DOSSIER : L’affaire du keylogger de l’UNIL, révélée par 24 heures le 15 février, en a surpris plus d’un. Comment un étudiant a-t-il pu manipuler la connectique des ordinateurs publics de l’université pendant presque un an sans se faire coincer plus tôt ? A vrai dire, le système est diaboliquement simple et surtout, très discret. Eclairage sur un incident bien plus grave qu’il n’y paraît.


Premièrement, peut-on contester que la responsabilité du Centre Informatique dans la faille soit limitée ? Les protections logicielles en place ne protègent pas (par définition) un keylogger hardware comme le modèle utilisé à l’UNIL. Seul un examen visuel averti des câbles reliés à la machine permet de détecter le passager clandestin. Notons également que la gestion et le contrôle régulier du parc informatique d’une organisation est du ressort de sa responsabilité : c’est la base de la gestion et de la sécurité des infrastructures, comme il nous l’est enseigné en cours.

On est alors tenté de penser qu’il y a eu négligence : le Ci n’est-il pas tenu de vérifier régulièrement ces ordinateurs pour en assurer l’intégrité physique ? Facile à dire lorsque l’on sait qu’il y a plus de 60 ordinateurs en libre-service répartis sur le campus de l’UNIL et que ces keyloggers sont facilement déplaçables.

De son côté, le Ci assure être conscient de la menace, mais avait décidé de privilégier le libre-accès :

« Nous avions réfléchi à interdire physiquement l’accès aux ports des machines publiques, et à verrouiller les câbles USB. Nous avions choisi de laisser un maximum de liberté aux étudiants. Plus vous fermez un système et plus vous restreignez ce que l’utilisateur peut faire avec. »

Et c’est un vrai défi que de placer correctement le curseur entre liberté et sécurité.

« Faire de la sécurité, c’est faire des compromis, faire des choix, choix d’accorder une confiance excessive aux utilisateurs d’un espace public, choix de privilégier la facilité d’usage, choix de renoncer à certaines facilités personnelles pour un meilleur niveau de sécurité collective ».

Solange Ghernaouti

professeure à HEC Lausanne et experte internationale en cybersécurité.

L’UNIL pointée du doigt

Si l’acte en lui-même est effrayant d’un point de vue de la sécurité informatique et de la protection des données personnelles, la gronde vient surtout du fait que beaucoup ne l’ont appris dans la presse que deux mois et demi plus tard.

Utilisateurs occasionnels de ces fameux points d’accès publics, certains s’étonnent dans un premier temps de n’avoir reçu aucune indication les avertissant que leurs identifiants avaient pu être compromis. Il a été répondu que seuls les étudiants « concernés » avaient été avertis et sommés fin décembre de changer leurs identifiants UNIL et privés. À la bonne heure.

Présumons alors que le service informatique et/ou la police, après épluchage des logs (enregistrements) et des dossiers volés par le pirate informatique (suite à la perquisition de son domicile), sont parvenus à identifier avec précision les utilisateurs « concernés » justifiant ainsi l’envoi de courriers très sélectifs fin décembre.

Pourtant, dans un communiqué du Ci daté du 22 février, il est vaguement dit que le hacker a « pu récupérer les mots de passe qui lui ont ouvert les portes de 2700 comptes informatiques (UNIL et privés) ».

L’article du 24 heures nous informe également que les documents volés « auraient ensuite été conservés sur un espace crypté permettant au pirate de les consulter librement ». Il contenait pas moins de 260 dossiers.

Une foule de questions se posent alors :

  • Comment peut-on être sûr qu’une tierce personne n’a pas eu accès aux données dérobées, c’est à dire au fameux espace chiffré, ni que ces données aient été commercialisées ou exploitées ?
  • Comment le Ci peut-il en être suffisamment convaincu pour n’avertir qu’une petite partie des étudiants et non l’ensemble de la communauté universitaire ?
  • Pourquoi s’est-il écoulé presque un mois entre la découverte de l’affaire et le courrier d’information du Ci ?
  • Finalement, quelles sont les garanties qu’il n’y a pas d’autres données dans la nature et/ou d’autres victimes ?

