Alors que les médias spécialisés annonçaient fin juillet que la plateforme Parcoursup pouvait avoir été victime d’une fuite de données, le ministère de l'Éducation nationale a fait savoir que cette fuite ne concernait qu'un lycée d'Ille-et-Vilaine et une soixantaine d'élèves.
Le dimanche 23 juillet, un internaute mettait en ligne un fichier concernant une soixantaine de dossiers Parcoursup de candidats d'un lycée de l'académie de Rennes.
Dans un message posté sur un forum de fuite de données, l'internaute, "DrOne", expliquait : "Après avoir accédé à l’un des espaces d’administration du site français Parcoursup.fr, j’ai exporté une partie de la base de données utilisateur". Avant d'ajouter : "Pour le moment, le fichier d’exportation 'ne contient que peu d’utilisateurs, mais il y a beaucoup de données' ".
Dans ce fichier mis en ligne et téléchargeable, figurait de nombreuses données d'une soixantaine d'élèves d'Ille-et-Vilaine. Des informations concernant leur identité, celle de leur responsable légal, des numéros de téléphone, ainsi que de nombreuses informations scolaires provenant de leur établissement.
Une partie des données en ligne pour montrer qu'elles "ne devraient pas être aussi facilement accessibles"
Le magazine spécialisé ZDNET.fr avait reçu la confirmation de plusieurs personnes se présentant comme étant concernés par la fuite de données. Des élèves ayant postulé pour une formation dans l’enseignement supérieur.
De même, le magazine avait réussi à joindre le hackeur "DrOne". Ce dernier affirmait le 28 juillet avoir téléchargé l’intégralité de la base de données, soit plusieurs gigaoctets d’informations. Il annonçait, pour autant, ne pas vouloir dévoiler tout le fichier mais "simplement montrer que ces données ne devraient pas être aussi facilement accessibles".
"Pas de faille dans le système d’information Parcoursup"
Face à ce risque de piratage d'un fichier Parcoursup, le ministère de l'Education nationale tient à rassurer sur un éventuel piratage de la plateforme.
Sollicité ce jour, le Pôle presse pour l'Enseignement supérieur et la Recherche confirme "avoir identifié sur Internet la présence de données personnelles appartenant à quelques candidats aux formations proposées par un lycée de l’Académie de Rennes".
Mais, selon le Pôle presse, les analyses conduites par les services de Parcoursup et les autres services de sécurité spécialisés du ministère, ont permis d’écarter rapidement "toute forme d’intrusion et donc de faille dans le système d’information Parcoursup".
Selon ces experts du ministère, "il s’agit d’une d’extraction frauduleuse conduisant à récupérer une base de login/mot de passe sur des usagers de la plateforme au sein du lycée". Ce qui signifie que même si la plateforme Parcoursup n'a pas été piraté, l’établissement breton a bien été victime d’une attaque malveillante qui s'est traduite par le vol de login/mot de passe pour se connecter à Parcoursup à la place de l’établissement.
À LIRE AUSSI : Mail suspect, fuite de données... Après la cyberattaque le CHU de Rennes appelle à la prudence
Une plainte auprès du procureur et les élèves informés
Le ministère précise que le lycée a déposé une plainte auprès du procureur de la République et a notifié l'incident à la CNIL. Une information a également été donnée par le chef d'établissement auprès des candidats concernés. Il a ainsi pu les rassurer sur le fait que cet incident n’a aucune répercussion sur leur situation pour l’accès à une formation post bac.
Le ministère signale enfin avoir pris plusieurs mesures de sécurité informatique pour "contrarier ces démarches malveillantes" et encourager les usagers de la plateforme à "prendre les mesures simples pour garantir l’intégrité de leur identité numérique", comme la mise à jour d’un antivirus ou le changement d’un mot de passe.
