Les données personnelles des 117.000 étudiants et personnels universitaires de Toulouse ont été piratées. La fuite de données pourrait être liée à une élection au sein de l'université par vote électronique.
Les données informatiques des 105 000 étudiants et 12 000 personnels des Universités de Toulouse et sa région se sont retrouvées quelques heures en libre accès sur Internet. L'information est révélée ce samedi 22 février par nos confrères de Médiacités. Noms, prénoms, dates de naissances, mails, établissements de rattachement et numéro étudiant ont été déversés sur la toile. Contacté par nos soins, Philippe Raimbault, le président de l'Université fédérale Toulouse Midi-Pyrénées, affirme que '' 30 fichiers ont été téléchargés quatre fois par des programmes informatiques hébergés en Europe de l'Est."
Pas d'erreur de la société spécialisée dans le vote électronique
Le piratage d'envergure a été découvert le 14 février dernier alors que la société française Gedivote, spécialisée dans le vote électronique, est mandatée par l'Université fédérale Toulouse-Midi-Pyrénées pour organiser l'élection du représentant étudiant de son conseil d'administration.
Suite à la plainte de l'Université fédérale de Toulouse Midi-Pyrénées, une enquête est diligentée. En février 2021 : la plainte est classée, faute d'éléments pouvant donner suite à des poursuites pénales.
"À aucun moment, les données des étudiants n'ont été exfiltrées et exploitée par des tiers non-autorisés", indique Gedivote. L'entreprise précise : "Gedivote veille au parfait respect du cadre réglementaire et à un très haut niveau de sécurisation de ses solutions, qui sont régulièrement mises à l'épreuve dans le cadre de processus électoraux particulièrement sensibles. Ces solutions, dont le détail est présenté sur son site gedivote.fr mettent en oeuvre des technologies garantissant l'intégrité et la confidentialité du vote électronique".
La CNIL saisie
Une déclaration de violation des données a été transmise à la Commission Nationale de l'Informatique et des Libertés (CNIL). Pour Philippe Raimbault :"Les données volées ne peuvent être considérées selon la CNIL comme des données sensibles susceptibles d'engendrer une violation de la vie privée au sens de la réglementation européenne (RGPD)". Philippe Raimbault qui confirme qu'une réunion avec les délégués à la protection des données a été organisée pour constater l'ampleur de la violation afin de décider des mesures à mettre en oeuvre pour s'assurer de la sécurité du scrutin à venir.
Les étudiants et personnels concernés ont reçu un courriel les prévenant de l'incident. Ils sont tous invités à modifier leur mot de passe. Selon l'Université fédérale Toulouse-Midi-Pyrénées, aucune preuve que les informations aient été utilisées à des fins malveillantes n'a été remontée à ce jour.
Le courrier envoyé aux étudiants et aux personnels concernés
Des étudiants inquiets pour leurs données personnelles
Les étudiants ont appris la nouvelle en lisant le courrier envoyé par la direction de l'Université fédérale. Même si les données personnelles volées ne sont pas stratégiques, pour Marie Glinel, Présidente du syndicat étudiant UNI,"Cet incident nous pose quand même question car le système nous paraît faillible. Qui nous dit que la prochaine fois se ne seront pas les données bancaires ou les données sociales des étudiants qui seront volées ? On fait confiance à l'administration et nous sommes du coup plus réticents. Même si on ne peut que subir ce genre d'attaque !"
