Le 07/08/2019 à 10h des données interne à l'Epitech ont été publiées sur différents providers (Github, Gitlab et Mega)
via un compte twitter nommé "EpitekReveal".
Ce rapport a pour but de faire état des données ayant été publiées pour informer les personnes concernées à propos desdites données.
Nous avons décidé d'ouvrir cette enquête car nous sommes nous-mêmes concernés par cette fuite (en tant qu'anciens étudiants de l'Epitech).
C'est pour permettre un point de vue différent que celui d'Epitech même et donc de confirmer le rapport que ceux-ci publieront
concernant cette fuite de données.
En effet, ce n'est pas la première fois que l'Epitech subit une fuite de données (https://www.zataz.com/fuite-de-donnees-privees-et-sensibles-detudiants-pour-epitech/)
et la communication autour de cette ancienne fuite ayant été très floue, nous avons ouvert cette enquête pour permettre une meilleure
clarté aux personnes concernées par la fuite sur les données qui ont fuité.
07/08/2019 à 10h - le compte EpitekReveal a publié sur Github et Gilab des documents internes de l'Epitech.
Dès que nous avons été informés de cette fuite nous avons décidé d'enquêter à propos des documents qui ont été publiés afin de mieux
comprendre la portée de cette fuite ainsi que d'informer les personnes dont les données ont été publiées.
Les documents découverts sur Github et Gitlab contenaient principalement les cours, exercices et corrections des 3 premières années Epitech
ainsi que des cours des filiales d'Epitech (WebAcademy)
07/08/2019 à 11h - le compte EpitekReveal publie 2 nouveaux documents ZIP.
L'un contient un dump complet des informations étudiantes (intranet) de l'Epitech (comprenant: Nom, Prénom, Parcours scolaire, Notes, etc.)
Le second contient une liste des contacts des partenaires de l'Epitech.
07/08/2019 à 18h - De nouveaux documents sont publiés par EpitekReveal, cette fois-ci, les documents concernent la WebAcademy.
Ceux-ci contiennent des informations personnelles concernant les étudiant(e)s de la WebAcademy (Nom, Prénom, Email, Adresse postale, Téléphone, etc.).
D'après nos recherches, ces documents ne contiennent des informations concernant uniquement les promotions 2019 à 2021 de la WebAcademy.
Nous avons aussi découvert 6 documents de sévérité critique (Cartes d'identité, RIB, Carte de sécurité sociale), mais qui ne semblent
pas appartenir à des étudiants de la WebAcademy, mais aux encadrants de ceux-ci.
07/08/2019 à 19h - Un communiqué de la part du directeur de l'Epitech a été publié en interne.
Celui-ci fait état des données publiées que nous avons décrit sur les deux premiers points, mais n'exprime aucune informations concernant
les documents critiques découverts. Néanmoins, le communiqué s'adresse principalement aux étudiants de l'Epitech, donc il semble normal que
lesdits documents ne soient pas cités (vu qu'ils concernent la WebAcademy).
Nous n'avons pas pu analyser tous les documents fuités à l'heure de l'écriture de ce rapport. Un document en particulier (fichier ZIP de 200 mo)
n'a pas pu être récupéré.
Nous resterons en alerte concernant ce fichier si celui-ci refait une apparition sur internet. Si c'est le cas, nous préviendrons
directement l'Epitech.
Dans un premier temps, notre analyse avait pour but de vérifier les différents documents qui étaient disponibles durant cette fuite dans le but de découvrir
des données sensibles pour alerter les personnes concernées.
Dans un second temps, des alertes générales ont été levées sur Twitter pour faire état de l'avancement de nos découvertes (voir plus bas pour le lien twitter).
Enfin, nous avons adressé un email à toutes les personnes dont des données d'une sensibilité grave ont été découvertes pour les prévenir.
Sévérité faible
- Documents administratifs internes (présentations de projets, etc.)
- Cours
- Exercices et corrections
Sévérité moyenne
- Informations étudiant(e)s Epitech (nom, prénom, adresse mail, notes, grades, parcours scolaire)
- Commentaires sur le parcours scolaire WebAcademy
Sévérité grave
- Informations étudiant(e)s WebAcademy (nom, prénom, adresse mail, téléphone, adresse postale, nom du contact, prénom du contact, adresse mail du contact, téléphone du contact, adresse postale du contact)
- Documents internes sur la stratégie d'entreprise et partenaires
- Informations de contact de partenaires
Sévérité critique
- Documents personnels (cartes d'identité, RIB, sécurité sociale) (6 découverts au total)
Sévérité inconnue
- Documents médicaux Ameli.fr (médecins)
Les documents ayant été découverts ne contiennent, pour la plupart, pas de données critiques concernant les étudiants de l'Epitech.
Néanmoins, ils contiennent des informations d'ordre privé (parcours scolaire, notes, etc).
Les documents ayant été découverts contiennent des informations graves concernant les étudiants des promotions 2019 à 2021 de la WebAcademy.
Une découverte de 6 pièces d'identité tente à démontrer que l'Epitech n'applique pas les règles de sécurité en vigueur pour ce genre de document (Chiffrement/Anonymisation).
Nous tenons à rappeler que cette analyse n'a pas pour but de définir à qui va la faute mais uniquement d'informer.
Néanmoins, il paraît clair que la politique de sécurité de l'Epitech semble inappropriée au type de données stockées.
D'après les demandes de la CNIL, il est important d'apporter une sécurité maximale aux données personnelles des utilisateurs.
D'après nos analyses il semble clair qu'un problème de segmentation des droits d'accès aux données existe ainsi qu'à la manière dont ces données sont stockées.
Nous attendons le rapport final de la part de l'Epitech avant de prendre des mesures concernant cette fuite.
Néanmoins, il paraît clair que nous allons entrer en contact avec une association de consommateurs pour faire valoir nos droits
concernant cette fuite de données (vue qu'elle nous concerne aussi).
Si vous souhaitez faire des démarches légales à propos de cette fuite, merci de nous contacter en message privé sur Twitter (voir plus bas)
pour pouvoir déposer un recours groupé.
Thread twitter du suivi des analyses: https://twitter.com/AlexMog_FR/status/1159042425056301057
Nous contacter sur Twitter (DM): https://twitter.com/AlexMog_FR