Piratage de plusieurs universités françaises

Il se nomme TheDestroyer. A première vue, un francophone qui a décidé de lancer sa propre guerre à l’encontre de l’Education Nationale Française.

Pourquoi une telle cible ? La rédaction de zataz.com a pu entrer en contact avec l’internaute et tenter de comprendre ses motivations : « Je peux vous dire, possible étudiants dans une université française, vos données sont à l’air libre, accessible au premier crétin capable d’utiliser des logiciels de piratage« . Ses preuves ? En quelques jours, l’hacktiviste, qui semble vouloir dénoncer un laxisme au sein des universités françaises dès qu’il s’agit d’informatique et de données privées, a piraté Lyon 1, Lyon 2, L’université du Havre, de Montpellier 1, Paris Diderot, Jussieu ou encore Poitiers. Il s’est invité directement dans les serveurs.

Dans cette opération que The Destroyer a baptisé « Pwning French Education« , l’homme modifie les espaces qu’il a visité et diffuse, ce qui est plus regrettable, les informations qu’il a pu trouver sur les serveurs : mots de passe, bases de données, … Nous lui avons posé la question à savoir si ses attaques étaient simples, il semble choisir une cible et lui faire subir les derniers outrages. « Simple ? des simples Google Dorks pour repérer les sites et les liens faillibles (…) Ce qui aurait pu être regrettable, c’est que je diffuse les mots de passe MySQL trouvés sur le serveur, utilisables par une personne ayant accès au système de gestion de base de donnée tel que Phpmyadmin. Il était installé sur le même serveur. ».

TheDestroyer

Paris Diderot

A première vue, The Destroyer est la partie visible d’un iceberg inquiétant. Par exemple, en ce qui concerne l’université du Havre, une pharmacie pirate avait installé ses pilules de cialis et autre viagra dans les murs numériques de l’école bien avant le passage du pirate francophone. « J’ai remarqué la pharmacie pirate, souligne à la rédaction de zataz.com The Destroyer. J’ai repéré comment elle avait fait, j’ai réutilisé la même faille, une faille dans le spip installé. » Même sanction pour le site du Laboratoire Montpelliérain d’Economie Théorique et Appliquée « et presque tous ses sous domaines »  comme celui du Laboratoire d´Economie Expérimentale de Montpellier ou le site de gestion des expériences du LEEM. Inquiétant ? Oui ! Surtout quand les attaques concernaient aussi le site du Département des Ressources Informatiques de Montpellier2. « Le plus drôle, termine le pirate, le cas d’un sous domaine d’univ-paris-diderot.fr, et son petit login.txt à la racine avec les identifiants de connexion de l’admin spip« .

google alerte

Les failles, corrigées depuis le passage du pirate, était pourtant connue depuis longue date. Elle aurait pu permettre de récupérer absolument toutes les données personnelle stockées sur les serveurs, aussi bien celles des étudiants que celles du personnel. TheDestroyer indique ne pas avoir copié les données. « Mon but n’est pas de donner des informations aux pirates effectuant du phishing, mais de faire comprendre aux administrateurs systèmes de l’Education Nationale l’importance de la relecture du code existant et des mises a jour des CMS tel que spip« .

Bref, si le piratage comme moyen de protestation n’est pas la meilleure idée du monde, l’auteur risque tout de même 5 ans de prison et plusieurs dizaines de milliers d’euros d’amende, il aura eu le mérite de montrer que la sécurisation des données des étudiants est loin d’être la priorité de certaines écoles ; que la mise à jour de CMS tel que SPIP ne devrait pas être qu’une note de service signée du CERT France.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. phanatiks Reply

    Même si cela fait bien d’un point de vue journalistique, il y a un grand pas entre pirater un CMS qui décrit les activités d’un labo ou d’une université et celui de « récupérer absolument toutes les données personnelle stockées sur les serveurs, aussi bien celles des étudiants que celles du personnel ».
    C’est utile de montrer les faiblesses, inutile de faire du catastrophisme…

    • Damien Bancal Reply

      Bonjour,
      Sauf que dans certains des cas cités, il y a bien plus que de visiter un CMS, comme l’installation d’un shell (Backdoor / porte cachée) qui semble avoir permis à ce pirate des visites indiscrètes.

  2. Butchu Reply

    Absolument affligeant. Lui s’amuse beaucoup mais il faut savoir que, dans les laboratoires par exemple, les sites internet sont gérés par des volontaires bénévoles qui vont perdre beaucoup de temps avec ces conneries. Je peux vous démontrer que toutes les carreaux de votre maison sont fragiles: si je lance une pierre assez fort, elles cassent… C’est du même niveau.

  3. bangbang Reply

    L’information est intéressante. On peut discuter des intentions de TheDestroyer : est-il de bonne volonté ou juste à la recherche de notoriété style kikoolol..
    Toujours est-il que nous sommes en face de failles de sécurité, non comblées.

    Mais, pour bien connaitre le milieu, je dirais que le résultat est bien meilleur que ce que j’aurais pu craindre. Entre
    – les diverses entités de chaque université (laboratoires, équipes de recherche écoles internes, instituts, etc.) avec chacune son site web,
    – la culture d’ouverture universitaire (quasiment génétique),
    – le peu de considération (ne parlons même pas de moyens) dévolue à la sécurité,
    – l’utilisation des bonnes volontés (qui n’ont souvent pas pu suivre de formation idoine) comme administrateur,

    le résultat est loin d’être apocalyptique.

