Un hacker revendique le piratage de Parcoursup

Grosse tuile pour Parcoursup? La célèbre plateforme, qui permet aux lycéens de s’inscrire dans l'enseignement supérieur, pourrait avoir été victime d’une fuite de données. Un internaute a en effet mis en ligne dimanche dernier un fichier relatif à une soixantaine de dossiers de candidats contenant de nombreuses informations personnelles soi-disant extraites de la plateforme web d’inscription dans l’enseignement supérieur, a constaté ZDNET.fr.

"Après avoir accédé à l’un des espaces d’administration [de Parcoursup.fr], j’ai pu exporter une partie de la base de données utilisateur", affirme ainsi un internaute, "DrOne", dans un message posté sur un forum de fuite de données. "Pour le moment", le fichier d’exportation "ne contient que peu d’utilisateurs, mais il y a beaucoup de données", ajoute-t-il.

Un hacker revendique le piratage de #Parcoursup pic.twitter.com/mBPDLvemuk

— Gabriel Thierry (@gabrielthierry) July 28, 2023

 
Nombreuses informations

On retrouve en effet dans ce fichier JSON l’identité de candidats, ainsi que celle de leurs parents, leurs adresses de messagerie et postale, ou encore leurs numéros de téléphone. De même, de nombreuses informations scolaires sont détaillées, de l’établissement de l’élève à l’avis de la communauté éducative en passant par les commentaires de motivation.

"Durant l’été, j’ai pu travailler au sein d’un camping, dans la restauration, le service et l’entretien", explique par exemple un lycéen. Une grande partie des élèves concernés par la fuite sont scolarisés en Ille-et-Vilaine. Mais quelques lycéens des académies limitrophes ou de l’étranger sont également recensés.

Autant de données qui semblent véridiques : plusieurs personnes concernées par la fuite de données ont confirmé à ZDNET.fr être des lycéens ayant postulé pour une formation dans l’enseignement supérieur. Le ministère de l’enseignement supérieur, de la recherche et de l’innovation n’a toutefois pas confirmé un accès frauduleux à la plateforme Parcoursup. De même, vendredi, le parquet de Paris n’avait pas enregistré de plainte à ce sujet.

Des données qui ne devraient pas être "aussi facilement accessibles" 

Contacté par ZDNET.fr, le hacker à l’origine de la fuite de données affirme pourtant avoir téléchargé l’intégralité de la base de données, soit plusieurs gigaoctets d’informations, dit-il. Des données qui ne devraient toutefois pas fuiter. "Je ne sais pas si je vais les garder ou les supprimer, je voulais simplement montrer que ces données ne devraient pas être aussi facilement accessibles", explique ainsi “DrOne”.

Ce dernier explique avoir d’abord identifié un portail d’administration de Parcoursup. Puis il affirme s'y être introduit avec un couple identifiant-mot de passe ayant déjà fuité. Le nom du portail piraté n’a pas été communiqué. Une capture d’écran envoyée par DrOne à ZDNET.fr montre différents onglets - informations, comptes, paramétrage, candidatures, export de données, aide à la décision, admissions, inscriptions, transferts de données - suggérant qu’il s’agit bien d’un outil interne de l'enseignement.

Le hacker aurait ensuite réussi à exporter la base de données en exploitant, dit-il, une mauvaise configuration dans la requête d’exportation. "Une simple valeur modifiée localement m’a permis d’exporter" au-delà de la limite imposée, précise-t-il. Ce téléchargement complet lui aurait pris deux jours avant d’être repéré et banni du site.

Une précédente fuite de dossiers d'élèves 

Si le piratage est confirmé, cela ne serait pas la première casserole numérique autour de Parcoursup. En mai 2020, Mediapart avait repéré la fuite de 6500 dossiers d’élèves, candidats à une classe préparatoire au lycée Janson-de-Sailly à Paris. Le chef d’établissement avait alors plaidé une "faille technique", corrigée rapidement, qui ne concernait pas les données stockées sur les serveurs de Parcoursup.

Un an plus tôt, un étudiant en informatique de Paris avait alerté le ministère de l'enseignement supérieur sur l’existence d’une faille sur le site Parcoursup.fr. Ce dernier avait remarqué qu’il était possible de créer une page de hameçonnage sur ce site, "une faille grossière et indécente", avait-il tancé.