Le CNOUS a confirmé une cyberattaque sur sa plateforme de prise de rendez-vous. Les données personnelles de 774 000 étudiants et anciens étudiants ont été dérobées, et pour 139 000 d'entre eux, des pièces d'identité font partie du lot.
La plateforme de rendez-vous touchée
L'attaque a visé le site mesrdv.etudiant.gouv.fr, qui sert à prendre rendez-vous avec les services sociaux et les services de logement des CROUS. Le CNOUS a pris connaissance de l'exfiltration de données le 23 mars. Les données concernent des rendez-vous pris sur les dix dernières années, ce qui explique le nombre élevé de personnes touchées. Le groupe de pirates DumpSec a revendiqué l'attaque en affirmant détenir les données de 1,9 million d'étudiants, mais ce chiffre correspond au nombre total de rendez-vous compromis, pas au nombre de personnes.
Pour 635 000 personnes, les données volées sont assez limitées : nom, prénom, adresse email, objet et date du rendez-vous. Par contre, 139 000 personnes sont dans une situation plus préoccupante, puisque les pirates ont aussi récupéré les pièces jointes associées aux rendez-vous, et ça inclut des copies de cartes d'identité et de passeports.
Les risques pour les étudiants concernés
Le vol de pièces d'identité est le point le plus sensible. Avec une copie de carte d'identité, il est possible de monter des dossiers frauduleux, ouvrir des comptes bancaires ou usurper une identité. Pour les 635 000 étudiants dont seuls le nom et l'email ont fuité, le risque principal reste le phishing : des mails qui se font passer pour le CROUS, la CAF ou un bailleur social pour récupérer d'autres informations.
Si vous avez pris rendez-vous via cette plateforme au cours des dix dernières années, il y a de bonnes chances que vos données fassent partie du lot. Le CNOUS est en train de contacter individuellement les personnes concernées.
CNIL et plainte déposées
Le CNOUS a signalé l'attaque à la CNIL et à l'ANSSI, et une plainte est en cours de dépôt. L'accès au site mesrdv.etudiant.gouv.fr a été suspendu. Une enquête technique a été lancée pour comprendre comment les pirates ont pu accéder au système et éviter que ça se reproduise.
On en dit quoi ?
774 000 personnes touchées et des pièces d'identité dans la nature, c'est quand même lourd. Le CROUS gère des données d'étudiants qui sont souvent jeunes et pas toujours au fait des risques de phishing ou d'usurpation d'identité. Le fait que des copies de pièces d'identité aient été stockées pendant dix ans sur une plateforme de rendez-vous pose aussi la question de la durée de conservation des données... Du coup, si vous êtes étudiant, on vous conseille quand même de bien protéger votre ordinateur, avec une des offres ci-dessous :
