire" et "la première menace cyber en France" explique Stéphane Guérault.

La lieutenante-colonelle Lambert interpelle à présent les élèves sur un email qui les inviterait à inscrire leur numéro, leur adresse mail et bien sûr leur mot de passe pour obtenir une rencontre exclusive avec la star Kylian Mbappé. Ils sourient et comprennent que c'est une arnaque. Pourquoi? Ça semble vraiment improbable.

"Plus c'est gros..."

Elle leur répète ce mot d'ordre: "plus c'est gros, plus c'est faux" ou "si c'est gratuit, c'est que c'est vous le produit", invitant les enfants à devenir des "remparts" contre les cyber-attaques. Anaïs, après cette séance, avoue avoir appris à se montrer plus méfiante car elle s'est faite berner par l'email envoyé par le soi-disant chef d'établissement: "Quand on a un mail un peu louche il faut directement le supprimer..."

Louis, en 5e, explique à l'AFP s'être déjà fait avoir par des hackeurs. "J'avais trouvé un site où ils vendaient une pâte à tartiner très chère à seulement 4 euros (...). Je n'ai jamais reçu la pâte à tartiner mais au bout d'un ou deux mois, je me suis aperçu qu'il y avait des prélèvements sur mon compte d'un à deux euros, puis trente, puis 200".

M. Guérault explique que les criminels informatiques passent par des sites extérieurs pour récupérer des données qui vont leur permettre d'entrer sur l'ENT, afin d'y dérober à grande échelle plus de données aux enfants, mais aussi à leurs parents. L'objectif est essentiellement financier mais "ça peut aller jusqu'au cyber-harcèlement", poursuit M. Guérault. Ou parfois, s'il s'agit de jeunes pirates, la motivation peut être plus personnelle: embellir leurs notes dans leur dossier scolaire.