données de Français corrige une fuite de données.

L’Université Lyon 2 corrige une fuite visant certains de ses étudiants

L’équipe informatique de l’Université Lyon 2 a corrigé un problème découvert dans son espace « dossier d’inscription ». Il était possible de consulter et modifier les données de certains étudiants.

La FAC de Lyon 2 corrige une fuite de données ! Le 24 août 2017 l’espace « Parcours Inscription » de l’Université Lyon 2 reprenait vie après quelques semaines de congés. Cet espace est destiné au processus d’inscription en ligne de l’université Lyon 2 Lumière. Les étudiants y fournissent leurs informations privées et sensibles afin de s’inscrire pour l’année universitaire à venir. Avant la correction, il suffisait de posséder le code des étudiants, 7 chiffres, pour accéder aux données en question. Des codes qui se suivaient. Bilan, 92829 pouvait s’appeler ZATAZ, 92828 s’appelait Damien, etc.

Un accès simple pour le premier malveillant venu à la recherche d’informations sensibles comme le numéro étudiant Lyon 2, le numéro de candidat l’APB, le code candidat, la date de naissance. La création d’un script d’automatisation aurai pu de « corrompre » toute la base d’inscription en master de l’université et de créer un beau bazar. Le protocole d’alerte de ZATAZ a mis dans la boucle l’ANSSI et le Ministère de l’Éducation. Faille corrigée quelques minutes. Dorénavant il est réclamé, en plus du code à 7 chiffres, la date de naissance de l’étudiant.

Corrige une fuite de données … avant qu’il ne soit trop tard !

En mai 2018, le RGPD, le nouveau Règlement Général sur la Protection des Données, entrera en vigueur en France. Une fuite, un piratage, une perte, une consultation non autorisée de données clients pourra être sanctionnée par la CNIL pécuniairement parlant. Même si c’est déjà le cas, voir l’exemple avec Hertz France, l’amende pourra atteindre 4% du CA de l’entreprise et jusqu’à 20 millions d’euros. Sans parler de l’obligation de rendre public le problème.

A noter que j’ai lancé le service ZATAZ Veille qui permet au particulier (gratuitement) et aux associations/entreprises de lancer une veille hebdomadaire sur les informations de leur choix (mail, url, …). Le Service ZATAZ Veille s’assure que vos informations ne sortent pas dans le blackmarket par exemple, et si c’est le cas, le service ZATAZ Veille fait de manière à alerter dans la minute les intéressés.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.