Fuite de données CNous touchant 774 000 personnes Fuite de données CNous: 774 000 personnes touchées, mesures de sécurité renforcées et dépôt de plainte. Une fuite de données CNous a été révélée le 23 mars par le Centre national des œuvres universitaires et scolaires (Cnous).
Une fuite de données CNous a été révélée le 23 mars par le Centre national des œuvres universitaires et scolaires (Cnous). L incident concerne les informations personnelles liées à la plateforme de prise de rendez-vous et touche 774 000 personnes ayant pris des rendez-vous auprès des Crous au cours des dix dernières années.
Selon le Cnous, 774 000 personnes différentes sont concernées et les données exposées proviennent des rendez-vous pris sur les dix dernières années via la plateforme de prise de rendez-vous des Crous.
Parmi elles, 139 000 ont vu des pièces jointes déposées dans l application exfiltrées; 635 000 ont été exposées avec des données « très limitées » (nom, prénom, adresse mail, objet et date du rendez-vous), précise l organisme.
Le Cnous précise avoir pris connaissance de l incident la veille de son communiqué, le 23 mars, vraisemblablement après une revendication publiée sur un forum spécialisé par l attaquant supposé.
Le Cnous affirme avoir suspendu temporairement l accès au site mesrdv.etudiant.gouv.fr afin de procéder aux corrections et d assurer une réouverture dans des conditions de sécurité renforcées. Les services sociaux des Crous restent accessibles par téléphone (09 72 59 65 65). Un dépôt de plainte est en cours ; chaque personne concernée sera informée par le Cnous.
Contexte et risques
Cette attaque s inscrit dans une vague de vols de données touchant le monde de l éducation. Ces derniers jours, des incidents cyber de grande ampleur ont touché l Éducation nationale et le secrétariat général à l enseignement catholique.
Ce que disent les risques et les mesures à prendre
- Portée de l exfiltration : 774 000 personnes concernées, avec des données sur dix ans de rendez-vous.
- Données exposées : pièces jointes pour 139 000 personnes et informations basiques (nom, prénom, adresse mail, objet et date du rendez-vous) pour 635 000.
- Réaction immédiate : suspension du site concerné, enquête en cours et dépôt de plainte.
Limites et éléments à clarifier
Le mode opératoire exact (ingénierie sociale, malware ou autre) n a pas été précisé publiquement. Comme dans d autres cas récents, les autorités appellent à la vigilance face au risque de phishing et à la vérification des communications liées à ces incidents.
Pour terminer
La CNous indique que chaque personne concernée sera informée individuellement de la situation et des mesures prises. Les Crous proposent des canaux d aide et de soutien pour les démarches liées à cet incident, afin de limiter les effets potentiels sur l identité et les données personnelles.
