Un ex-entraîneur de football américain accusé de piratage massif de données universitaires

Posted On 25 Mar 2025

Un ancien entraîneur adjoint de l’équipe de football de l’université du Michigan, Matthew Weiss, a été inculpé jeudi par les procureurs fédéraux pour avoir piraté les bases de données d’athlètes de plus de 100 établissements universitaires américains, accédant ainsi aux informations médicales d’environ 150 000 personnes.

Matthew Weiss, 42 ans, a travaillé comme coordinateur offensif adjoint à l’université du Michigan pendant deux saisons après avoir été employé dans des postes mineurs au sein des Ravens de Baltimore en NFL. Selon l’acte d’accusation dévoilé par le ministère de la Justice, il aurait accédé illégalement aux bases de données d’athlètes universitaires entre 2015 et janvier 2023. Ces bases de données étaient gérées par la société Keffer Development Services, connue sous le nom de Athletic Trainer System.

Recruté par l’université du Michigan en 2021, Weiss a été licencié en janvier 2023. Les procureurs ont affirmé qu’il avait téléchargé les informations personnelles et médicales de plus de 150 000 athlètes, et qu’il s’était introduit dans les comptes de médias sociaux, de messagerie et de stockage en ligne de plus de 2 000 athlètes cibles. Parmi eux, 1 300 étaient des étudiants ou des anciens élèves issus d’universités à travers tout le pays.

Selon l’acte d’accusation, Weiss visait principalement des sportives universitaires, en les ciblant en fonction de leur établissement, de leur passé sportif et de leurs caractéristiques physiques. Son objectif était d’obtenir des photographies et des vidéos privées qui n’étaient destinées qu’à des partenaires intimes. Weiss aurait même tenu des notes sur certaines femmes et aurait continué à les suivre, parfois en revenant sur leurs comptes piratés des mois, voire des années plus tard.

Service de Veille ZATAZ – 96% de satisfaction

Pour atteindre ses objectifs, Weiss aurait compromis les mots de passe de 150 comptes administrateurs sur la plateforme Keffer Development Services. Ces comptes offraient des niveaux d’accès élevés normalement réservés aux entraîneurs et directeurs sportifs. Il aurait également réussi à « craquer le chiffrement » protégeant les mots de passe d’athlètes individuels, grâce à des techniques qu’il aurait apprises lors de recherches en ligne. Bref, il est tombé sur des mots de passe « protégés » par du MD5 et a exploité des outils gratuits et licites tel que crackstation.

L’acte d’accusation révèle aussi que Weiss aurait exploité des failles dans les processus d’authentification des comptes universitaires afin d’accéder aux comptes d’étudiants et d’anciens élèves. Si l’université du Michigan et le Westmont College sont les seules institutions nommées dans l’acte d’accusation, de nombreuses autres écoles seraient concernées par cette vaste opération de piratage.

Weiss fait face à 14 chefs d’accusation pour accès non autorisé à des ordinateurs et à 10 chefs d’accusation pour usurpation d’identité aggravée. Chaque chef de piratage est passible d’une peine maximale de cinq ans, et chaque chef de vol d’identité d’une peine supplémentaire de deux ans. Autant dire qu’il va passer pas mal d’années en prison à se faire des amis !

L’université du Michigan s’est abstenue de tout commentaire sur l’inculpation. En janvier 2023, elle avait déclaré à ESPN enquêter sur un « signalement de crimes informatiques » qui aurait eu lieu dans les locaux de l’équipe en décembre 2022. La faculté avait alors inscrit dans son registre des crimes qu’un « employé avait signalé une activité frauduleuse impliquant un accès non autorisé à des comptes e-mails universitaires« .

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.