Université de New York : un pirate expose les données de plus de 3 millions de candidats

Posted On 27 Mar 2025

Un pirate informatique a pris le contrôle du site Web de l’université de New York (NYU) pendant plus de deux heures samedi matin, divulguant les informations personnelles de plus de 3 millions de candidats. Les données compromises incluent les résultats aux tests d’admission, les spécialisations choisies, les codes postaux et des informations sensibles sur les membres de la famille et l’aide financière, remontant à au moins 1989.

L’attaque, qui a mis en lumière des pratiques controversées en matière d’admission à NYU, survient dans un contexte tendu marqué par l’annulation de la discrimination positive par la Cour suprême américaine en 2023. La divulgation de ces données, notamment les écarts entre les résultats scolaires des candidats issus de différentes origines ethniques, soulève des questions sensibles sur les politiques d’admission de l’une des universités les plus prestigieuses des États-Unis.

Une attaque coordonnée et une fuite massive de données

L’incident a été détecté pour la première fois par un utilisateur sur Reddit vers 10 h 30 le samedi matin, signalant que le site de NYU affichait un contenu inhabituel. La page piratée comportait trois graphiques détaillant les scores moyens au SAT et à l’ACT ainsi que les moyennes générales des candidats admis pour le cycle d’admission 2024-2025. Ces graphiques mettaient en évidence des différences marquées entre les résultats des candidats asiatiques et blancs, comparés à ceux des candidats hispaniques et noirs.

Selon le groupe de pirates responsable de l’attaque, ces données démontreraient que NYU aurait continué à pratiquer une forme de discrimination positive, malgré la décision de la Cour suprême en 2023 d’interdire la prise en compte des critères raciaux dans le processus d’admission. Le message publié sur la page piratée accusait directement l’université de contourner cette interdiction, maintenant des critères de sélection favorisant certaines catégories de candidats.

En plus des graphiques, le pirate a rendu accessibles quatre fichiers CSV contenant une quantité massive de données sensibles sur les admissions à NYU. Ces fichiers, accessibles librement pendant au moins deux heures, comprenaient : Les candidatures de plus de 3 millions d’étudiants admis à NYU depuis 1989. (Le Service Veille ZATAZ a pu constater des européens dans la liste) ; Les résultats détaillés aux tests d’admission (SAT et ACT) ; Les informations sur la spécialisation choisie et le statut de la candidature (acceptée, refusée ou mise en attente) ; Les données démographiques des candidats, y compris la citoyenneté et le code postal de résidence ; Les informations financières, y compris les demandes d’aide financière ; Des informations personnelles sur les parents et les frères et sœurs des candidats.

La publication de ces informations représente une violation massive de la confidentialité des données, exposant potentiellement les candidats à des risques de vol d’identité et d’exploitation des informations sensibles. L’accès à des informations aussi sensibles, y compris sur les aides financières et la composition familiale, ouvre la voie à des campagnes de phishing ciblées et à une utilisation malveillante de ces données.

Service de Veille ZATAZ – 96% de satisfaction

Une faille de sécurité dans le système d’admission

L’université de New York a confirmé l’attaque et a déclaré que le site web compromis avait été restauré peu après midi le samedi. Les ingénieurs de NYU ont immédiatement fermé l’accès aux fichiers CSV et isolé les serveurs affectés pour empêcher une nouvelle intrusion.

Une enquête interne a été ouverte pour déterminer comment le pirate a pu infiltrer le réseau de l’université et accéder à des données aussi sensibles. Les premières analyses suggèrent que l’attaque pourrait avoir exploité une vulnérabilité dans le système de gestion des admissions, utilisé pour traiter les dossiers de candidature et les demandes d’aide financière.

Le fait que le pirate ait pu accéder à des données remontant à plus de 35 ans soulève également des questions sur la gestion des archives numériques de NYU et sur la sécurité des données historiques. La conservation de données aussi anciennes sans protection adéquate constitue une faille majeure dans les pratiques de sécurité de l’université.

La publication des résultats aux tests et des données démographiques pourrait avoir des répercussions juridiques et politiques importantes pour NYU. La divulgation de différences de traitement entre les candidats en fonction de leur origine ethnique intervient dans un climat tendu, marqué par la fin officielle des politiques de discrimination positive dans l’enseignement supérieur.

Cette fuite pourrait être utilisée comme preuve dans d’éventuelles poursuites contre NYU, accusée de maintenir des pratiques d’admission contraires à la décision de la Cour suprême. Les parents des candidats affectés pourraient également déposer des plaintes pour atteinte à la confidentialité des données et préjudice moral.

NYU a contacté les candidats affectés par l’incident et leur a recommandé de surveiller leurs comptes bancaires et leurs informations personnelles pour détecter toute activité suspecte. L’université a également proposé une année gratuite de surveillance du crédit et de protection contre le vol d’identité aux candidats touchés par la fuite. Comme d’habitude, le cadeau qui cache l’enfer de la fuite de données qui risque d’impacter les victimes bien plus longtemps que les pseudos 365 jours de protection !

Lors de la période « COVID », la NYU s’était fait voler des données bancaires via sa boutique dédiée aux robes de remise de diplômes.

Pendant ce temps…

L’administration Trump veut transférer la responsabilité de la cybersécurité des infrastructures critiques aux États

L’administration Trump a signé un décret visant à confier davantage de responsabilités aux gouvernements des États et des collectivités locales pour protéger les infrastructures critiques du pays, notamment les services publics d’eau, les ports et les réseaux énergétiques, contre les cyberattaques. Cette initiative, qui reflète une volonté de décentralisation de la cybersécurité, soulève toutefois de nombreuses questions sur la capacité des États à assumer ce rôle en l’absence de financement fédéral suffisant.

