Un pirate informatique s’attaque à l’Education Nationale

Dimanche 1^er juin, un pirate informatique du nom de The Destroyer a diffusé sur Internet, dans un espace publique et accessible en quelques clics de souris, à des dizaines de données sensibles concernant des sites oueb appartenant à l’Education Nationale.

Un étudiant frustré ? Un ancien employé malmené par la grande maison ? Ou tout simplement un fils de prof ou un internaute en manque de gloriole ? Impossible de vraiment le savoir. Le pirate informatique indique, cependant, avoir des motivations très ciblées, une rancune envers l’institution : « Pourquoi j’ai décidé de poutrer l’éducation nationale ? indique The Destroyer, C’est très simple. L’Education Nationale d’aujourd’hui est un échec total, retentissant (…) L’état préfère agrandir les prisons plutôt qu’améliorer les écoles. Et accessoirement, mettons aussi le fait que certains partis préféreraient accuser les étrangers de touts les malheurs Français, mais ça c’est une autre histoire qui ne concerne pas l’Education Nationale. » Bref, l’homme semble très en colère. A quelques jours des premiéres epreuves du Baccalauréat, voilà qui risque de perturber l’ambiance dans les rectorats, et au Ministére. « J’ai perdu trop de temps dans ce système révoltant. » accuse-t-il. Ce pirate informatique a donc décidé de faire payer l’école qui lui aurait « ruiné sa vie« . Dans sa diatribe, l’hacktiviste indique ne pas être un méchant et propose aux policiers de venir le chercher en toquant à sa porte à « 10h suffira« . Il dit assumer pleinement ses actes.

Bases de données et compagnie

L’homme indique avoir trouvé plusieurs faille touchant les sites de l’Éducation Nationale « dont plusieurs faille SQL » qui lui aurait donné des accès à des bases de données. L’individu parle des portails : education.gouv.fr ; eduscol.education.fr ; iufm.education.fr ou encore c2i.education.fr. Dans son message, le pirate explique avoir « caché » les failles pour éviter que d’autres passe derrière lui, sauf que quelques lignes plus loin il fournit méthode et données copiées. Il parle aussi de plusieurs autres sites faillibles à la vulnérabité Cross-Site Scripting : web2news.ac-versailles.fr ; conges.adc.education.fr ou encore infocentre.pleiade.education.fr. Pour rappel, un CSS, connu aussi sous le nom de XSS permet d’intercepter les cookies des internautes visiteurs, d’afficher de fausses informations, … [Exemples avec la NASA, ndrl] « L’Education Nationale est aussi catastrophique dans son existence réelle qu’au niveau de tout les nombreux et différents sites qui la représentent » termine-t-il. The Destroyer annonce qu’il diffusera, publiquement, les bases de données qu’il aurait téléchargé. La rédaction de zataz.com a pu constater une diffusion massive de liens pouvant être exploités par d’autres pirates. Les accès aux failles iSQL et XSS pour plusieurs sous-espaces de l’éducation nationale, ainsi que des bases de données, comme celle concernant le CNRAA d’Eduscol. Même sanction pour l’IUFM, avec la liste des utilisateurs mysql. Une liste qui comprend les identifiants de connexion et les mots de passe, chiffrés. Du chiffrement très leger. Nous avons pu découvrir certains d’entre eux en quelques secondes, offrant à notre regard des mots de quelques lettres !

Le pirate informatique The destroyer risque 5 ans de prison et 350.000 euros d’amende. La justice pourrait lui rajouter deux ans de prison supplémentaire, ses attaques ayant touché des sites étatiques.