Droit de suite :
Depuis la publication de cet article, la plainte déposée par l’Université fédérale Toulouse-Midi-Pyrénées (UFTMP) a fait l’objet d’un classement sans suite. Également, aucunes des données des étudiants n’ont été exfiltrées ni exploitées par des tiers non autorisés.
La société française Gedivote avait été mandatée par l’Université de Toulouse pour organiser un vote électronique dans l’objectif d’élire le représentant des étudiants au conseil d’administration de l’Université. Malheureusement tout ne s’est pas déroulé comme prévu d’après les révélations de Médiacités. En effet, le 14 février 2020, l’Université a découvert que les données personnelles des 105 000 étudiants et des 12 000 employés rattachés à l’établissement public avaient été piratées.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
L’Université de Toulouse victime d’une faille de sécurité de taille
L’Université fédérale Toulouse-Midi-Pyrénées (UFTMP) regroupe 31 établissements d’enseignement supérieur. L’INRA, les écoles d’ingénieurs, les organismes de recherche et l’ensemble des organes liés à l’Université de la région sont concernés. La société Gedivote avait mis en place un système de vote électronique en vue des élections qui devaient se dérouler les 31 mars et 2 avril prochains. Une erreur se serait produite dans le système de protection des fichiers. Les données des 117 000 membres de l’Université ont donc été dévoilées.
[INFO MEDIACITES] Les données personnelles des 117 000 étudiants et personnels universitaires de @Univ_Toulouse se sont retrouvées quelques heures en libre accès sur la toile à cause d'une faille de sécurité. https://t.co/WnZO1bUhpl
— Mediacités Toulouse (@MediacitesTlse) February 21, 2020
Les noms, prénoms, dates de naissance, adresses e-mails, Numéros d’Identification National Étudiant unique (INE), ou encore l’établissement de rattachement sont les données qui étaient accessibles sur le web. D’après les informations relayées par Médiacités, celles-ci ont été téléchargées par des programmes malveillants, hébergés en Europe de l’Est. De quoi inquiéter les étudiants concernés. Tout le monde est désormais au courant du problème.
Afin que les électeurs puissent voter depuis leur domicile, la société Gedivote avait reçu les informations des 117 000 membres de l’Université. Un vote électronique devait être organisé, mais l’initiative a tourné au fiasco. Les données personnelles des étudiants auraient été dévoilées sur le web pendant environ une heure, puis transférées vers des serveurs d’Europe de l’Est. Le président de l’Université de Toulouse, Philippe Raimbault, ne prend aucun risque et affirme que « la responsabilité de cette faille de sécurité incombe à notre prestataire Gedivote ».
En Australie, les données d’étudiants avaient déjà été volées
Une histoire qui n’est pas sans nous rappeler le piratage de l’Université Nationale Australienne, en juin 2019. L’attaque, d’une ampleur phénoménale, avait compromis plus de 19 années de données personnelles.
À l’époque, le vice-chancelier Brian Schmidt expliquait qu’un « accès non autorisé à des quantités importantes de données avait eu lieu ». Les pirates avaient pu récolter les dossiers universitaires, les passeports des étudiants ainsi que leurs données bancaires…