  4. CB Reply

    La réaction de Butchu est effectivement la bonne. Si ce cher monsieur TheDestroyer se met à vandaliser toutes les voitures qu’il croisent en cassant les pare-brises, en rayant les carrosserie en arrachant les sacs des personnes âgées et en allant clamer haut et fort dans la rue leur courrier personnel subtilisé dans leur sac, va-t-on faire un article pour expliquer que nous avons à faire à un génie qui donne des leçons aux fabriquant d’automobiles ? aux personnes agés ?
    Tant que l’on écrira des articles de la sorte et que l’on ne commencera pas à expliquer clairement aux lecteurs en préambule que l’on a à faire à un simple petit délinquant au comportement asocial et que mettre le nez dans les affaires qui ne sont pas les nôtres, même quand on en a la possibilité (et croyez moi dans la vie courante on en a souvent l’occasion sans que le magnifique TheDestroyer nous en donne les ficelles) est avant tout un comportement de savoir vivre dans la société et non une marque de génie, on avancera pas sur une bonne compréhension du comportement social numérique.

    • Damien Bancal Reply

      Bonjour,
      CB : Je pense que les articles de lois sont justement là pour rappeler que ce genre d’acte est un délit.
      Nous ne donnons que les faits. Eviter/édulcorer l’information parce qu’elle est provoquée par un vandale est votre idée, pourquoi pas. Seulement notre mission est d’alerter, et sans cette alerte, vous seriez peut-être encore infiltré par je ne sais qui, et les données des élèves, profs, … dans les mains de gens encore moins recommandables. Si un vandale casse un pare-brise, et qu’il vole dans la voiture des milliers de dossiers qui étaient en accès libre alors qu’ils ne devraient pas y être, je pense qu’avertir les propriétaire de la voiture et les inscrits, dans les dossiers, est une obligation.

      Pour finir, d’après les informations de la rédaction, le pirate n’est pas prêt de recommencer après sa rencontre avec « Les amis du petit déjeuner ».

  5. Francois carmignola Reply

    La problématique du « hacker » est toujours là: allez précipitez vous sur l’immonde salaud qui non seulement frappe la vieille dame mais a le bon gout d’en discuter cyniquement.

    Au fait, vous avez une idée de ce que font VRAIMENT ceux qui ne publient pas leur exploits ?

    Honneur aux idéalistes qui malgré la bêtise des gouvernants et des gouvernés continuent de faire appel à l’intelligence des bénévoles ! Et oui, rien n’empêche et tout oblige le bénévole à être malin !

    Vive cette nouvelle chevalerie !

  6. Francois carmignola Reply

    Au cas où mon emportement porterait à ambiguité.
    Zataz est l’honneur du web Français et je lui adresse mes salutations les plus respectueuses.

    Contrairement à ce que continue de dire et faire croire la loi Française, la protection individuelle contre le mal issu de l’internet doit être assumé individuellement. Cela s’appelle la responsabilité dans un univers global.
    L’Etat ne peut assumer cette mission: c’est à NOUS de le faire !

  7. TheDestroyer Reply

    Bon, rapidement.

    Juste pour dire que l’article est parfaitement juste, dans le cas de l’université du havre et de l’université Paris Diderot , ayant récupéré y accès complet au serveurs principaux, j’aurais effectivement pus récupérer absolument toute les donnée stoquée sur les serveurs. Absolument tout. Mais je ne l’ai pas fait. Par ailleurs j’ai été interpellé par la dgsi, à cause de ça. Comme ça j’ai été sanctionné . Content?

    • Orla Reply

      Bonjour Destroyer, je travaille à l’université du havre (enseignant chercheur). Je dirige une petite structure qui fait partie de l’ensemble et on crée un nouveau site pour cette structure. Si on le fait en CSM wordpress, et si jamais vous décidez d’attaquer le site de nouveau, est-ce que vous allez pouvoir mettre hors service notre site en même temps? ou est-ce que le fait d’être en wordpress va nous protéger un peu dans la mesure où le site est en CMS spip? merci de votre aide, bien cordialement, Orla

      • Damien Bancal Reply

        Bonjour,
        Je doute que ce pirate vous réponde. Il faut savoir que peu importe le CMS, l’important est de toujours le mettre à jour. Sous WordPress (qui vient de passer en Version 4.0) les mises à jour sont rapides et surtout très lisibles pour des non-avertis. Il est important aussi de limiter les Widgets (appplications) et penser à la MàJ de ces derniéres. N’hésitez surtout pas, non plus, à utiliser une double authentification pour votre WordPress comme expliqué ici -> http://www.datasecuritybreach.fr/configurer-efficacement-la-double-identification-google/#axzz3CWxvC26q

        Cordialement

        • Orla Reply

          bonjour et merci, oui, nous serons très vigilants en termes de mises à jour, et nous allons suivre vos conseils sur l’authentification. Merci, bien cordialement, Orla

  8. Orla Reply

    Pardon, je précise. Nous on crée un site en CMS wordpress et il est question de l’héberger sur le site de l’université (toujours hors service, soit dit en passant), et je voulais savoir si le fait que notre site soit en CMS wordpress va le protéger un peu si jamais vous attaquez de nouveau le site de l’université (en spip). Merci de votre aide, bien cordialement, Orla

Répondre à Francois carmignola Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.