Sécurité informatique : Science Po porte plainte contre X
Sécurité informatique : Science Po porte plainte contre X
Par Damien Leloup
Un hackeur avait contacté « Le Monde » après avoir accédé à deux bases de données sur les serveurs de l’établissement.
Sciences Po a annoncé, mardi 7 mars, avoir porté plainte contre X après la publication d’un article du Monde qui détaillait un piratage ayant touché l’établissement. Le hackeur, qui avait contacté Le Monde après avoir accédé à deux bases de données sur les serveurs de l’établissement, utilise le pseudonyme « Rabbin des bois ». Il n’a pas publié le contenu des deux bases de données et assure n’avoir eu aucune intention criminelle, mais avoir pris les données uniquement « parce que c’était possible » et pour « avertir le grand public ».
Par ailleurs candidat au concours d’entrée de l’établissement, le hackeur avait communiqué à Sciences Po la méthode utilisée pour permettre à l’établissement de corriger la faille de sécurité, et aurait rêvé de pouvoir bénéficier d’un « bonus » au concours après sa « bonne action ». L’établissement, qui a depuis corrigé la faille de sécurité, n’a pas donné suite à sa demande, et a porté plainte contre X, une procédure standard selon l’établissement.
« Cette plainte illustre pourquoi les hackeurs ne font jamais de pas en avant », dit aujourd’hui « Rabbin des bois ». « C’est la démonstration des raisons qui font que la cybersécurité reste bloquée : même lorsqu’on coopère à 100 %, il y a toujours une plainte. »
Une porte-parole de Sciences Po, citée par le journal étudiant La Péniche, affirmait mardi que les données auxquelles a eu accès « Rabbin des bois » étaient « non sensibles » et qu’« aucun mot de passe n’a été dérobé ».
Le Monde a pu au contraire constater que les données personnelles d’étudiants en cours de scolarité, dont les adresses personnelles, le numéro de téléphone ou encore le statut de boursier et son échelon, étaient bien accessibles en raison d’une faille de sécurité et maintient donc ses informations. Les mots de passe de certains comptes étudiants étaient eux aussi accessibles dans une version chiffrée avec le protocole MD5, considéré comme faible par les spécialistes du chiffrement.