Cela faisait presque un an que le système informatique de l’université Lyon III-Jean Moulin a été attaqué et pénétré par des pirates informatique. Malgré les audits et correction, le cauchemars vient de recommencer…
Il ne fait aucun doute que les université sont des cibles prioritaires pour les cybercriminels. De nombreuses données privées y sont stockées et les systèmes sont souvent anciens ou négligés. Dans le cas de Lyon III, il est même incompréhensible de voir que les récents audits et correctifs appliqués n’ont absolument pas suffit à empêcher que le drame ne recommence !
Les données personnelles des étudiants se retrouvent donc accessibles une nouvelle fois par un pirate inconnu : Nom, prénom, téléphone, adresse mail, nationalité, date et lieu de naissance, situation familiale, adresse personnelle, adresse des parents, numéro de carte d’étudiant, numéros INE, BEA et INSEE, handicaps physiques, situation militaire, relevés de notes détaillés des semestres, messagerie personnelle, etc. Le pirate se présente comme étant un ancien étudiant de Lyon III, outré par le « manque de sérieux » des responsables informatiques de l’université. Il affirme sa volonté de ne pas nuire aux étudiants, mais simplement de vouloir tirer une fois de plus la sonnette d’alarme face à cette situation inacceptable.
Des vulnérabilités critiques non patchées
Selon le pirate et ses dires à Le Monde, diverses failles de sécurité des serveurs et applicatifs Web auraient été signalé dès décembre 2014, et auraient été colmaté « au compte-gouttes ».
« L’université a d’abord nié leur existence, malgré les explications permettant de les reproduire. », explique le hacker.
Peu après, une découverte importante attire l’attention des médias et les associations étudiantes demandent des comptes à l’administration de l’université : un backdoor sophistiqué, assimilable à un botnet est présent sur les serveurs de l’université. La encore, le hacker affirme que « le botnet est resté actif pendant des semaines. Au final, seules quelques failles ont été corrigées, malgré l’insistance de sociétés de sécurité qui ont fait remonter le message selon les règles».
Blackmarket lucratif
A noter que la précédente intrusion en 2014 avait donné lieu à une importante vente en ligne sur le blackmarket des données volées (sur un site spécialisé du Deep Web protégé via le réseau TOR). Rappelons que ce type de données valent très chères puisqu’elles permettront à d’autres cyber-escrocs de monter des opérations d’arnaque et de phishing d’envergure ciblées et de haute qualité envers les victimes. Surtout s’il l’acquéreur possède déjà d’autres bases de données et qu’il parvient à croiser les précieuses informations jusqu’à remonter à une carte bancaire…
Le pirate estime la valeur des données complètes d’un étudiant entre 35 et 70 dollar car elles sont très complètes, “riches”, et “fraîches”. Par ailleurs, elles concernent des dizaines de milliers personnes originaires d’un pays européen.
Cette fois, les failles de sécurité critiques ayant menées à cette nouvelle intrusion au sein du système universitaire seraient dangereuses car présentes dans les applicatifs Web publics et identifiables comme des vulnérabilités SQLi. Un autre expert anonyme apporte des précisions sur ces nouvelles failles, et explique dans un court document PasteBin :
« Ces datas peuvent être extraites à l’unité ou en masse, avec de simples scripts, dans votre langage de prédilection. Elles peuvent être extraites (…) en quelques clics, même par une personne n’ayant pas de connaissance informatique avancée… »
Audit de sécurité urgent
Face à la situation, Yves Condemine, directeur des systèmes d’information de Lyon III, souhaite remettre les choses au clair en expliquant que des audits ont été réalisés et que des faiblesses ont été corrigées. Quoi qu’il en soit, le piratage de 2014 est bien confirmé et réel.
Pour lui, même s’il reconnait qu’il est complexe de se protéger à 100% d’un pirate motivé, cette dernière attaque sans véritables preuves avancées ressemble plus à une volonté de nuire à la réputation de l’université. Affaire à suivre donc…
Les commentaires sont fermés.