Dans un courriel envoyé aux étudiants et personnels de l’université le jeudi 10 octobre 2024, les services informatiques de l’Université Paris 1 Panthéon-Sorbonne annoncent que l’annuaire informatique de l’université a subi une extraction de données non autorisée la veille au soir.
La Direction des Systèmes d’Information et des Usages du Numérique (DSIUN) de l’université explique que les pirates ont obtenu un accès non autorisé au compte d’un membre de l’université et ont utilisé cet accès pour télécharger en masse les informations suivantes :
- Les noms et prénoms de personnels et étudiants ;
- Leurs adresses électroniques universitaires ;
- Leurs photos (si le consentement avait été donné par l’utilisateur) ;
- Leur statut au sein de l’établissement (étudiant, enseignant…) ;
- Pour les étudiants, la formation suivie ;
- Pour les personnels, les données professionnelles telles que la fonction, la structure de rattachement et son adresse et leur numéro de téléphone professionnel.
Même si cet annuaire est semi-public (accessible à tous les étudiants et personnels de l’université, une fois connectés à l’ENT), l’ampleur des données personnelles subtilisées est donc importante.
La DSIUN conclut son email en annonçant le dépôt d’une notification auprès de la CNIL (comme l’en oblige la loi) ainsi qu’en rappelant l’importance de lutter contre le hameçonnage.
Voici l’intégralité de l’email envoyé à la communauté étudiante :
Madame, Monsieur,
Un incident de sécurité a été détecté hier soir qui a donné lieu à une extraction de données non confidentielles à partir de l’annuaire public de l’université. Cette extraction s’est appuyée sur un compte utilisateur usurpé préalablement. Les données concernées incluent les noms et prénoms de personnels et étudiants, leurs adresses électroniques universitaires, leurs photos (si le consentement avait été donné par l’utilisateur), ainsi que leur statut au sein de l’établissement (étudiant, enseignant…). Pour les étudiants, la formation suivie a également été extraite et, pour les personnels, les données professionnelles telles que la fonction, la structure de rattachement et son adresse et le ou les numéros de téléphone figurant sur les fiches des agents. Les comptes ayant activé l’option « Figurer sur la liste rouge », qui limite la visibilité des données uniquement aux personnels de l’université, ne sont pas affectés par cet incident.
Les mesures appropriées ont été immédiatement prises et l’intrusion bloquée. Nous restons cependant très vigilants et continuons à surveiller attentivement l’évolution de la situation. L’université déposera une plainte afin de permettre aux autorités compétentes d’identifier l’auteur de cette intrusion. Par ailleurs, une notification de violation de données sera effectuée auprès de la CNIL conformément aux obligations légales.
Cet incident est l’occasion de souligner à nouveau l’importance d’une vigilance accrue de toutes et tous aux courriels reçus et plus largement à toutes les menaces en matière informatique. Nous observons en effet actuellement une recrudescence des tentatives d’hameçonnage (phishing) visant à subtiliser les identifiants des personnels et étudiants de l’université.
A cet égard, nous vous rappelons de ne surtout renseigner vos identifiants et mots de passe que lorsque vous êtes absolument certains du contexte de la demande et de bien veiller à ne pas utiliser votre adresse électronique universitaire, ni votre mot de passe sur des sites externes à l’ENT Paris 1 ou pour d’autres usages.
Bien que ces règles de sécurité apparaissent évidentes, chaque mois, une dizaine de comptes de l’université est compromise et utilisée à des fins de fraude ou d’intrusion, comme cela a été le cas dans l’incident présent qui aurait pu être plus grave. La sécurité est l’affaire de toutes et tous, et comme vous pouvez le constater, certaines imprudences peuvent avoir des répercussions sur l’ensemble de la communauté universitaire. Pour mieux nous protéger, l’université déploie aussi progressivement de nouveaux dispositifs de sécurisation tels que l’authentification multi-facteurs qui, à l’instar de la protection du webmail récemment mise en place pour les étudiants, permettra de sécuriser chaque compte en cas de vol de mot de passe.
Nous remercions chacune et chacun d’entre vous pour votre attention et votre vigilance accrue.
La DSIUN