Le collectif cybercriminel pro-russe Stormous a revendiqué la cyberattaque menée la semaine dernière contre l'Éducation nationale française. Plus de 40 000 identifiants ont été dérobés, mais on en a appris plus sur le profil des hackers.
Le ministère de l'Éducation nationale a subi, il y a quelques jours, une cyberattaque d'envergure. Le groupe Stormous, jusque-là méconnu du grand public, a revendiqué le vol de plus de 40 000 identifiants de personnels et étudiants. Les hackers ont aussi marqué une entrée fracassante dans le paysage des menaces pro-russes. Cette nouvelle offensive montre toute l'évolution du cybercrime vers un modèle hybride, où idéologie géopolitique et profit se conjuguent pour opérer une déstabilisation ciblée.
L'Éducation nationale devient terrain de chasse des cybercriminels
Des dizaines de milliers d'identifiants de personnels et étudiants rattachés à l'Éducation nationale se retrouvent aujourd'hui entre les mains de pirates informatiques. Stormous ne s'embarrasse pas de subtilités et revendique fièrement son forfait, en plaçant d'emblée cette attaque sous le signe de la provocation politique. Le groupe rejoint ainsi les rangs des cybermenaces d'inspiration étatique, aux côtés de formations bien établies comme APT28, Killnet et NoName057.
Les universités ne sont d'ailleurs pas épargnées par cette déferlante numérique. Selon Check Point Research, elles subissent en moyenne 2 507 tentatives de cyberattaques par semaine, rien que ça. « Les acteurs de la menace ont compris que ce secteur est intrinsèquement vulnérable », explique Adrien Merveille, expert cybersécurité chez Check Point. Derrière ces offensives aboutissement du vol de propriété intellectuelle, de l'infiltration de réseaux et l'exploitation des vulnérabilités cloud.
Se cache d'ailleurs un modèle économique rodé, le fameux ransomware-as-a-service, « rançongiciel en tant que service », en français. Depuis son portail STMX_GhostLocker, Stormous propose une vraie franchise du crime numérique. Ses affiliés utilisent des méthodes éprouvées, comme l'hameçonnage et l'intrusion par services mal configurés, pour infiltrer en silence les systèmes avant de frapper. L'efficacité redoutable de ces techniques explique en partie le succès croissant du groupe.
14 juin 2025 à 18h31
Stormous, qui soutient le Kremlin, cible les institutions françaises dans une logique de déstabilisation
L'ADN de Stormous ne se résume pas à la seule recherche de profit. Depuis le début du conflit ukrainien, le collectif affiche ouvertement son soutien à Moscou, en transformant chaque cyberattaque en acte politique. Cette stratégie de double extorsion, qui se matérialise par le vol de données d'abord et chantage à la publication ensuite, vise autant l'enrichissement que la déstabilisation. Les cibles choisies ne sont en plus jamais anodines. On y retrouve des ministères, des régions, mais aussi géants économiques comme Coca-Cola, Volkswagen ou Epic Games.
L'attaque contre l'Éducation nationale s'inscrit bien dans cette logique de guerre hybride dont nous parlions au départ. En s'en prenant à un pilier fondamental de la République, Stormous envoie un message politique clair, tout en récoltant des données sensibles au passage. Les adresses e-mail, identifiants et localisations pourront nourrir de futures campagnes de phishing ciblé. Sans compter les implications réglementaires majeures liées au RGPD et l'érosion de confiance au sein des agents publics.
En opérant librement depuis des infrastructures situées hors de l'Union européenne, en communiquant via Telegram et en maintenant une plateforme de fuite régulièrement actualisée, le groupe Stormous échappe pour l'instant à toute arrestation. Son audace et son impunité font malheureusement craindre de nouvelles offensives dans les prochains mois. La surveillance devient donc cruciale pour anticiper les prochains coups de cette nouvelle génération de pirates idéologiques.
