L’autorité polonaise de protection des données (UODO) a sanctionné l’Université de Varsovie, le 9 décembre 2021, pour n’avoir pas pris des mesures adaptées pour sécuriser les données à caractère personnel des étudiants et du personnel de l’Université, conformément aux obligations du RGPD.

En mai 2020, un attaquant a réussi à s’introduire dans les systèmes informatiques de l’Université polonaise et a téléchargé la base de données contenant les données personnelles[1] des 5013 étudiants et professeurs ayant été à l’Université entre 2008 et 2020. La façon dont l’attaquant a réussi à s’introduire n’a pas pu être établie avec certitude, mais il semblerait que l’attaquant ait utilisé une faille dans l’application permettant au personnel de partager des documents avec leurs étudiants et que l’attaquant aurait réussi à accéder à cette application en utilisant les identifiants d’un des professeurs.

La Commission polonaise a rappelé que des mesures de sécurité adaptées devaient être prises pour garantir la confidentialité des données personnelles[2] et a demandé à l’Université d’apporter « des preuves pertinentes »[3] prouvant qu’elle a « régulièrement testé, mesuré et évalué l’efficacité des mesures » prises. Les éléments apportés par l’Université n’ont cependant pas été considérés comme suffisants.

La Commission a également reproché à l’Université certains aspects de sécurité relatifs à l’application fautive et au serveur sur lequel était hébergée l’application, notamment :

  • l’utilisation de la fonction de hachage MD5 pour conserver les mots de passe des utilisateurs[4] ;
  • l’absence d’un journal d’événements détaillé dans l’application ;
  • la suppression des journaux d’activité (logs) du serveur au bout de quatre semaines.

Enfin, étant donné l’absence de journaux détaillés et le fait que ces journaux n’étaient, de toute façon, pas étudiés, la Commission a estimé que l’Université n’était manifestement pas en mesure d’identifier un éventuel incident.

Une amende de 45 000 PLN (~9 900 €) a été prononcée contre l’Université.

Lire :

Note : L’Université étant publique, l’établissement risquait une amende maximale de 100 000 PLN (~20 000 €) selon la législation polonaise.

Notes et références

  1. Les données sur les étudiants et les professeurs téléchargées étaient : le nom et prénom, le prénom des parents, le nom de famille de la mère, la date de naissance, l’adresse postale, l’adresse e-mail, le numéro de téléphone, le numéro PESEL, le numéro de la carte d’identité, le nom d’utilisateur et/ou mot de passe.
  2. Le RGPD demande que les données personnelles soient « traitées de façon à garantir une sécurité appropriée […], y compris la protection contre le traitement non autorisé ou illicite […] à l’aide de mesures techniques ou organisationnelles appropriées » (source : RGPD, article 5-1-f). Le RGPD demande également aux responsables de traitement de « mett[re] en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (source : RGPD, article 32-1). La Commission a jugé que les mesures prises par l’Université n’étaient pas adaptées.
  3. Le RGPD indique que les responsables de traitement doivent être « en mesure de démontrer que [le règlement] est respecté » (source : RGPD, article 5-2). La Commission a, par conséquent, demandé à l’Université d’apporter des preuves pour justifier le respect de ses obligations.
  4. Pour des raisons de sécurité, les mots de passe ne doivent pas être stockés en clair, mais doivent être chiffrés en utilisant une fonction de hachage robuste. La fonction de hachage MD5 n’est pas considérée comme robuste, car des vulnérabilités majeures ont été découvertes. En utilisant MD5, les mots de passe des utilisateurs de l’Université peuvent, par conséquent, être facilement retrouvés et utilisés pour nuire. Voir « Peut-on utiliser la fonction de hachage MD5 pour enregistrer l’empreinte des mots de passe de ses utilisateurs ? ».

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données