2018-02-16 18:19

L’UNIL réfute avoir pris le piratage à la légère

Cybersécurité

L’institution explique la difficile détection du système utilisé et appelle les étudiants à la vigilance.

L'Université explique que des contrôles sont menés sur les postes en libre-service mais qu'ils ne peuvent être systématiques.

L'Université explique que des contrôles sont menés sur les postes en libre-service mais qu'ils ne peuvent être systématiques.

(Photo: Keystone)

  • Romaric Haddou

Le piratage qui a touché l’Université de Lausanne (UNIL) durant plusieurs mois, en 2017, a-t-il été sous-estimé? C’est ce que sous-entendaient, jeudi, certains étudiants au courant de l’ampleur de l’infraction (notre édition du 16 février). Grâce à des enregistreurs de frappe (keyloggers), le pirate a en effet récupéré les données confidentielles de ceux qui se sont connectés à leurs comptes personnels via les ordinateurs en libre-service de l’Université. Il aurait ensuite pu visiter plus de 2700 comptes privés, récupérant sur ces derniers des fichiers intimes, en particulier des photos d’étudiantes dénudées.

Le système aurait fonctionné pendant au moins neuf mois et certains étudiants s’en agacent en découvrant l’information dans nos colonnes. «Mon amie avait été piratée à l’UNIL lors de l’hiver 2017 justement. J’ai tout de suite su que c’était un keylogger et je lui ai demandé de le dire au service informatique. Elle l’a fait. Là, ils lui ont répondu que c’était impossible et n’ont rien voulu savoir», avance un lecteur. «Ce sont des choses que nous prenons très au sérieux, répond Géraldine Falbriard, attachée de presse de l’UNIL. Le responsable de la sécurité indique n’avoir reçu aucune remarque de ce genre. Sinon il y aurait eu des vérifications.»

Les enregistreurs de frappe peuvent prendre la forme de logiciels espions ou, comme dans cette affaire, de périphériques discrets à connecter entre le port du clavier et le clavier lui-même. «Dans ce cas, il faut aller voir régulièrement les branchements de tous les postes. Il y a une soixantaine de bornes sur le campus et elles ne font pas l’objet d’un contrôle visuel systématique. Le dispositif a été renforcé depuis décembre mais il demande du temps, des compétences et des coûts», explique Géraldine Falbriard. L’UNIL précise qu’un keylogger sous forme de logiciel aurait par contre été impossible à installer, les postes étant totalement verrouillés sur ce plan. Interrogée sur ses pratiques en la matière, l’EPFL indique sobrement avoir «une approche technique pour les machines en libre-service qui réduit les risques, sans les éliminer totalement».

Au-delà des mesures prises par l’Université, ce piratage pose la question de la vigilance des utilisateurs. «On ne peut pas négliger leur responsabilité. Sur ce genre de bornes, il faut avoir le réflexe de prudence, souligne l’expert en sécurité informatique Stéphane Koch. Avec une double authentification, par mot de passe puis grâce à un code envoyé sur le téléphone par exemple, le pirate n’aurait pas pu accéder aux comptes. Mais ça demande un effort supplémentaire.» L’UNIL rappelle qu’elle accueille presque 15'000 étudiants et que «ce sont des adultes responsables comme il faut l’être dans cette société où les données circulent facilement».

Sans cibler l’UNIL, Stéphane Koch pointe néanmoins des lacunes récurrentes en matière de cybersécurité. «Il y a un retard de la part des institutions publiques sur l’information aux utilisateurs, sur la nature des données et la manière de les protéger. Ce piratage pourrait servir de base à une action pédagogique, à une communication sur les petits éléments qui permettent d’augmenter le niveau de conscience des étudiants.» L’Université n’est pas inactive sur ce point puisque les nouveaux élèves se voient proposer un cours sur la sécurité informatique lors de leur premier semestre. «Il existe aussi un help­desk et une newsletter qui mettent en avant cette thématique. La sensibilisation est donc déjà en place.»

Finalement, Géraldine Falbriard répond aux étudiants qui estiment que l’UNIL a communiqué au rabais après l’infraction. En décembre, un courrier était parvenu aux victimes potentielles, leur conseillant de changer de mots de passe, sans mentionner que des fichiers personnels avaient pu leur être dérobés. «Nous voulions être sûrs qu’il n’y avait plus de danger, ça passait par un changement de mot de passe. Par contre, nous ne pouvions pas entrer sur un terrain qui appartient à l’enquête policière et diffuser des informations que nous ne maîtrisions pas.»

24 heures