Enquête ouverte après de fausses alertes à la bombe dans une vingtaine de lycées et collèges

La rentrée ne s’est pas passée comme prévu au lycée Condorcet de Méru, dans l’Oise. Dans la matinée du mardi 3 janvier, le proviseur a eu vent de menaces en ligne faisant état d’une attaque à la bombe, reçues sur les réseaux sociaux et utilisant les environnements numériques de travail (ENT), ces outils servant à relier parents, enseignants et élèves en leur offrant des espaces de communication en ligne. Les élèves ont alors été évacués de l’établissement, selon le rectorat de l’académie d’Amiens, et rassemblés dans un gymnase à proximité, où ils sont « restés en sécurité le temps que les équipes spécialisées procèdent à une “levée de doute” ». Les cours ont ensuite repris normalement à 13 h 30.

« Un tel nombre de menaces est une première », reconnaît le ministère de l’éducation nationale

Des scènes similaires ont eu lieu dans des collèges et des lycées des académies de Lille, Créteil, Grenoble, Versailles, Normandie ou encore Lyon : au total, une vingtaine d’établissements scolaires ont été victimes de fausses alertes à la bombe ou à l’explosif, lundi – jour de reprise pour le personnel éducatif – et mardi. Aucune substance explosive n’a été trouvée dans les établissements. « Un tel nombre de menaces est une première », reconnaît le ministère de l’éducation nationale, contacté par Le Monde.

D’une académie à l’autre, le contenu des messages semble « similaire », d’après les rectorats. Selon Libération et France 3 Régions, les menaces reçues par plusieurs établissements mentionnaient la présence d’explosifs dans les locaux devant détoner à 10 h 43, et promettaient de « décapiter tous les kouffars [mécréants] pour servir Allah le tout-puissant ». Le message renvoyait également vers un serveur de messagerie Discord, sur lequel plusieurs utilisateurs ont proféré des insultes racistes et homophobes dans la soirée de lundi, avant que le serveur ne disparaisse.

Lire aussi : Plusieurs établissements scolaires évacués après des menaces d’attentats faites à partir de comptes électroniques piratés

Comptes d’élèves piratés

Au lycée César-Baggio, à Lille, le personnel éducatif avait été évacué dès lundi, par précaution. Une source proche de l’enquête a expliqué à l’Agence France-Presse que les menaces reçues par l’établissement provenaient « d’un compte ENT d’un élève ». Ce dernier a été placé à garde à vue lundi mais remis ensuite en liberté, son compte ayant été piraté.

Au lycée Diderot, à Carvin, dans le Pas-de-Calais, « la rentrée n’a même pas eu lieu », regrette Aurélie Sellier, sa proviseure adjointe. « C’est l’un de nos élèves, inquiet, qui nous a informés d’un message sur l’ENT, le lundi soir », poursuit-elle. « En raison du précédent au lycée Baggio, nous avons directement pensé qu’il s’agissait d’une fausse alerte. Nous avons donc été surpris d’apprendre l’intervention des services de police le lendemain matin. » Finalement, les élèves ont été renvoyés chez eux pour la journée mais la rentrée s’est déroulée sans encombre mercredi.

La région Hauts-de-France a déclaré avoir déposé plainte pour chacune des menaces. Selon la société Open Digital Education, qui y administre les ENT de plusieurs établissements visés par les fausses alertes, aucune cyberattaque ou fuite de données n’a été constatée sur leurs systèmes. Les auteurs des messages ont simplement, dans plusieurs cas, piraté les comptes e-mail d’élèves utilisateurs de l’ENT pour envoyer les messages en usurpant leur identité.

Un mode opératoire un peu différent a toutefois été observé au lycée Camus-Sermenaz, à Rillieux-la-Pape. La menace n’a pas été diffusée via l’ENT mais « directement envoyée à quelqu’un qui travaille au sein de l’établissement », précise la préfecture Rhône-Alpes. Des inspections ont eu lieu dans la matinée et les élèves sont revenus en cours dès le début d’après-midi.

Lire aussi : Article réservé à nos abonnés Derrière les attaques par rançongiciel, un écosystème criminel continue de fleurir

Une enquête a été ouverte mardi par la section cybercriminalité du parquet de Paris, et confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) « suite au dessaisissement des parquets de Meaux, Lille et Saint-Malo ». Le parquet de Paris confirme que les investigations portent sur des faits qualifiés à ce stade de « menaces de mort et d’atteintes à un système de traitement automatisé de données ».

Louis Adam et Minh Dréan