La société française Gedivote avait été mandatée par l’Université de Toulouse pour organiser un gigantesque vote électronique dans l’objectif d’élire le représentant des étudiants au conseil d’administration de l’Université. Malheureusement tout ne s’est pas déroulé comme prévu d’après les révélations de Médiacités. En effet, le 14 février 2020, l’Université a découvert que les données personnelles des 105 000 étudiants et des 12 000 employés rattachés à l’établissement public avaient été piratées.

L’Université de Toulouse victime d’une faille de sécurité de taille

L’Université fédérale Toulouse-Midi-Pyrénées (UFTMP) regroupe 31 établissements d’enseignement supérieur. L’INRA, les écoles d’ingénieurs, les organismes de recherche et l’ensemble des organes liés à l’Université de la région sont concernés. Le société Gedivote avait mis en place un système de vote électronique en vue des élections qui devaient se dérouler les 31 mars et 2 avril prochain. Une erreur se serait produite dans le système de protection des fichiers. Les données des 117 000 membres de l’Université ont donc été dévoilées.

Les noms, prénoms, dates de naissance, adresses e-mails, numéros d’identification national étudiant unique (INE), ou encore l’établissement de rattachement sont les données qui étaient accessibles sur le web. D’après les informations relayées par Médiacités, celles-ci ont été téléchargées par des programmes malveillants, hébergés en Europe de l’Est. De quoi inquiéter les étudiants concernés. Tout le monde est désormais au courant du problème.

Afin que les électeurs puissent voter depuis leur domicile, la société Gedivote avait reçu les informations des 117 000 membres de l’Université. Un vote électronique devait être organisé, mais l’initiative a tourné au fiasco. Les données personnelles des étudiants auraient été dévoilées sur le web pendant environ une heure, puis transférées vers des serveurs d’Europe de l’Est. Le président de l’Université de Toulouse, Philippe Raimbault, ne prend aucun risque et affirme que : “la responsabilité de cette faille de sécurité incombe à notre prestataire Gedivote”.

En Australie, les données d’étudiants avaient déjà été volées

Une histoire qui n’est pas sans nous rappeler le piratage de l’Université Nationale Australienne, en juin 2019. L’attaque, d’une ampleur phénoménale, avait compromis plus de 19 années de données personnelles.

À l’époque, le vice-chancelier Brian Schmidt expliquait qu’un “accès non autorisé à des quantités importantes de données avait eu lieu”. Chinois ou pas, les pirates avaient pu récolter les dossiers universitaires, les passeports des étudiants ainsi que leurs données bancaires