Toulouse a beau être le berceau d’Occitanie Data, une structure créée en janvier 2019 et spécialisée dans l’économie des données, elle a encore des progrès à faire dans la cybersécurité.
L’Université fédérale Toulouse-Midi-Pyrénées (UFTMP), organe regroupant les 31 établissements d’enseignement supérieur et de recherche de Toulouse et sa région, dont les universités, les écoles d’ingénieurs comme l’INRA et les organismes de recherche comme le CNRS, a découvert avec stupeur le 14 février, que les données informatiques de ses 105 000 étudiants et 12 000 personnels avaient été piratées. Noms, prénoms, dates de naissance, mails institutionnels, établissements de rattachement, et numéros d’identification national étudiant unique (INE) se sont donc retrouvés librement sur le net et ont été téléchargés par des programmes informatiques hébergés, selon nos informations, en Europe de l’Est.
À l’origine de la faille : l’entreprise française Gedivote , filiale de Gedicom. Spécialiste du vote électronique, la société avait été mandatée par l’UFTMP pour organiser l’élection du représentant étudiant de son conseil d’administration. En vue du scrutin prévu du 31 mars au 2 avril, l’entreprise avait reçu les contacts des 117 000 étudiants et personnels.
« Droit de suite » (07/02/2022) :
Dans une lettre recommandée réceptionnée à la rédaction, Gedivote tient à répéter « qu’à aucun moment les données des étudiantes n’ont été exfiltrées et exploitées par des tiers non autorisés ». L’entreprise affirme que « la plainte de l’université fédérale de Toulouse-Midi-Pyrénées a fait l’objet d’un classement sans suite en l’absence d’éléments pouvant donner suite à des poursuites pénales contre quiconque ». Elle assure enfin veiller « au parfait respect du cadre réglementaire et à un très haut niveau de sécurisation de ses solutions, qui sont régulièrement mises à l’épreuve dans le cadre de processus électoraux particulièrement sensibles. Ces solutions, dont le détail est présenté sur son site gedivote.fr mettent en effet en œuvre des technologies garantissant l’intégrité et la confidentialité du vote électronique ».
Déclaration de violation à la CNIL
C’est le délégué à la protection des données de l’Institut National Universitaire Champollion, à Albi, qui a découvert le piratage. « À l’occasion d’une vérification, il s’est rendu compte qu’il y avait eu un accès à ces données. Nous avons eu l’information à 13 h 08, et à 14 h, notre prestataire a tout coupé pour empêcher l’accès à ces données, explique Philippe Raimbault, le président de l’Université fédérale. Nous avions pris toutes les précautions d’usage. L’erreur vient clairement de ce prestataire ». Le président assure avoir choisi Gedivote, dans le cadre d’un marché public, « parce qu’il avait des références sérieuses. Nous avions déjà procédé par vote électronique au renouvellement des représentants étudiants il y a deux ans, avec un autre prestataire, et tout s’était bien passé. Ce vote électronique était le premier de cette ampleur ».
Une déclaration de violation des données a été transmise à la Commission Nationale de l’Informatique et des Libertés (CNIL), qui nous a confirmé avoir reçu cette notification. Depuis une semaine, tous les directeurs d’établissement, délégués à la protection des données et responsables sécurité informatique sont sur le pont, en coordination avec l’Université Fédérale, pour réparer cette « vertigineuse » faille de sécurité, aux dires de l’un des établissements concernés.
Inédite pour l’université toulousaine, la fuite n’alarme pas outre mesure l’expert en cybersécurité Baptiste Robert. « Le risque principal est l’usurpation d’identité. Qu’est ce qu’un attaquant peut faire avec ces infos ? Probablement, créer une fausse carte étudiante et changer le dossier d’un étudiant, remarque le Toulousain. Cela n’est pas top en termes d’image, mais ce n’est pas la fin du monde. Il y a des fuites de données tous les jours et c’est quelque chose que l’on verra de plus en plus dans les années à venir. »
« Rien ne remet en cause la sécurité du scrutin »
L’UFTMP a prévenu dès vendredi dernier tous les établissements et saisi le comité électoral, composé de représentants des 31 structures. Une réunion avec les délégués à la protection des données a été organisée mardi, afin de « constater l’ampleur de la violation et de décider des mesures à mettre en œuvre pour s’assurer de la sécurité du scrutin et communiquer à l’égard du personnel et des étudiants, affirme Philippe Raimbault. Selon les éléments dont on dispose, il y a eu un vol de données, mais rien ne remet en cause la sécurité du scrutin ».
Quant aux étudiants et personnels concernés, qui sont en vacances cette semaine, ils vont recevoir dans les prochaines heures un courriel les prévenant de l’accident survenu. « Avant de communiquer, nous devions consolider le constat et préciser quelles avaient été nos réactions pour résoudre le problème. Nous pouvons nous rassurer d’une chose, c’est que le piratage est l’œuvre de machines et non pas une action ciblée pour frauder les élections », précise le président de l’université fédérale.
Les procédures actuelles dans cette affaire sont sous la surveillance particulière de la CNIL, et un expert a été mandaté, comme prévu dans ce type de scrutin, pour suivre les élections. « Nous avions choisi le vote électronique dans l’espoir d’obtenir un meilleur taux de participation des étudiants. C’était aussi moins contraignant au niveau de l’organisation », remarque Philippe Raimbault. Il n’empêche, l’événement a de quoi rendre fébriles les établissements toulousains, lorsqu’ils organiseront à nouveau un vote électronique.
Aucun commentaire pour l'instant