Leak de données à Epitech : les suites de l’affaire

Général

Par Anne Cagan le

L’école d’informatique Epitech a été victime d’un leak de données ce mercredi. Contacté par le Journal du Geek, son directeur général a commenté ce matin l’affaire et nous a précisé les mesures prises. 

Branle-bas de combat pour Epitech pendant la pause estivale. Comme le révélait ce mercredi le journaliste spécialiste de la cybersécurité Damien Bancal sur Zataz.com, l’école d’informatique Epitech a été victime d’un leak de données. Un internaute a publié sur plusieurs plateformes notamment Twitter, Mega et Github des informations obtenues via l’intranet de l’école. Zdnet.fr a constaté, parmi elles, la présence de CV, noms, emails, numéros de téléphones et d’informations administratives concernant des étudiants et des collaborateurs de l’école.

Des captures de certains documents continuent de circuler sur Twitter notamment une où l’on peut voir un commentaire totalement inapproprié sur une fiche établie par des enseignants pour évaluer la qualité du travail de leurs élèves et le temps que ces derniers consacrent à leurs travaux (mesuré notamment via le temps de log). Un commentaire relatif à une élève de sexe féminin (son prénom apparaît sur d’autres captures que nous ne reproduiront pas ici) indique en effet :  “Jolies courbes (de LOG !), c’est bien ! Cependant les résultats ne suivent pas pour le moment”. 

Capture d’un des documents leakés

Nous avons pris contact ce matin avec le DG d’Epitech pour avoir des détails sur l’étendue du leak, la nature des données dévoilées et les mesures prises par l’école à la suite de cette affaire. Concernant le leak lui-même, Emmanuel Carli fait valoir que l’école a immédiatement lancé des actions au niveau des plateformes et sur le plan juridique; “Aujourd’hui quasiment toutes les plateformes ont supprimé les données. On a essayé d’identifier les clones qui ont été faits et on contacte les gens pour leur demander de les supprimer.” La CNIL a été comme il se doit informée de la fuite. “Et le soir du leak, après une première analyse des données dévoilées, nous avons prévenu les étudiants concernés”, précise Emmanuel Carli. 

Si la piste d’un collectif a été envisagée, le DG d’Epitech indique que l’hypothèse leur paraît peu probable. “On s’oriente vers l’hypothèse d’une fuite orchestrée par un ancien collaborateur qui avait accès à des informations administratives dans le cadre de ses fonctions.” L’école nous a fait savoir qu’un dépôt de plainte au pénal était en cours. 

Concernant le commentaire relatif au physique d’une élève visible sur une fiche d’évaluation, le DG d’Epitech indique : “Nous ne tolérons pas les attitudes sexistes. Nous avons pris contact avec la personne ayant rédigé ce commentaire et un avertissement sera formulé à son encontre. Nous allons également revoir ces points avec l’ensemble des équipes, pour s’assurer que ce genre de choses ne se reproduise pas”. 

Au sujet de la nature des données personnelles relatives aux étudiant, Emmanuel Carli précise enfin : “il s’agit essentiellement des données dont nous disposons pour contacter les élèves en cas de besoin : numéros de téléphone, mail. Nous n’avons peut-être pas découvert l’intégralité des informations mais d’après nos analyses, il n’y a pas de documents sensibles tels que des papiers d’identité.” Les étudiants concernés ont toutefois été invités à se montrer particulièrement vigilants vis-à-vis d’éventuelles tentatives de phishing.