Sciences Po, hacké, porte plainte contre X

Sciences Po a déposé plainte contre X après avoir été victime d’un piratage informatique, a déclaré mardi une porte-parole de l’école à La Péniche. L’intrusion informatique a été révélée plus tôt dans la journée par le journal Le Monde.

Retrouvez l’article du Monde : L’étonnant parcours du hackeur de Sciences Po

Alors que Le Monde affirme que l’intrusion portait sur « deux bases de données » personnelles « dont les mots de passe », « ainsi qu’une liste de 200 000 adresses e-mail de personnes ayant assisté à des événements organisés par la grande école », Sciences Po affirme que le piratage avait visé des « données non sensibles » et qu’« aucun mot de passe n’a été dérobé ».

Mercredi 8 mars au matin, Le Monde, dans un nouvel article, maintient ses informations : bien plus de données que ce qu’annonce l’école auraient été dérobées. Cela concerne notamment des informations personnelles d »étudiants en cours de scolarité, comme leur échelon de bourse ou numéro de téléphone. De plus, précise Le Monde « Les mots de passe de certains comptes étudiants étaient eux aussi accessibles dans une version chiffrée avec le protocole MD5, considéré comme faible par les spécialistes du chiffrement. »

Le hacker a également réagit sur Twitter :

https://twitter.com/_rabbindesbois_/status/839449273636880385

L’intrusion portait « sur une application dédiée à la gestion des événements », selon une porte-parole de l’école, qui précise que les données dérobées sont des noms et adresses e-mail « de personnes s’étant inscrites à l’un de nos événements. »

5347580266_f1bd0f238d_b
Marcie Casas / Flickr

Dans un article publié mardi 7 mars, Le Monde affirme avoir été contacté par un homme au pseudonyme « Rabbin des bois », affirmant avoir hacké Sciences Po. Assurant au journal n’avoir ni vendu ni publié ces données, le lycéen revendique une action « pour avertir le grand public. » « Je prends aux puissants pour montrer aux petits ce qui peut leur arriver ».

On lit dans l’article le récit d’un élève moyen, qui passe ses journée sur internet et commence à y gagner de l’argent. Il aurait tenté une première fois le concours de première année, sans succès. Après le piratage, il assure au Monde avoir discuté avec l’établissement pour expliquer « comment corriger les failles de sécurité ayant permis le piratage ». Le hacker affirme avoir envoyé une demande anonyme sollicitant une admission au sein de l’école. De son côté, Sciences Po dit qu’une « personne anonyme se présentant comme l’auteur de cette tentative a contacté nos services en sollicitant une admission à Sciences Po. Il n’a évidemment pas été donné suite à cette demande. » Selon Le Monde, « Rabbin des Bois » tente cette année de nouveau le concours, ce qui parait impossible au vu des procédures d’admissions.

Le lycéen auto-revendiqué du hacking se fait le porte-parole d’une génération biberonnée au code, comme il l’explique au Monde :  « Des mecs comme moi, dans dix ou quinze ans, il n’y aura plus que ça, et personne ne semble en avoir conscience. Le “hack” de Sciences Po, c’est juste la partie émergée de l’iceberg. » Ayant raté son intégration dans un système de grandes écoles – « pas faites pour des étudiants comme [lui]  », il dit, dans Le Monde, lancer une société de sécurité informatique.

5244742145_c77781f2c0_o
Plymouth District Library / Flickr

Sciences Po dit avoir « désactivé le module » concerné par le piratage, procédé à une « purge » de ses bases de données et engagé un « audit de sécurité ». « Il n’y a à présent aucun risque d’accès aux donnés », affirme l’école, qui annonce qu’une nouvelle « charte numérique » sera couplée au règlement intérieur et de scolarité afin de sensibiliser les usagers à la sécurité informatique.

Selon Le Monde, « le piratage dont a été victime Sciences Po est loin d’être un cas isolé » : « depuis 2013, au moins vingt universités françaises ont été touchées par des piratages plus ou moins graves », affirme le quotidien, qui précise que la multiplication d’outils informatiques est souvent une source de vulnérabilité.

En 2015 notamment, « un an après avoir subi une première série d’attaques », l’université Lyon III-Jean Moulin avait à nouveau été hackée. L’attaque avait porté sur nombre de donnés personnelles, dont les numéros de sécurité sociale ainsi que les relevés de notes.

Un article de Yann Schreiber et Ulysse Bellier