L’UNIL réfute avoir pris le piratage à la légère

CybersécuritéL’institution explique la difficile détection du système utilisé et appelle les étudiants à la vigilance.

L'Université explique que des contrôles sont menés sur les postes en libre-service mais qu'ils ne peuvent être systématiques.

L'Université explique que des contrôles sont menés sur les postes en libre-service mais qu'ils ne peuvent être systématiques. Image: Keystone

Signaler une erreur

Vous voulez communiquer un renseignement ou vous avez repéré une erreur?

Le piratage qui a touché l’Université de Lausanne (UNIL) durant plusieurs mois, en 2017, a-t-il été sous-estimé? C’est ce que sous-entendaient, jeudi, certains étudiants au courant de l’ampleur de l’infraction (notre édition du 16 février). Grâce à des enregistreurs de frappe (keyloggers), le pirate a en effet récupéré les données confidentielles de ceux qui se sont connectés à leurs comptes personnels via les ordinateurs en libre-service de l’Université. Il aurait ensuite pu visiter plus de 2700 comptes privés, récupérant sur ces derniers des fichiers intimes, en particulier des photos d’étudiantes dénudées.

Le système aurait fonctionné pendant au moins neuf mois et certains étudiants s’en agacent en découvrant l’information dans nos colonnes. «Mon amie avait été piratée à l’UNIL lors de l’hiver 2017 justement. J’ai tout de suite su que c’était un keylogger et je lui ai demandé de le dire au service informatique. Elle l’a fait. Là, ils lui ont répondu que c’était impossible et n’ont rien voulu savoir», avance un lecteur. «Ce sont des choses que nous prenons très au sérieux, répond Géraldine Falbriard, attachée de presse de l’UNIL. Le responsable de la sécurité indique n’avoir reçu aucune remarque de ce genre. Sinon il y aurait eu des vérifications.»

Les enregistreurs de frappe peuvent prendre la forme de logiciels espions ou, comme dans cette affaire, de périphériques discrets à connecter entre le port du clavier et le clavier lui-même. «Dans ce cas, il faut aller voir régulièrement les branchements de tous les postes. Il y a une soixantaine de bornes sur le campus et elles ne font pas l’objet d’un contrôle visuel systématique. Le dispositif a été renforcé depuis décembre mais il demande du temps, des compétences et des coûts», explique Géraldine Falbriard. L’UNIL précise qu’un keylogger sous forme de logiciel aurait par contre été impossible à installer, les postes étant totalement verrouillés sur ce plan. Interrogée sur ses pratiques en la matière, l’EPFL indique sobrement avoir «une approche technique pour les machines en libre-service qui réduit les risques, sans les éliminer totalement».

Au-delà des mesures prises par l’Université, ce piratage pose la question de la vigilance des utilisateurs. «On ne peut pas négliger leur responsabilité. Sur ce genre de bornes, il faut avoir le réflexe de prudence, souligne l’expert en sécurité informatique Stéphane Koch. Avec une double authentification, par mot de passe puis grâce à un code envoyé sur le téléphone par exemple, le pirate n’aurait pas pu accéder aux comptes. Mais ça demande un effort supplémentaire.» L’UNIL rappelle qu’elle accueille presque 15'000 étudiants et que «ce sont des adultes responsables comme il faut l’être dans cette société où les données circulent facilement».

Sans cibler l’UNIL, Stéphane Koch pointe néanmoins des lacunes récurrentes en matière de cybersécurité. «Il y a un retard de la part des institutions publiques sur l’information aux utilisateurs, sur la nature des données et la manière de les protéger. Ce piratage pourrait servir de base à une action pédagogique, à une communication sur les petits éléments qui permettent d’augmenter le niveau de conscience des étudiants.» L’Université n’est pas inactive sur ce point puisque les nouveaux élèves se voient proposer un cours sur la sécurité informatique lors de leur premier semestre. «Il existe aussi un help­desk et une newsletter qui mettent en avant cette thématique. La sensibilisation est donc déjà en place.»

Finalement, Géraldine Falbriard répond aux étudiants qui estiment que l’UNIL a communiqué au rabais après l’infraction. En décembre, un courrier était parvenu aux victimes potentielles, leur conseillant de changer de mots de passe, sans mentionner que des fichiers personnels avaient pu leur être dérobés. «Nous voulions être sûrs qu’il n’y avait plus de danger, ça passait par un changement de mot de passe. Par contre, nous ne pouvions pas entrer sur un terrain qui appartient à l’enquête policière et diffuser des informations que nous ne maîtrisions pas.» (24 heures)

Créé: 16.02.2018, 18h19

Articles en relation

Des centaines de photos intimes piratées à l’UNIL

Cybersécurité Un étudiant a piégé des ordinateurs publics pendant des mois. Il a eu accès à des milliers de comptes et à des fichiers privés. Plus...

Publier un nouveau commentaire

Nous vous invitons ici à donner votre point de vue, vos informations, vos arguments. Nous vous prions d’utiliser votre nom complet, la discussion est plus authentique ainsi. Vous pouvez vous connecter via Facebook ou créer un compte utilisateur, selon votre choix. Les fausses identités seront bannies. Nous refusons les messages haineux, diffamatoires, racistes ou xénophobes, les menaces, incitations à la violence ou autres injures. Merci de garder un ton respectueux et de penser que de nombreuses personnes vous lisent.
La rédaction

Caractères restants:

J'ai lu et j'accepte la Charte des commentaires.

No connection to facebook possible. Please try again. There was a problem while transmitting your comment. Please try again.

L'actu croquée par nos dessinateurs, partie 5

Macron et la France bloquée. Paru le 21 avril 2018.
(Image: Valott) Plus...