/fdata%2F5404943%2Favatar-blog-1291563330-tmpphpuNemqB.jpeg){kind=avatar}
Piratée, l'université Lyon-3 veut renforcer sa cybersécurité
Une base de données de 88 000 contacts a fuité et des relevés de notes étaient mal protégés. Pourtant, le ministère n'a pas saisi l'agence de cyberdéfense.
Le piratage informatique de Lyon 3, que nous évoquions il y a quelques jours, est plus grave que ce que les services de l'université avaient reconnu dans un premier temps. Les fichiers piratés que nous avons pu consulter concernent des dizaines de milliers de personnes, et non pas 5 000 à 7 000 étudiants comme nous l'avait indiqué le responsable numérique de Lyon-3. Le fichier contient des noms et prénoms, des dates de naissance, des informations sur les cursus suivis, des adresses personnelles, des numéros d'étudiants ou encore des numéros de téléphone fixe et mobile. L'on y trouve aussi des historiques d'échanges de courriers électroniques entre personnels de l'université ou encore des coordonnées d'entreprises partenaires.
De nouveau contactée par nos soins, l'université a regretté un cafouillage de communication. "La base de données piratée concerne 88 000 contacts", reconnaît sans détour Yves Condemine, directeur des systèmes d'information (DSI) de Lyon-3. "Les problèmes sont aujourd'hui réglés", affirme-t-il, et "des mesures avaient été prises dès décembre" après des alertes envoyées par un étudiant.
Une faille pour consulter les relevés de notes
Comme après toute cyberattaque, une question se pose : toutes les failles et portes dérobées ont-elles été supprimées ? Les pirates prennent en général soin de multiplier les points d'entrée, afin d'en garder au moins un, même si les défenseurs bouchent certains trous. "Rien ne permet aujourd'hui de penser que notre infrastructure soit compromise", affirme Yves Condemine. "Je n'ai pas vu de mots de passe administrateur circuler !" tonne-t-il, avant de se dire "encore prudent" dans la surveillance de son réseau.
ntrigués, nous avons exploré avec un expert indépendant la sécurité des serveurs de Lyon-3. Nos démarches n'étaient ni exhaustives ni dignes d'un véritable audit de sécurité, mais nous avons pu constater plusieurs éléments troublants. Par exemple, une faille permettait à un étudiant de consulter le relevé de notes d'un autre, simplement en renseignant le numéro d'étudiant de celui-ci dans le code HTML de l'espace sécurisé.
L'outil d'administration des messageries est accessible depuis l'extérieur du réseau, alors qu'il est d'usage de réserver ce privilège critique aux postes connectés depuis l'intérieur de l'université ou via un réseau privé virtuel (VPN). Nous avons par ailleurs trouvé un outil basé sur une technologie datant de 2011, c'est-à-dire qu'il contient des failles connues car corrigées depuis dans de nouvelles versions. Enfin, certaines pages de connexion à des services sensibles ne sont pas chiffrées.
Bientôt un audit de sécurité
De manière générale, quel que soit leur niveau de sécurisation, les services déployés semblent trop nombreux pour être administrables dans de bonnes conditions par une équipe ainsi dimensionnée. Il y a donc du travail pour sécuriser le réseau de Lyon-3. L'université le reconnaît, et nous confie qu'elle prépare l'appel d'offres pour un audit de sécurité. Espérons qu'il sera véritablement indépendant et qu'il passera au peigne fin l'ensemble de l'infrastructure, sans oublier d'analyser la réaction des équipes de Lyon-3 et du ministère après le piratage.
Le scénario-cauchemar, peu probable, serait que les pirates aient aujourd'hui encore un accès "administrateur". "S'ils ont les accès administrateur, ils peuvent faire ce qu'ils veulent, s'attribuer les droits qu'ils veulent, lancer les commandes qu'ils veulent" sur les serveurs, nous explique un expert, rejoignant les inquiétudes du site spécialisé Zataz.com, qui avait dévoilé l'incident.
