Skip to content

Instantly share code, notes, and snippets.

Embed
What would you like to do?
Epitech Leak Report (11/08/2019 - Final)

Epitech Leak Report (11/08/2019 - Final)

Introduction

Le 07/08/2019 à 10h des données interne à l'Epitech ont été publiées sur différents providers (Github, Gitlab et Mega) via un compte twitter nommé "EpitekReveal".
Ce rapport a pour but de faire état des données ayant été publiées pour informer les personnes concernées à propos desdites données.

Motivations

Nous avons décidé d'ouvrir cette enquête car nous sommes nous-mêmes concernés par cette fuite (en tant qu'anciens étudiants de l'Epitech).
C'est pour permettre un point de vue différent que celui d'Epitech même et donc de confirmer le rapport que ceux-ci publieront concernant cette fuite de données.
En effet, ce n'est pas la première fois que l'Epitech subit une fuite de données (https://www.zataz.com/fuite-de-donnees-privees-et-sensibles-detudiants-pour-epitech/) et la communication autour de cette ancienne fuite ayant été très floue, nous avons ouvert cette enquête pour permettre une meilleure clarté aux personnes concernées par la fuite sur les données qui ont fuité.

Historique

07/08/2019 à 10h - le compte EpitekReveal a publié sur Github et Gilab des documents internes de l'Epitech.
Dès que nous avons été informés de cette fuite nous avons décidé d'enquêter à propos des documents qui ont été publiés afin de mieux comprendre la portée de cette fuite ainsi que d'informer les personnes dont les données ont été publiées.
Les documents découverts sur Github et Gitlab contenaient principalement les cours, exercices et corrections des 3 premières années Epitech ainsi que des cours des filiales d'Epitech (WebAcademy)
07/08/2019 à 11h - le compte EpitekReveal publie 2 nouveaux documents ZIP.
L'un contient un dump complet des informations étudiantes (intranet) de l'Epitech (comprenant: Nom, Prénom, Parcours scolaire, Notes, etc.)
Le second contient une liste des contacts des partenaires de l'Epitech.
07/08/2019 à 18h - De nouveaux documents sont publiés par EpitekReveal, cette fois-ci, les documents concernent la WebAcademy.
Ceux-ci contiennent des informations personnelles concernant les étudiant(e)s de la WebAcademy (Nom, Prénom, Email, Adresse postale, Téléphone, etc.).
D'après nos recherches, ces documents ne contiennent des informations concernant uniquement les promotions 2019 à 2021 de la WebAcademy.
Nous avons aussi découvert 6 documents de sévérité critique (Cartes d'identité, RIB, Carte de sécurité sociale), mais qui ne semblent pas appartenir à des étudiants de la WebAcademy, mais aux encadrants de ceux-ci.
07/08/2019 à 19h - Un communiqué de la part du directeur de l'Epitech a été publié en interne.
Celui-ci fait état des données publiées que nous avons décrit sur les deux premiers points, mais n'exprime aucune informations concernant les documents critiques découverts. Néanmoins, le communiqué s'adresse principalement aux étudiants de l'Epitech, donc il semble normal que lesdits documents ne soient pas cités (vu qu'ils concernent la WebAcademy).

Résumé de notre analyse

Nous n'avons pas pu analyser tous les documents fuités à l'heure de l'écriture de ce rapport. Un document en particulier (fichier ZIP de 200 mo) n'a pas pu être récupéré.
Nous resterons en alerte concernant ce fichier si celui-ci refait une apparition sur internet. Si c'est le cas, nous préviendrons directement l'Epitech.

Dans un premier temps, notre analyse avait pour but de vérifier les différents documents qui étaient disponibles durant cette fuite dans le but de découvrir des données sensibles pour alerter les personnes concernées.
Dans un second temps, des alertes générales ont été levées sur Twitter pour faire état de l'avancement de nos découvertes (voir plus bas pour le lien twitter).
Enfin, nous avons adressé un email à toutes les personnes dont des données d'une sensibilité grave ont été découvertes pour les prévenir.

Résumé des fichiers découverts

Sévérité faible

  • Documents administratifs internes (présentations de projets, etc.)
  • Cours
  • Exercices et corrections

Sévérité moyenne

  • Informations étudiant(e)s Epitech (nom, prénom, adresse mail, notes, grades, parcours scolaire)
  • Commentaires sur le parcours scolaire WebAcademy

Sévérité grave

  • Informations étudiant(e)s WebAcademy (nom, prénom, adresse mail, téléphone, adresse postale, nom du contact, prénom du contact, adresse mail du contact, téléphone du contact, adresse postale du contact)
  • Documents internes sur la stratégie d'entreprise et partenaires
  • Informations de contact de partenaires

Sévérité critique

  • Documents personnels (cartes d'identité, RIB, sécurité sociale) (6 découverts au total)

Sévérité inconnue

  • Documents médicaux Ameli.fr (médecins)

Conclusion

Les documents ayant été découverts ne contiennent, pour la plupart, pas de données critiques concernant les étudiants de l'Epitech.
Néanmoins, ils contiennent des informations d'ordre privé (parcours scolaire, notes, etc).

Les documents ayant été découverts contiennent des informations graves concernant les étudiants des promotions 2019 à 2021 de la WebAcademy.
Une découverte de 6 pièces d'identité tente à démontrer que l'Epitech n'applique pas les règles de sécurité en vigueur pour ce genre de document (Chiffrement/Anonymisation).

Nous tenons à rappeler que cette analyse n'a pas pour but de définir à qui va la faute mais uniquement d'informer.
Néanmoins, il paraît clair que la politique de sécurité de l'Epitech semble inappropriée au type de données stockées.
D'après les demandes de la CNIL, il est important d'apporter une sécurité maximale aux données personnelles des utilisateurs.

D'après nos analyses il semble clair qu'un problème de segmentation des droits d'accès aux données existe ainsi qu'à la manière dont ces données sont stockées.

Suite du processus

Nous attendons le rapport final de la part de l'Epitech avant de prendre des mesures concernant cette fuite.
Néanmoins, il paraît clair que nous allons entrer en contact avec une association de consommateurs pour faire valoir nos droits concernant cette fuite de données (vue qu'elle nous concerne aussi).
Si vous souhaitez faire des démarches légales à propos de cette fuite, merci de nous contacter en message privé sur Twitter (voir plus bas) pour pouvoir déposer un recours groupé.

Thread twitter du suivi des analyses: https://twitter.com/AlexMog_FR/status/1159042425056301057
Nous contacter sur Twitter (DM): https://twitter.com/AlexMog_FR

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
You can’t perform that action at this time.