En 2020, une fuite massive baptisée Cit0Day a révélé sur le dark web le piratage de plus de 23.000 bases de données et 226 millions d'adresses mails et mots de passe à travers le monde. Le site de l'université de Franche-Comté fait partie des cibles de cette attaque virtuelle. Elle a été avertie début mars par le CERT-Renater : des adresses mails et des mots de passe de l'université se sont retrouvés disponibles sur le dark web.
La présidente de l'université de Franche-Comté Mascha Woronoff, explique dans un mail envoyé aux personnes impactées, avoir lancé des recherches pour déterminer l'origine de la fuite des données. "La base de données nécessaire à la gestion des comptes de l'espace personnel du site Service Orientation Stage Emploi et des contributeurs publiant sur les sites internet de l'université a fait l'objet d'une violation de sécurité de la part de tiers non identifiés entraînant la divulgation non autorisée de données à caractère personnel."
Les données sont désormais "isolées et inaccessibles"
Ce type de violation peut entraîner des conséquences parfois graves pour les personnes dont les données ont été piratées telles que l'usurpation d'identité. Cependant, la présidente de l'université affirme que "concernant le mot de passe, il est crypté et donc illisible dans la base de données. Aussi, plus votre mot de passe est complexe, plus il est sécurisé." Toutefois, elle conseille "fortement" de changer ce mot de passe partout où il a été utilisé.
Suite à cette fuite, l'université affirme avoir pris des mesures de sécurité consistant principalement à retirer les pages litigieuses en ligne, puis à couper l'accès à l'espace personnel et au serveur concerné. "Les données sont ainsi isolées et inaccessibles. Notre équipe technique travaille à la sécurisation du serveur", indique l'université dans son mail.
Et d'ajouter : "L'espace personnel en ligne du Service Orientation Stage Emploi ne sera pas remis en service et les données correspondantes seront supprimées. Un nouvel outil le remplacera."
L'université a effectué un signalement auprès de la CNIL conformément au dispositif du RGPD.