Propos inopportuns à caractère raciste, diffusion de pornographie en plein cours ; les cours en ligne sont des proies faciles pour ceux qui veulent perturber les classes.

Depuis qu’un inconnu s’est immiscé dans son premier cours en ligne le 3 septembre pour lancer des bêtises, Éric Kirouac exige que ses étudiants ouvrent leur caméra à quelques reprises durant la séance pour voir à qui ils ont affaire.

Le professeur au département de psychologie au cégep Garneau, à Québec, ainsi que plusieurs de ses collègues ont été victimes de « Zoombombing », c’est-à-dire une intrusion visant à « polluer » une vidéoconférence. Le nom vient du logiciel Zoom, popularisé pour les réunions pendant la pandémie.

« Les étudiants présents riaient un peu, mais à un moment donné, j’avais peur que ça dégénère, donc j’essayais de trouver comment l’éliminer du groupe », relate-t-il.

Avec l’adresse IP, les services informatiques du collège ont été en mesure de déterminer que l’individu n’était pas un étudiant, mais plutôt un citoyen lavallois.

Apprendre sur le tas

Il avait probablement mis un nom qui n’était pas le sien, estime M. Kirouac, qui ne savait pas qu’il pouvait retirer la permission aux participants de se renommer.

« C’est des affaires qu’on apprend sur le tas », dit-il.

Il est aussi possible d’activer une salle d’attente pour filtrer les participants, d’instaurer un mot de passe ou de contrôler les partages d’écrans, précise Sébastien Combs, professeur en informatique à l’UQAM, spécialisé en vie privée.

Si certains ont dû faire face à des propos racistes ou à des quidams turbulents, d’autres ont dû exclure des inconnus parce qu’ils présentaient du matériel pornographique aux étudiants.

Lundi dernier, des enseignants de l’UQAM qui prenaient part à une formation sur la façon sécuritaire d’utiliser le logiciel Zoom en classe ont été la cible de personnes qui se sont incrustées dans la séance pour les bombarder de matériel porno – vraisemblablement juvénile – en criant. Étrangement, la conférence sur la sécurité n’était pas sécurisée par un mot de passe.

Situation traumatisante

« On entendait un bruit de fond, des gens qui parlaient ensemble dans une autre langue [...] Puis, le son a monté, ils se sont mis à crier et à flasher des images pornographiques. Ça a été pour moi vraiment agressant et traumatisant », déplore une participante pour qui l’évènement a ravivé des souvenirs d’un acte criminel violent vécu. L’enseignante, qui a demandé de préserver son identité, s’est alors empressée de fermer son ordinateur, sous le choc.

Elle espère que les mesures présentées avant que la formation ne dégénère permettront d’empêcher ce genre de situation.

Des formations pour prévenir ces cyberattaques

Il faudrait investir davantage dans des formations dans les établissements scolaires, croient des experts en cybersécurité après ces cyberattaques.

Photo courtoisie

« [Les intrus] n’utilisent pas de méthodes trop avancées pour entrer dans les conférences, parce qu’elles sont mal configurées ! s’exclame Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense nationale. L’utilisation des outils est mal comprise. »

Selon lui, il faudrait instaurer une uniformité dans les outils d’enseignement ainsi que des formations générales pour faciliter leur maîtrise.

Sébastien Combs, professeur en informatique à l’UQAM, estime qu’il faudrait même étendre ces formations aux entreprises.

« Quelqu’un pourrait aussi s’introduire, éteindre son micro et sa caméra, juste pour écouter. [...] Il pourrait y avoir des risques de confidentialité », souligne-t-il.

Pas juste pour le fun

La semaine dernière, les étudiants et le personnel des HEC de Montréal ont été la proie de courriels d’hameçonnage semblant provenir du directeur et de la sécurité de l’établissement.

Deux jours plus tard, le Cégep de Saint-Félicien, au Saguenay–Lac-Saint-Jean, a annoncé la suspension de ses cours pour une semaine après avoir été victime d’une cyberattaque.

« Quand les opérations d’une institution sont arrêtées au complet subitement et sans explication, c’est pour moi des indicateurs d’un rançongiciel qui a gelé toutes les opérations », avance M. Waterhouse.

Un rançongiciel est un logiciel qui prend en otage les données d’un système, le temps de réclamer une rançon.

« Un clic et le mal est fait », poursuit l’expert, convaincu que le système d’éducation profiterait de formations pour sensibiliser le personnel.

Or, certaines malices sont difficiles à intercepter, indique-t-il, expliquant en avoir reçu une sous la forme d’un fichier Excel présenté comme un CV.

« Malgré tout l’investissement en architecture de sécurité, en protections, et en antivirus, le dernier maillon dans cette chaîne de sécurité demeure l’humain. Et c’est le maillon le plus faible en l’absence d’une sensibilisation adéquate », conclut-il.