Fuite de données colmatée pour l’Université de Bordeaux
Un problème informatique à l’université de Bordeaux donnait accès à plus de 15 000 dossiers d’étudiants. La CNIL est intervenue à la suite du protocole d’alerte de ZATAZ pour faire colmater une fuite de données que personne n’avait vue.
Les fuites de données, comme vous le savez si vous suivez régulièrement ZATAZ, sont malheureusement légions. Depuis la création de ZATAZ.COM, voilà bientôt 20 ans, pas une journée sans qu’un internaute, ou votre serviteur, n’utilise le protocole d’alerte de ZATAZ pour faire corriger une négligence ou un manquement à une obligation de sécurité. Cette fois, c’est Benjamin, lecteur de ZATAZ, qui s’est retrouvé nez-à-nez, avec des données qui ne lui appartenaient pas.
Plus de 15 000 dossiers étudiants en open bar dans cette fuite de données
Tout a débuté voilà quelques semaines. Benjamin postule sur la plateforme APOFLUX de l’Université de Bordeaux. Rapidement, APOFLUX permet de déposer ses vœux pour rejoindre un cursus, une formation. Comme l’indique le site, APOFLUX est un outil de dépôt de vœux « Il ne s’agit en aucun cas de votre inscription administrative définitive à l’Université de Bordeaux« . Bref, un espace ou les étudiants déposent des dizaines d’informations allant du simple au très sensible. « En cherchant une information sur mon dossier, m’expliquait alors Benjamin, je me suis rendu compte d’un – truc – plutôt moche« . Et je trouve que le terme moche est très poli. Via un espace web non protégé baptisé « Dépôt », n’importe quel internaute avait accès à l’ensemble des dossiers des étudiants postulants. Chaque espace de stockage offrait à la lecture des curieux, de maladroits de la souris ou de violeurs d’intimité numérique, les relevés de notes, lettres de motivations, CV… ainsi qu’à l’ensemble des candidatures passées par APOFLUX. Le lien avait beau être en HTTPS, le S voulant dire que les connexions entre l’internaute et le serveur était chiffré, cela ne protégeait pas pour autant les informations sauvegardées.
Fuite de données colmatée, étudiant dans le silence
J’ai saisi la CNIL, qui au passage est d’une efficacité redoutable dès que je leur communique une alerte. Le problème a été colmaté en quelques heures. Pour le moment, l’université n’a pas contacté les étudiants concernés par cette fuite d’information. Espérons qu’aucun malveillant ne soit passé par là avant l’alerte de ZATAZ. Impossible de savoir depuis quand ces « portes ouvertes » étaient accessibles sur la toile.
A noter que lors de la Nuit du Hack 2016 [lire], 15 alertes m’ont été rapportées lors du confessionnal ZATAZ. L’une d’elle concerne une fuite de données très importante (elle concerne des dizaines de milliers d’informations de Français). Nous en reparlerons, en temps et en heure. La CNIL est sur l’affaire.