L’université de Lyon 3 communique après un piratage

Après un nouveau piratage de données, l’Université de Lyon III a tenu à rassurer ses étudiants.

Il y a un an, ZATAZ.COM vous parlait d’une fuite de données concernant l’Université de Lyon III. Une fuite de données visant des étudiants, corrigée rapidement après un protocole d’alerte. Nous vous expliquions à l’épôque comment des pirates Chinois avaient mis la main sur plusieurs serveurs et se servaient des machines pour leurs actions malveillantes. A l’époque, déjà, l’université de Lyon 3 indiquait qu’elle allait faire appel à une société d’audit.

Il y a quelques jours, un « étudiant » a contacté le Monde, pour indiquer que l’établissement souffrait d’une nouvelle fuite d’informations appartenant aux élèves. Difficile de savoir quel type d’accès l’étudiant a-t-il pu avoir.

La direction de l’Université Jean Moulin Lyon 3 a écrit aux élèves, ce vendredi matin.  »
Vous avez sans doute été informé par la presse, qui s’en fait écho à la suite du Monde, que des données de scolarité étudiante auraient été piratées. Cela n’est en aucun cas avéré. Les quelques éléments transmis à ce média ne suffisent pas à prouver un piratage massif et leur authenticité ne peut être confirmée puisque ces données ne nous ont pas été directement transmises. indique le Directeur de cabinet du Président de Lyon 3. Par précaution, nous avons néanmoins considéré que le hackeur présumé était capable de faire ce qu’il prétendait lors des investigations que nous avons menées. Par ailleurs, sa démarche ne peut être considérée, malgré ses affirmations, comme altruiste et sans vocation à nuire aux étudiants. Si tel était la cas, il nous aurait contactés directement pour nous présenter les problèmes plutôt que de transmettre au Monde des informations dont nous ne pouvons vérifier la teneur. Le résultat est donc une situation génératrice d’angoisse pour les étudiants, une mise en cause du professionnalisme de certains personnels et une dégradation de la réputation de notre université.« 

Bilan la direction a décidé de déposer plainte. A noter que le courriel envoyé ce vendredi matin indique qu’un audit, conduit en juin et juillet 2015 « par un prestataire externe« , a conclu à un niveau globalement assez bon de la gestion de la sécurité informatique dans l’université. « Les quelques failles de sécurité détectées ont été immédiatement corrigées« .

Le budget 2016 de l’établissement a rajouté un ligne de dépense pour conduire éventuellement un nouvel audit « et la Direction des Systèmes d’Information sera renforcée par un personnel dédié à l’analyse de la robustesse de nos systèmes face aux menaces externes (…) Croyez cependant que nous mettons en œuvre tous les moyens, techniques mais aussi juridiques, pour faire cesser ce harcèlement« .

Que les étudiants de Lyon 3 se rassurent (ou pas), cette semaine, 9 universités de taille ont été infiltrées et dépouillées de leurs bases de données, comme Stanford ou l’université Lasalle.

Un pirate annonce vol d'une BDD Univ. Stanford. En vérifiant, je découvre MDP dans du code oublié sur Github ! #cyberdéfense #cybersécurité

— Damien Bancal "o/" (@Damien_Bancal) October 21, 2015

L'université Lasalle (Philadelphie) vient de se faire pirater. Données volées. Des FR dans le lot. #cybersécurité #cyberdéfense

— Damien Bancal "o/" (@Damien_Bancal) October 24, 2015