Le décret présidentiel signé mardi par Donald Trump demande aux principaux conseillers en sécurité de la Maison-Blanche d’élaborer un plan national de résilience pour renforcer la protection des infrastructures critiques. L’objectif affiché est de déplacer la responsabilité de la gestion des cybermenaces du niveau fédéral vers les États et les collectivités locales, en affirmant que ces derniers sont mieux placés pour assurer une réponse rapide et adaptée.

« La politique fédérale doit reconnaître que la préparation est plus efficacement détenue et gérée au niveau des États, des collectivités locales et même des individus, soutenus par un gouvernement fédéral compétent, accessible et efficace, » a déclaré le président Trump lors de la signature du décret.

L’idée sous-jacente est que la proximité des gouvernements locaux avec les infrastructures critiques leur permettrait de mieux anticiper et répondre aux cyberattaques. Les réseaux d’eau potable, les installations énergétiques, les ports et les systèmes de transport sont souvent gérés localement, ce qui donne aux autorités locales une meilleure visibilité sur les menaces potentielles.

Service de Veille ZATAZ – 96% de satisfaction

Une décentralisation sans financement ?

Cependant, cette volonté de transférer la responsabilité aux États s’accompagne d’une réduction significative des ressources fédérales allouées à la cybersécurité. Une semaine avant la signature du décret, le Department of Homeland Security (DHS) a annoncé une coupe budgétaire de 10 millions de dollars, soit environ la moitié du financement fédéral destiné au Multi-State Information Sharing and Analysis Center (MS-ISAC).

Le MS-ISAC, géré par le Center for Internet Security (CIS), joue un rôle clé dans la coordination et le partage de renseignements sur les cybermenaces entre les agences de cybersécurité au niveau des États. Cette coupe budgétaire laisse planer une incertitude sur la capacité des États à faire face à des menaces sophistiquées, notamment celles provenant d’acteurs étatiques étrangers.

Une porte-parole du Center for Internet Security a déclaré que ces réductions de financement affaibliront gravement la capacité des gouvernements des États à faire face aux cyberattaques, en particulier face à des menaces provenant de puissances étrangères comme la Russie ou la Chine.

« Les États ne disposent pas des ressources ni de l’expertise technique nécessaires pour contrer seuls des attaques coordonnées par des acteurs étatiques, » a-t-elle déclaré. « La réduction du financement fédéral compromet directement la sécurité des infrastructures critiques.«

Cette décision intervient à un moment où les menaces de cyberattaques dirigées par des États étrangers sont en augmentation. Les attaques de type ransomware contre des infrastructures critiques, comme les systèmes d’eau et d’énergie, sont devenues plus fréquentes et plus sophistiquées.

En 2021, une attaque contre le réseau d’approvisionnement en eau de Oldsmar, en Floride, avait illustré la vulnérabilité des infrastructures locales. Un pirate informatique avait réussi à modifier à distance les niveaux de soude caustique dans l’eau potable, menaçant directement la santé des résidents. Ce type d’attaque met en évidence les risques associés à une sécurisation insuffisante des infrastructures gérées localement.

Transférer la responsabilité de la cybersécurité aux États sans un soutien financier et technique adéquat est une stratégie extrêmement risquée. Les infrastructures critiques sont devenues des cibles privilégiées des États hostiles. La Russie et la Chine testent constamment les défenses des États-Unis dans le cyberespace.

Certains observateurs estiment que cette décision pourrait précisément servir les intérêts de la Russie, en affaiblissant la capacité de réponse des États-Unis face à des attaques coordonnées.

Les conséquences potentielles pour la sécurité nationale

La cybersécurité des infrastructures critiques est traditionnellement considérée comme une responsabilité fédérale, en raison de l’implication directe des agences de renseignement et des capacités techniques de la National Security Agency (NSA) et du Cybersecurity and Infrastructure Security Agency (CISA).

Le transfert de responsabilité vers les États pose plusieurs problèmes stratégiques : Certains États, comme la Californie ou New York, disposent de ressources techniques et financières suffisantes pour renforcer leur cybersécurité. D’autres, notamment les États du Midwest et du Sud, manquent de spécialistes et de financements. Le MS-ISAC joue un rôle clé dans la coordination entre les États. La réduction de son financement pourrait fragmenter la réponse nationale face aux cybermenaces.

Une attaque coordonnée contre plusieurs infrastructures critiques locales pourrait avoir un effet domino, perturbant l’ensemble du réseau énergétique ou du système de transport national. La cybersécurité ne peut pas être gérée comme un problème local. Une attaque contre un réseau énergétique régional pourrait facilement s’étendre à d’autres États, voire au niveau fédéral. La réponse doit être nationale et coordonnée.

Une décision idéologique plus que stratégique ?

Le décret de Trump semble s’inscrire dans une logique politique de réduction du rôle du gouvernement fédéral, une tendance récurrente dans les décisions de son administration. La responsabilité accrue des États dans la gestion de la cybersécurité pourrait être interprétée comme une volonté de limiter l’implication du gouvernement central dans des domaines considérés comme relevant de la souveraineté locale.

Cependant, cette approche idéologique entre en contradiction avec la nature même des cybermenaces contemporaines, qui dépassent largement le cadre local. Les cyberattaques sont transnationales, souvent menées par des groupes liés à des États étrangers disposant de capacités technologiques sophistiquées.

Un État malveillant n’attaquera pas un État isolé — il visera l’infrastructure stratégique nationale. Une approche locale face à une menace globale est une erreur de jugement stratégique. (WSJ)

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.