Du point de vue de la sécurité informatique, n’importe quel service aurait demandé un changement immédiat des mots de passe à toutes les victimes potentielles après une faille de cette ampleur, et pas seulement aux victimes avérées. Informatiquement parlant, il est parfaitement envisageable que des identifiants volés aient pu être vendus/donnés/stockés sans que les autorités ou le service informatique n’en aient connaissance, du moins aucun des éléments communiqués par l’UNIL ne laissent penser l’inverse.

De la même manière, la nature indétectable des keyloggers hardware rend peu crédible l’idée que l’on ait pu distinguer précisément quels ont été les ordinateurs infectés, encore moins en déduire les utilisateurs compromis.

Mais laissons la spéculation de côté, même s’il s’avère que le préjudice ne concerne « que » les étudiants ayant reçu l’avertissement, il apparaît aujourd’hui qu’il existe des questions restées en suspens autour de cette affaire et la communication incomplète et lénifiante de l’UNIL laisse la communauté perplexe sur sa capacité à gérer une faille de sécurité majeure et à protéger les données sensibles qu’elle traite.

Rappelons que, dans le courrier de décembre, l’UNIL assure que « toutes les mesures ont été prises pour faire cesser cette atteinte », « qu’une procédure judiciaire étant en cours, nous ne pouvons pas fournir plus d’informations » et plus récemment que …

« la sécurité informatique est l’affaire de tous ».

 

../Downloads/591188f48b5555f2568fdcb8f04f09d73632e7f180f6fd5f8fdf558c306f66c1.jpg

Les informations communiquées sur cette affaire sont insuffisantes pour garantir à l’utilisateur « concerné », comme à toute la communauté universitaire, que ses données ne sont pas et ne seront pas compromises.

Mme Géraldine Falbriard, attachée de presse de l’UNIL, tente de justifier cela dans 24 heures :
«Nous voulions être sûrs qu’il n’y avait plus de danger, ça passait par un changement de mot de passe. Par contre, nous ne pouvions pas entrer sur un terrain qui appartient à l’enquête policière et diffuser des informations que nous ne maîtrisions pas

Mais cela soulève de manière collatérale un problème global de confiance dans les services informatiques mis en œuvre par l’UNIL (données de la recherche, de l’enseignement, de l’administration).

Et maintenant ?

Si vous ne l’avez pas déjà fait, nous vous conseillons de changer vos mots de passes au plus vite ! Et plus que jamais, keylogger ou non, soyez très prudent lorsque vous naviguez sur un ordinateur public.
Comprenons bien que les photos d’étudiantes dénudées et autre bitcoins dérobés n’ont pu l’être que parce que leur propriétaire se sont identifiés sur leur compte iCloud, Google ou autre portefeuille électronique sur une machine non fiable ou ,pire encore, que leur mot de passe UNIL soit le même pour tous ces comptes. Not a smart move …

Capture%20d’écran%202018-03-12%20à%2015.49.15.png

Sur Twitter, les réactions à l’affaire ne sont pas tendres.

En définitive, à travers cette communication insuffisante le Ci a tenté de se dédouaner et d’attirer l’attention sur la responsabilité personnelle des utilisateurs, donnant l’impression de nier sa mission première de sécurisation des infrastructures IT, et son devoir de sensibilisation et d’éducation des usagers, notamment après un incident de cette envergure. Peut-être qu’un communiqué détaillé sur le déroulement de l’affaire permettrait de réinsufler la confiance dans notre service informatique ?

Un étudiant de Bachelor HEC

D’après les documents de 24heures ainsi que des sources internes à la faculté des HEC, il s’avère que le responsable est un étudiant en troisième année de bachelor HEC et qui, tenez-vous bien, est toujours autorisé à poursuivre ses études tant que la procédure judiciaire n’est pas terminée, ce qui pourrait lui permettre de terminer son diplôme dans 3 mois.

« La communauté universitaire s’étonne que l’étudiant concerné n’ait pas été dénoncé à la Commission de discipline de l’Unil pour défaut de comportement éthique et usage abusif et détourné des ressources informatiques mis à disposition des étudiants dans le cadre de leur études.

Du point de vue des victimes, la situation est d’autant plus délicate qu’elles peuvent être assises en cours, à côté de leur prédateur … ».

S. Ghernaouti

Contacté par HEConomist, l’auteur du méfait n’a pas souhaité réagir.

 

Hadrien Lapierre

Président