Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Le serveur (de test) de backup de l'Education Nationale

Pour faire écho à notre article d'hier, portant sur les travaux de la commission européenne et relatifs à la protection de la vie privée, un internaute découvre, suite à un lien sur une recherche Google que nous avons publié pour illustrer nos propos, nous remonte une alerte dite "OMFG", dont je vous laisse le soin de trouver la signification. C'est l'histoire d'un banal serveur FTP, un serveur FTP du Ministère de l'Education Nationale...

Pour faire écho à notre article d'hier, portant sur les travaux de la commission européenne et relatifs à la protection de la vie privée, un internaute découvre, suite à un lien sur une recherche Google que nous avons publié pour illustrer nos propos, nous remonte une alerte dite "OMFG", dont je vous laisse le soin de trouver la signification. C'est l'histoire d'un banal serveur FTP, un serveur FTP du Ministère de l'Education Nationale...

Comme il nous parait évident que ce n'est probablement pas les intéressés qui communiqueront sur cette splendide fuite de données personnelles, et comme la Commission Européenne obligera bientôt les entreprises à communiquer publiquement sur leur compromission dans le cas précis d'une fuite de données personnelles, nous nous sommes dit que nous avions le devoir de vous informer de cette fuite, malheureusement irréversible.

Irréversible ? Oui.. et vous allez comprendre pourquoi.

Manque de bol, il semble que ce serveur soit un serveur de sauvegarde, archivant à qui mieux mieux depuis 2006 ! (Allo la CNIL... we've got a problem) des données, principalement  à caractère personnel, semblant émaner d'applications de l'éducation nationale. Et il y en a un sacré paquet. Tout bien rangé dans un répertoire nommé "priv" mais qui n'a malheureusement de privé que le nom puisque :

  • Tous ses sous-répertoires sont parfaitement accessibles publiquement
  • Qu'un crawler russe les a indexé et répliqué... oui, irréversible nous vous disions donc.

L'architecture résilente de l'éducation nationale est mirrorée en Russie... tout va bien.

 Maintenant que nous sommes rassurés, voyons à quoi notre crawler russe a accédé :

Comme à notre habitude, nous avons tenté de joindre le mail de contact du whois, le tout gracieusement, sans de mander de rançon d'un million de dolars et des Monsters Trucks comme nous l'avons fait pour Amesys, et en sollicitant même le responsable de la sécurité de cette plateforme pour une interview sur Reflets.info (l'invitation est donc lancée, n'hésitez pas à nous contacter). Et oui, en temps de crise, Reflets contribue activement à la réduction du déficit de la dette.

Si l'un des mails du prestataire technique semble être bien arrivé à destination, celui du responsable au Ministère de l'Education Nationale, nous est, et c'est une tradition, revenu en mode "failed permanently". Comprenez que le mail du dit responsable n'existe pas, ou plus.

Et, donc, comme d'habitude dans ces cas là, impossible de prévenir le responsable.

Pourtant le serveur lui, est bien percé... et pas qu'un peu.

Oh nous avons bien lancé quelques tweets eux aussi restés sans réponse.

C'est d'ailleurs pourquoi nous avons décidé de finalement publier cet article, histoire de nous assurer que le Ministère de l'Education Nationale ne manquera, nullement de diligence, après ce dernier, à sécuriser son accès Internet qui répand jusqu'en russie des données personnelles appartenant très probablement à des enseignants, avec nom, adresse, adresse e-mail, date de naissance, nationalité, niveau d'étude, numéro de téléphone, deux codes identifiants dont nous ne connaissons pas la signification...

Une telle masse de données nous laisse à penser que nous ne sommes en outre pas loin d'être en face d'une base de données recensant, non pas "quelques bahuts de test avec des données personnelles de test de quelques enseignants de test" comme l'expliqueraient certainement nos amis de TMG, mais en face d'une base bien plus large... nationale ?

Comme vous le savez certainement, chez Reflets, nous sommes de grands comiques. Particulièrement quand une institution se montre coupable de négligence caractérisée, ou manque de diligence à coller des rustines sur un serveur percé à la Gatling.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée