Publié par Lundi soir, je me suis fait pirater mon compte étudiant à Paris I.
Avec modification de mon adresse courriel de connexion et de mon mot de passe.
Heureusement avais-je donné « olivier@vagneux.fr » en courriel de secours, pour être informé !
Askip (à ce qu’il paraît) le truc hyper rare.
Du genre Tchernobyl, où que le responsable de la sécurité, Anatoli DIATLOV, dont on dit qu’il était complètement beurré et bourré, avait manuellement fait désactiver les sept systèmes de sécurité de la centrale, d’où que les premiers signaux d’alerte n’ont même pas été perçus. Il dira quand même lors de son procès qu’il ne possédait pas la documentation de la centrale dont il était directeur adjoint…
Là aussi, en gros, le technicien informatique n’a pas suivi le process, et sans vérifier aucune des coordonnées de la personne titulaire du compte, en l’occurrence moi, par exemple en essayant de m’appeler ou de m’envoyer un SMS, a envoyé oklm (au calme, calmement) un lien de réinitialisation au premier tiers qui le lui demandait sur la nouvelle adresse donnée par lui.
Surtout, pour quoi faire, parce que le pirate n’a pas touché ni à ma messagerie, ni à mes cours.
Même si en attendant, je ne pouvais plus me connecter pour les suivre… Cela a duré 2 heures.
Heureusement n’a-t-il pas touché à mon numéro de téléphone, me permettant de tout rétablir ensuite par SMS.
Probablement pour m’emmerder. Une sorte de MACRON bis.
Mais devant l’indolence des techniciens informatiques de Paris I, qui m’a fait penser à d’autres, et parce que je n’ai pas trop aimé le ton de leur réponse, j’ai laissé entendre que je pourrais me laisser aller à saisir la Commission nationale informatique et libertés (CNIL). Ci-après leur réponse qu’en gros, c’est ma faute.
Et à l’inverse de Savigny, où je reçois un vieux courrier tout pété du maire de la Commune, lequel plutôt que de remettre en cause son formulaire tout pourri, me demande quand même de lui expliquer son document (au cas présent, ce que je veux dire quand j’écris que je ne veux pas de courriers dématérialisés… Champion Alexis !).
Là, appel pendant plus de 15 minutes de Monsieur le Responsable de la sécurité des systèmes d’information de Paris I, en personne, également Correspondant Informatique et libertés.
Ce n’est clairement pas à Savigny que j’aurais vu cela, mais quelque chose, par exemple l’expérience, sinon le raisonnement par induction, me dit qu’ils ne sont clairement pas au niveau…
Bref, un échange fort sympathique avec une personne compétente (cela change) qui a remonté l’adresse IP du pirate (lequel utilisation manifestement un VPN) et recherché où j’aurais pu laisser traîner mon login de connexion, ce qu’il n’a pas plus trouvé que moi, parce que je ne l’ai pas publié comme tel.
Il était allé voir mon site, et je pense qu’il a aussi dû tomber sur mon article de saisine de la CNIL contre la Commune de Savigny qui était alors à la une ; il ne me l’a pas dit !
Lui penserait potentiellement soit à un autre étudiant, soit à un personnel de l’université, qui auraient accès à ces informations par l’annuaire de l’université.
Dans tous les cas, ma situation a été examinée lors de leur réunion hebdomadaire et les 4 techniciens du service ont été sermonnés ce mercredi matin pour leur rappeler les procédures, et notamment de ne modifier les adresses courriels et mots de passe qu’en présence d’une preuve de l’identité du demandeur, par exemple en lui demandant de se déplacer ou de montrer une carte étudiante par Zoom.
Bref, j’ai simplement apprécié de me sentir considéré et de pouvoir enfin discuter avec une personne qui connaissait son sujet, ce qui est devenu si rare !
παρρησία 
Meuh non les services informatiques saviniens sont à l’épreuve des missiles chinois, russes et nord-coréen !
Je pense, pour ton affaire, qu’il serait « amusant » de saisir la DPD, qui sera parfaitement incapable de t’apporter une réponse puisque STEIGER et TEILET sont dans le déni ; à la limite que tu fais des faux, et puis on saisit la CNIL, et on verra le résultat de ses investigations.