Fuite de données privées et sensibles d’étudiants corrigée pour EPITECH

Posted On 03 Juil 2015

Tag: éléves, étudiant, infiltration, information, piratage

Plusieurs milliers de documents privés, et pour certains sensibles, d’étudiants étaient accessibles sans aucune restriction dans un espace recrutement de l’EPITECH. L’École pour l’informatique et les nouvelles technologies a corrigé près de quatre ans de fuite.

Photos, bulletins, diplômes, cartes d’identité, passeports, … voilà le contenu des 47539 documents qui étaient accessibles, jusqu’à ce 1er juillet 2015, dans un espace Internet de L’École pour l’informatique et les nouvelles technologies [EPITECH – European Institute of Information Technology]. Des données qui ne sont plus accessibles depuis un protocole d’alerte de ZATAZ. Elles étaient sauvegardées dans un espace web utilisé comme un vulgaire « cloud ». Inquiétant, les informations se lisaient avec un simple navigateur. Des documents scannés, accessibles via Google. Le moteur de recherche avait référencé plusieurs de ces fichiers transformés en jpg.

@Epitech merci de me contacter d'urgence (mon téléphone sur http://t.co/HIsANOXUJw, en haut de la page index) pour grosse fuite de données !

— ZATAZ.COM Officiel (@zataz) June 26, 2015

Le problème est apparu dans l’espace « Prospect » du portail des admissions du Campus Technologique de IONIS Education Group. L’établissement a rapidement pris les choses en main après notre protocole d’alerte du 26 juin. Il aura cependant fallu une seconde alerte pour que toutes les informations soient effacées du site… et de Google, … « Pour information, va préciser un enseignant, ce portail n’est plus utilisé pour les candidatures depuis quelques années. » Malheureusement ZATAZ a constaté que les 47539 documents accessibles, la première numérisation datait du mois d’Août 2011, couraient sur les années 2011, 2012, 2013, 2014 et jusqu’aux plus récentes, datant du 26 juin 2015, date de notre constatation et du protocole d’alerte 50940.

Comme le rappel la Commission Informatique et des Libertés (CNIL), tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Ne pas protéger correctement des informations à caractére personnel, et sensibles comme les piéces d’identités, (imprudence ou négligence) est punie de 3 ans d’emprisonnement et de 100 000 € d’amende (art. 226-22 du code pénal). Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. (art. 226-17 du code pénal).

ZATAZ.COM ne sait pas depuis quand durait cette fuite importante fuite de données, et surtout, savoir si des malveillants ont pu mettre la main sur les informations en question.

Pendant ce temps…

L’université de Harvard a indiqué avoir découvert, en juin 2015, une infiltration dans 8 de ses serveurs. Des pirates se sont invités dans les machines et les administrations de plusieurs facultés basées à Harvard : Faculty of Arts and Sciences, Harvard Divinity School, Radcliffe Institute for Advanced Study, Central Administration, the Graduate School of Design, Harvard Graduate School of Education, Harvard John A. Paulson School of Engineering and Applied Sciences, or Harvard T.H. Chan School of Public Health. L’université vient de demander à ses élèves de changer leur mot de passe d’accès à leur compte élève et à leur messagerie Exchange. L’école ne connait pas encore les données sensibles et privées qui ont pu être volées.

Au japon, c’est la prestigieuse Université de Waseda qui a alerté, lundi, les élèves. Elle explique avoir découvert une attaque datant… d’il y a un an et demi. Les données personnelles d’environ 3.300 fonctionnaires et étudiants avaient été copiés par des pirates informatiques. Dans les données volées : noms, numéros d’identification, adresses électroniques… L’attaque a été possible à la suite d’un « clic » via un fichier proposé dans un courriel. Se dernier se faisait passer pour une document lié à des frais médicaux. En ce moment, en France, ce même type de courriel se fait passer pour des factures impayées. Prudence !

Ce courriel est un piége. 2 antivirus sur 56 détectent le loader caché dans le document word. https://t.co/ts2FuaKf5m pic.twitter.com/JjSglq6jmc

— ZATAZ.COM Officiel (@zataz) July 2, 2015

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.