Fuite de données colmatée pour l’Université de Bordeaux

Tout a débuté voilà quelques semaines. Benjamin postule sur la plateforme APOFLUX de l’Université de Bordeaux. Rapidement, APOFLUX permet de déposer ses vœux pour rejoindre un cursus, une formation. Comme l’indique le site, APOFLUX est un outil de dépôt de vœux « Il ne s’agit en aucun cas de votre inscription administrative définitive à l’Université de Bordeaux« . Bref, un espace ou les étudiants déposent des dizaines d’informations allant du simple au très sensible. « En cherchant une information sur mon dossier, m’expliquait alors Benjamin, je me suis rendu compte d’un – truc – plutôt moche« . Et je trouve que le terme moche est très poli. Via un espace web non protégé baptisé « Dépôt », n’importe quel internaute avait accès à l’ensemble des dossiers des étudiants postulants. Chaque espace de stockage offrait à la lecture des curieux, de maladroits de la souris ou de violeurs d’intimité numérique, les relevés de notes, lettres de motivations, CV… ainsi qu’à l’ensemble des candidatures passées par APOFLUX. Le lien avait beau être en HTTPS, le S voulant dire que les connexions entre l’internaute et le serveur était chiffré, cela ne protégeait pas pour autant les informations sauvegardées.

Fuite de données colmatée, étudiant dans le silence

J’ai saisi la CNIL, qui au passage est d’une efficacité redoutable dès que je leur communique une alerte. Le problème a été colmaté en quelques heures. Pour le moment, l’université n’a pas contacté les étudiants concernés par cette fuite d’information. Espérons qu’aucun malveillant ne soit passé par là avant l’alerte de ZATAZ. Impossible de savoir depuis quand ces « portes ouvertes » étaient accessibles sur la toile.
Article original de Damien Bancal

Réagissez à cet article