ZATAZ » Les écoles ciblées par des élèves hackers

Le Bureau du commissaire à l’information du Royaume-Uni (ICO) alerte sur la hausse des cyberattaques visant les établissements scolaires, souvent déclenchées par leurs propres élèves. Entre 2022 et 2024, plus de la moitié des violations signalées provenaient d’étudiants, parfois désireux de tester leurs compétences, parfois animés par la notoriété ou le gain financier. L’ICO et la National Crime Agency mettent en garde contre le risque d’une bascule précoce dans la cybercriminalité. Un sondage mené en parallèle dans des écoles françaises par ZATAZ (à l’occasion du mois de la cybersécurité) montre que l’exposition des élèves aux usages numériques, aux IA et aux logiciels pirates est massive, soulignant l’urgence d’une prévention ciblée.

Les adolescents au cœur des cyberattaques scolaires

Les écoles britanniques sont confrontées à une menace inédite : des cyberattaques initiées depuis l’intérieur, par leurs propres élèves. Le Bureau du commissaire à l’information (ICO) a recensé 215 incidents liés à des menaces internes dans le secteur de l’éducation entre janvier 2022 et août 2024. Dans 57 % des cas, les auteurs étaient des étudiants. Le régulateur attribue leurs motivations à des défis techniques, au désir de notoriété, à la recherche d’un gain financier ou à des rivalités personnelles. Je vous invite à écouter l’interview réalisée par ZATAZ avec cette jeune ancienne pirate qui, dès l’âge de 16 ans était devenue la reine du carding^[7], la fraude à la carte bancaire.

L’ICO illustre cette tendance par le cas de trois élèves de 11e année [collège] ayant piraté le système de gestion de leur école à l’aide d’outils téléchargés en ligne. Interrogés, ils ont expliqué vouloir tester leurs compétences en cybersécurité et ont reconnu participer à un forum de hackers. Dans un autre établissement, un étudiant a utilisé les identifiants d’un enseignant pour accéder aux bases de données de son collège, modifiant ou supprimant les informations personnelles de plus de 9 000 membres du personnel, élèves et candidats. Ce qui commence comme un défi scolaire peut mener à des attaques d’envergure contre des organisations ou des infrastructures critiques. L’avertissement cible directement parents et enseignants, invités à parler régulièrement aux enfants de leurs pratiques numériques.

Cette année, plusieurs établissements scolaires en France ont demandé à ZATAZ des conférences/ateliers sur ce thème. Un thème que je prépare depuis 2020. Il faut dire aussi que les alertes sérieuses m’ont incité à proposer ce sujet^[9]. J’en avais d’ailleurs fait un single, début janvier 2025 dans l’album 92829^[10], pour faire passer le message en musique sur ces élèves qui pourraient mal finir en clic de souris [écouter ci-dessous]. A l’occasion du mois de la cybersécurité, au moins d’octobre, une quinzaine d’établissements (grosso modo : 2000 élèves de 4ème et 3ème) pourront partager sur ce sujet via des exemples et démonstrations que ZATAZ a créé spécialement pour eux. Je n’en dirai pas plus, le contenu étant totalement exclusif et je pense, innovant [au dire des enseignants et chefs d’établissements].

Ces derniers jours, 360 élèves ont déjà été croisés. Plus bas dans cet articles, quelques élèments qui découlent de ces premiers rendez-vous. Un sondage proposé aux élèves, totalement anonymement, via un outil créé pour l’occasion. Des informations partagés le soir des ateliers, aux parents.

De la curiosité technique au basculement criminel

La National Crime Agency (NCA) souligne que la frontière est mince entre l’expérimentation et la cybercriminalité. Elle rappelle qu’un enfant sur cinq, âgé de 10 à 16 ans au Royaume-Uni, a déjà participé à une activité illégale en ligne. Le programme Cyber Choices de la NCA, destiné à rediriger ces profils vers des usages légaux, a recensé un cas dès l’âge de sept ans.

