Les étudiants du pôle universitaire Léonard-de-Vinci ont commencé la semaine avec une mauvaise nouvelle : dans un e-mail, l’administration de cet établissement privé d’études supérieures, basé à Courbevoie (Hauts-de-Seine), leur a annoncé qu’une cyberattaque avait eu lieu samedi 24 septembre, à 23 heures.
Selon l’administration du pôle, les attaquants sont parvenus à accéder à un serveur utilisé pour héberger des applications de l’établissement, ce qui leur a permis de dérober des données personnelles d’élèves et du personnel des trois écoles et de l’institut de formation continue qui composent le pôle Léonard-de-Vinci. Une première communication a été diffusée sur les réseaux internes de ce dernier dimanche, à trois heures du matin, avant l’envoi, le lendemain, du courriel à l’ensemble des élèves, anciens étudiants et intervenants.
Parmi les données concernées par le vol, on retrouve « l’état civil, les coordonnées, les données relatives à des informations bancaires, les documents officiels et administratifs et les données de parcours académiques », détaille le communiqué. Concernant les informations bancaires, le document précise qu’il s’agissait essentiellement de numéros IBAN et que les données des cartes bancaires n’ont pas été affectées par le piratage, tout comme les identifiants d’accès aux outils informatiques du pôle.
Durant le week-end, deux comptes Twitter ont revendiqué l’attaque et ont partagé des captures d’écran montrant les fichiers en leur possession pour prouver leurs dires. Les deux internautes ont tenté d’interpeller le pôle Léonard-de-Vinci pour négocier un accord et empêcher la divulgation des données. La direction de l’école a confirmé auprès du Monde avoir été contactée par les pirates, sans préciser toutefois leurs revendications.
Pas de blocage des systèmes
Contacté par Le Monde, l’un des comptes ayant revendiqué l’attaque assure avoir exploité des vulnérabilités et des failles de sécurité non corrigées sur le serveur ciblé. Il affirme avoir ainsi pu dérober « près d’un téraoctet de données », regroupant les données personnelles collectées par l’ensemble du pôle depuis 2015. Ce dernier compte au total 9 500 étudiants et plus de 12 000 diplômés.
Le profil des attaquants ne correspond pas à celui de la cybercriminalité organisée, que l’on retrouve fréquemment dans les attaques de rançongiciel. La direction du pôle explique d’ailleurs que l’ensemble des services informatiques fonctionnait correctement et que les cours ont pu être assurés sans problème. Il ne s’agit donc pas, à première vue, d’un piratage visant à bloquer le fonctionnement des outils informatiques, mais uniquement à subtiliser des données.
Le pôle Léonard-de-Vinci a déposé plainte mardi et dit être en contact étroit avec l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la
communication (OCLCTIC). L’enquête a été confiée au parquet de Paris. L’administration affirme avoir également signalé l’incident auprès de l’Agence nationale de la sécurité des systèmes d’information (Anssi) ainsi qu’à la Commission nationale de l’informatique et des libertés (CNIL) dans la journée de lundi.