Un serveur du CUEEP (Centre Université – Économie d’Éducation Permanente – composante de l’Université Lille 1) a été piraté ce week-end. L’enquête est en cours à l’Université Lille 1 pour mesurer l’impact de ce piratage. Cette information a été diffusée par le site ZATAZ.COM. Explications avec Damien Bancal, créateur de ce site lancé voilà 17 ans.


– De quel piratage s’agit-il ?
« Ce week-end, je surfais. Et je vois qu’une section du site de l’université de Lille 1 a été modifiée par un pirate. C’est comme pour les ours qui se frottent sur un arbre pour laisser leur odeur. Ce pirate a laissé son pseudo, une photo. Dans ce type de piratage que l’on appelle défacement, il a tagué le site. Il a surtout marqué en bas, j’ai téléchargé toutes les bases de données. Des défacements, il y en a des centaines par jour. C’est malheureusement trop courant. Sauf que là, il ajoutait une information qui m’a fait tendre l’oreille. S’il avait mis la main sur des bases de données, il avait certainement mis la main sur des données privatives appartenant à des gens. »
– Vous avez établi le contact ?
« Je l’ai retrouvé assez rapidement. On a commencé à dialoguer. Il m’a expliqué qu’il était entré dans l’administration, en gros il était devenu calife à la place du calife. Il avait pu injecter une « back door », une porte cachée dans le serveur, et ensuite il avait pu consulter des informations. Il m’a envoyé des captures d’écrans, des preuves de son piratage, avec l’accès à des bases de données nominatives. Je lui ai demandé ce qu’il avait l’intention de faire avec tout cela. J’ai essayé de comprendre qui il était. À première vue, il se situait en Algérie. Il m’a dit que ces informations, il pouvait s’en servir pour du « phishing ». Il avait en main des mails pour contacter des gens directement. À partir de là, il peut faire tout et n’importe quoi. »
– Comment s’y est-il pris ?
« Ce mardi matin, la faille n’était toujours pas corrigée. Le pirate avait toujours accès au site dans la nuit de lundi à mardi. J’ai alerté le CERTA (centre d’expertise gouvernementale de réponse et de traitement des attaques informatiques), et j’ai transmis toutes les informations à ma disposition. Avec mon blog, j’ai un protocole d’alerte : j’aide les entreprises et les particuliers bénévolement. Quand il s’agit d’organismes étatiques, j’alerte directement le CERTA. Leur réponse la plus longue, c’est à peine cinq minutes ! Car le pirate m’a tout donné. Il a tellement eu peur qu’il m’a dit qu’il ne ferait pas de bêtise, et m’a donné sa méthode pout tout pouvoir corriger. On se retrouve avec des mômes qui font tout et n’importe quoi, mais qui ont très vite compris qu’il y avait de l’argent à se faire derrière. Quand je lui ai expliqué ce qu’il risquait, il a pris peur. On a ici un gamin de 14-16 ans. Il s’est lui-même créé un compte administrateur. Il m’a envoyé son login et son mot de passe pour prouver sa bonne foi. »
– S’agissait-il d’un informaticien confirmé ?
« Ce n’est pas un génie en informatique. On est dans le bidouilleur, passionné par le sujet, mais qui fait tout et n’importe quoi. Il ne comprend pas qu’il a réalisé un casse, qu’il est entré dans un espace informatique, qu’il s’est servi… Dommage, il est tombé sur moi. C’était facile de le retrouver en deux ou trois heures avec nos moyens. Je sais comment chercher. Les entités judiciaires ont plus de moyens encore. Par contre, les vrais pros, on peut mettre des années à les trouver. »
– Expliquez-nous le pourquoi de votre action ?
« L’idée, c’est de protéger ce gamin, et tous ceux qui lui ressemblent en France. À leur âge, il serait dommage de se retrouver encadrer par des policiers, réveillé chez papa-maman à six heures du matin. Il faut leur faire comprendre qu’ils risquent de très gros ennuis. Oui, ils peuvent faire un coup d’éclat de trente secondes sur le web, mais ils auront plus de mal devant un juge. Ensuite, il faut aussi protéger nos données, les nôtres, celles des utilisateurs d’Internet. L’autre problème, c’est la faille de sécurité sur le site de Lille 1. La CNIL peut punir ce genre de problème, se retourner contre l’université Lille 1 en lui demandant ce qu’elle met en place pour protéger les données de ses étudiants et de ses professeurs, et ensuite ce qu’elle a mis en place pour protéger ce qui a été volé. »
– Sommes-nous face à un cas isolé ?
« Des cas de vols de données en France, on en recense une quinzaine par semaine. Des cas comme ce môme, c’est une centaine par semaine. Des piratages, on les compte en milliers par jour. C’est le problème. On a des outils aujourd’hui qui permettent à n’importe qui de faire un peu n’importe quoi. C’est un peu comme braquer la banque de France, que personne ne voit rien – n’oublions pas que l’université de Lille 1 n’avait rien vu – on vole tout, et on se demande ensuite ce que l’on va bien pouvoir faire une fois que l’on a réussi. C’est inquiétant. Soit il s’agit de groupes qui se disent qu’il y a de l’argent facile à se faire, soit il s’agit d’un individu qui accomplit le piratage, et passe à autre chose pour un petit coup d’adrénaline et montrer qu’il est quelqu’un sur le web. »
– L’université de Lille 1 a eu de la chance de ne pas être tombé sur un pirate malveillant…
« Oui, mais rien n’empêche de penser que quelqu’un est passé avant le môme, et que personne ne s’en est rendu compte. Lille 1 ne s’est pas rendu compte que quelqu’un avait mis une nouvelle page avec une photo sur son site. D’autres, des vrais pros, sont peut-être passés avant. »
– Et pour faire quoi ?
« Il existe le black market, le marché noir du numérique. Les pirates se font énormément d’argent avec toutes les données collectées qu’ils commercialisent. On parle de millions de dollars. Aujourd’hui, c’est le grand public qui est visé. Il faut arrêter de penser que les « vilains pirates chinois » n’attaquent que les ambassades. Votre voisin peut s’intéresser à vos données émail pour pouvoir les revendre. »
– Posséder l’adresse mail de quelqu’un, c’est si grave que cela ?
« Ce n’est pas grave en soit, mais c’est une denrée économique tout simplement. Prenons l’exemple de Lille 1. Le pirate accède à la base de données des étudiants, avec des adresses postales, des e-mails, des téléphones. Le pirate professionnel a là une manne très intéressante. Il va se créer un fichier puis va le revendre. Cela peut intéresser des spammeurs, qui envoient des publicités non sollicitées, sur tout supports (ordinateurs, téléphones portables…). Ou à d’autres qui se feront passer pour une banque pour obtenir des numéros de cartes bancaires. Je peux être aussi malveillant pour appeler à télécharger une pièce jointe qui contient un virus, ou essayer des intrusions sous Android. Les gens n’imaginent pas les potentialités malveillantes. »