En juillet, la NCA a arrêté quatre individus, dont trois adolescents, suspectés d’avoir participé à une série d’attaques par rançongiciel contre des détaillants britanniques. Ces affaires rappellent que les cybercriminels émergents sont souvent des jeunes hommes. L’ICO confirme qu’environ 5 % des adolescents de 14 ans admettent avoir déjà piraté un système. En Espagne, un jeune andalou a été arrêté pour avoir trouvé le moyen de modifier ses notes^[11].

En France, plusieurs cas ont déjà été documentés par ZATAZ^[12].

Les mauvaises pratiques de protection des données aggravent la vulnérabilité des établissements scolaires. Des postes laissés sans surveillance, des accès injustifiés de personnel à des données sensibles, des machines de profs, de parents, d’élèves infiltrés par des logiciels espion, ou encore des autorisations accordées à des élèves sur du matériel pédagogique. Pourtant, seuls 5 % des incidents documentés impliquaient des techniques sophistiquées de contournement des défenses. La majorité résulte d’erreurs ou de négligences internes. Par exemple, le Service Veille de ZATAZ a communiqué, à ses clients, pas moins de 600 alertes, depuis le 1er septembre, concernant des établissements scolaires (privés, publiques).

Un sondage révèle l’exposition précoce des élèves

Un sondage mené dans des écoles françaises par Zataz, dans le cadre du mois de la cybersécurité, révèle une familiarité massive des élèves avec les outils numériques, mais aussi une proximité inquiétante avec des pratiques à risque.

Tous les élèves interrogés (47 ont été tirés au sort sur 360 rencontrés durant la semaine du 15 septembre) ont affirmé avoir utilisé Internet le matin même de l’enquête [au réveil]. 21,3 % évoquent des incidents cyber [la grand majorité étant le piratage de leurs réseaux sociaux] vécus par eux ou leurs amis proches.

Plus d’un cinquième (21,3 %) connaît les mots de passe de leurs parents, et 6,4 % ceux de leurs camarades. L’usage des intelligences artificielles génératives est presque universel : 93,6 % des élèves interrogés déclarent utiliser ChatGPT, certains mentionnant également Gemini ou DeepSeek.

La présence sur les réseaux sociaux est très élevée : 55,3 % possèdent entre un et trois comptes, et près de 40 % en gèrent plus de trois. Trois élèves seulement (6,4 %) déclarent n’avoir aucun compte.

L’exposition à des comportements de piratage est manifeste. À la question sur l’usage de mots de passe qui ne leur appartenaient pas, 16 élèves (34 %) ont répondu positivement. L’utilisation de logiciels pirates est également répandue : 3 élèves (6,4 %) ont testé des keyloggers, 19 (40,4 %) des programmes de triche pour jeux vidéo [autant dire que la machine a de forte chance d’avoir été piégées par un stealer/cheval de Troie], et 2 (4,3 %) des infostealers. Toutefois, 26 élèves (55,3 %) affirment n’avoir utilisé aucun logiciel de ce type. Le sondage ayant été réalisé en mode « Anonyme », je pense qu’ils ne mentaient pas.

Ces résultats confirment l’analyse de l’ICO : la curiosité technologique, lorsqu’elle n’est pas encadrée, peut rapidement dériver vers des pratiques illégales. L’intégration d’ateliers éducatifs et de dispositifs de prévention apparaît essentielle pour orienter cette curiosité vers des filières légitimes en cybersécurité. En octobre, ZATAZ va rencontré plusieurs centaines d’élèves. Je reviendrai avec de nouveaux chiffres concrets et de terrain fin octobre.

Ce n’est pas nouveau, mais aujourd’hui les établissements scolaires deviennent un terrain d’entraînement involontaire pour de futurs cybercriminels. Face à une jeunesse déjà massivement exposée aux usages numériques et aux logiciels pirates, la prévention s’impose comme la première barrière. La question demeure : les écoles sauront-elles transformer cet intérêt précoce en vivier de talents pour la cybersécurité plutôt qu’en menace intérieure ?