Le ministère n'a pas saisi l'agence de cyberdéfense
Les attaques informatiques sont courantes : il ne faut donc pas s'offusquer qu'une attaque ait eu lieu et, éventuellement, qu'elle ait réussi. Ce qui compte, c'est la réponse apportée par la victime. Et c'est sur ce point que se concentrent la plupart des questions dans le cas de Lyon-3. Malgré l'urgence et l'immensité du travail nécessaire pour analyser le réseau et pour s'assurer qu'il est désormais sain (ce que l'on appelle le "retour à la normale"), l'université nous a expliqué que ses services ont géré l'incident seuls.
Lyon-3 a bien signalé l'incident à son ministère de tutelle, mais celui-ci s'est contenté d'informer l'Anssi, l'agence nationale de cyberdéfense, sans la saisir. "Nous sommes restés en contact avec l'Anssi, via le ministère de l'Enseignement supérieur", confirme Yves Condemine. Joints par Le Point.fr, l'Anssi et le centre de veille du réseau des universités, le Cert-Renater, confirment qu'ils sont au courant de l'existence de l'incident. Mais sans requête officielle du ministère, l'agence de cyberdéfense ne peut ni analyser l'infrastructure, ni débusquer les éventuelles portes dérobées, ni même essayer de remonter jusqu'aux pirates.
Principe de précaution
Or, au regard des moyens limités de l'université, même avec la meilleure volonté du monde, les quelques experts en sécurité de Lyon-3 ne peuvent faire face seuls à une telle masse de travail pour explorer chaque recoin de chaque serveur et s'assurer rapidement que 100 % (et non 99,99 %) du code est sain.
Le principe de précaution exigerait que le pire, si improbable soit-il, soit sérieusement envisagé. Et que l'Anssi soit au moins sollicitée par le ministère : charge à elle ensuite de décider si elle envoie des équipes sur place ou si elle a d'autres chats à fouetter. Contacté à plusieurs reprises dès le 9 février pour expliquer sa décision, le ministère n'a pas donné suite à nos demandes.
Le réseau national des universités en question
Pourquoi des hackers souhaiteraient-ils maintenir des accès au réseau de l'université ? Outre les classiques manipulations de diplômes et de relevés de notes, ils pourraient vouloir exploiter un botnet dans les murs de Lyon-3. Un tel réseau de programmes malveillants permet par exemple d'envoyer massivement des pourriels depuis des ordinateurs reconnus comme fiables par les serveurs de messagerie. "Nous n'avons trouvé aucun outil de type botnet, et nous n'avons eu aucune intrusion dans le système d'information central de l'université", insiste encore Yves Condemine.
Autre possibilité : les pirates pourraient en vouloir au réseau reliant l'ensemble des universités françaises, Renater. En installant des portes dérobées et en déjouant le système de sécurité propre au super-réseau, il leur serait possible d'accéder aux serveurs d'autres établissements français, depuis des machines considérées comme fiables par l'infrastructure nationale. Là encore, Lyon-3 se montre rassurante et assure que Renater n'a pas pu être atteint. Nous voilà rassurés... jusqu'à nouvel ordre.
Source: http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/piratee-l-universite-lyon-3-veut-renforcer-sa-cybersecurite-24-02-2015-1907378_506.php (France)
Article écrit par: Guerric PONCET
Relayé par: P.B.
/image%2F0556261%2F20150623%2Fob_4f26b6_2012-11-19t051231z-1531108811-gm1e8bi1.JPG)
/image%2F0556261%2F20150427%2Fob_10ea12_131008-internet-espionnage-cyber.jpg)
/image%2F0556261%2F20150311%2Fob_5d9b82_111857-story-wikipedia.jpg)
/image%2F0556261%2F20150311%2Fob_97ac1f_cyber-attaque-riposte-de-letat-islamiq.jpg)
