INFO LE FIGARO - Un étudiant a alerté le ministère de l’Enseignement supérieur sur une faille de sécurité qui permettrait selon lui de piéger les candidats pour récupérer leurs données. L’erreur a été corrigée .

Et si Parcoursup était vulnérable? Alors que la plate-forme d’accès à l’enseignement supérieur venait d’ouvrir ses portes pour l’édition 2019, un jeune étudiant-hacker a découvert une faille informatique qui selon lui permettrait de «détourner des comptes étudiants de façon massive». De son côté, le ministère de l’Enseignement supérieur assure avoir pris en charge cette faille de sécurité dans la matinée et précise qu’elle ne «présentait pas de dangers pour les candidats», ce que contredit le hacker.

«Bug hunter»

C’est au lendemain de l’ouverture de Parcoursup, le 23 janvier, que Thibeault Chenu, étudiant en DUT informatique à Paris alerte le Ministère de l’Enseignement supérieur via un tweet: «J’ai découvert une faille de sécurité permettant le vol de comptes sur votre plateforme. Pouvez-vous me contacter par message privé». Quelques heures plus tard, les services du ministère prennent contact avec le jeune homme. L’agence nationale de la sécurité des systèmes d’information (ANSSI) avait dans le même temps alerté le ministère et une heure après, ce même 23 janvier au matin, la faille a été corrigée.

» LIRE AUSSI - Parcoursup 2019: les inscriptions ont commencé

L’étudiant, qui se définit comme un “bug hunter” (chasseur de bugs) détaille sa découverte au Figaro: «Il était possible de créer une page de phishing (technique de récupération de données personnelles très utilisée par les hackers, NDLR) depuis le site Parcoursup.fr».

En clair selon le hacker, des pirates auraient pu créer de fausses pages récoltant les informations personnelles des étudiants, directement sur le site d’informations de Parcoursup.fr, sans toutefois avoir accès directement aux dossiers des candidats hébergés derrière une autre URL, https://dossier.parcoursup.fr.

«La faille a été patchée rapidement en début de matinée».

Du côté du Ministère de l’Enseignement supérieur, on précise que «les équipes techniques ont été prévenues d’une alerte via l’ANSSI, en même temps que Thibeault Chenu nous a alertés via les réseaux sociaux» et que «cette alerte sur la sécurité, qui concernait le site d’information public, a été traitée immédiatement». On confirme que la faille n’était présente que sur le site d’informations Parcoursup et qu’à aucun moment, les données des candidats de la plateforme Parcoursup n’étaient impactées par cette alerte».

«C’est une faille grossière et indécente pour un site d’une telle envergure qui permettait de voler des données par le biais d’une page de phishing», conclut Thibeault Chenu, qui précise toutefois que «la faille a été patchée rapidement en début de matinée».

Alors que le Ministère a annoncé la création d’ORISUP, plateforme stockant les données des candidats inscrits sur Parcoursup pendant 15 ans, le débat autour de la protection et la sécurité de ces données est lancé.