C’est une campagne de type « stealer », ces logiciels espions spécialisés dans le vol des données, qui a visé les usagers d’un lycée de l’académie de Rennes et permis un accès frauduleux. Voici la conclusion des experts du ministère de l’enseignement supérieur et de la recherche, transmises à ZDNET.fr après la fuite de données ayant affecté environ soixante lycéens, divulguée sur un forum spécialisé dimanche 23 juillet.
Pas de faille dans Parcoursup
Les investigations ont permis en effet « d’écarter rapidement toute forme d’intrusion et donc de faille dans le système d’information Parcoursup », contrairement aux allégations du hacker. Selon le ministère de Sylvie Retailleau, ce dernier aurait en fait réussi à voler des couples identifiant mot de passe d’usagers lui permettant d’accéder à la plateforme au sein du lycée.
Le hacker avait affirmé avoir accédé à l’un des espaces d’administration de Parcoursup et avoir exporté une partie de la base de données utilisateurs. Le fichier mis en ligne, relatif à une soixantaine d’élèves, divulguait de nombreuses informations personnelles, dont l’identité et les coordonnées du candidat et de ses parents.
Plainte et notification à la Cnil
Résultat: l’établissement scolaire a finalement déposé une plainte auprès du procureur de la République et notifié l’incident à la Cnil. Les élèves concernés ont été également informés. Cet incident, « indépendant du fonctionnement de Parcoursup », précise à nouveau le ministère, n’a eu « aucune répercussion » sur leur candidature à une formation post-bac.
Le ministère de l’enseignement supérieur et de la recherche signale enfin avoir pris plusieurs mesures de sécurité informatique pour éviter de nouvelles actions malveillantes de ce type. Comme par exemple encourager les usagers de la plateforme à « prendre les mesures simples pour garantir l’intégrité de leur identité numérique », telles que la mise à jour d’un antivirus ou le changement d’un mot de passe.