Car même les Américains ...

Du fait notamment du coût élevé des études supérieures et des restrictions budgétaires touchant les programmes de bourses fédérales, le recours aux prêts s’est généralisé pour les étudiants aux Etats-Unis. Ce secteur économique réalise actuellement un chiffre d’affaires annuel de 85 milliards de dollars. De quoi aiguiser bien des appétits !

Dans le Washington Post du 15 avril, un article de Amit R. Paley révèle que depuis quelques années des sociétés privées spécialisées dans le prêt aux étudiants accédaient de façon illicite à une base de données nationale contenant des informations confidentielles concernant des dizaines de millions d’étudiants américains.

Cette base de données, connue sous le nom de « Système national de données pour le prêt aux étudiants » (NSLDS : National Student Loan Data System) a été créée à grands frais par le gouvernement américain, en 1993.

Le NSLDS comporte 60 millions de dossiers – un par personne. Chaque dossier regroupe un certain nombre d’informations personnelles comme le numéro de sécurité sociale de l’étudiant, son adresse email, son numéro de téléphone, sa date de naissance, ainsi que des informations d’ordre financier comme le montant de ses remboursements de crédits et son endettement. Ces dossiers permettent au service du prêt aux étudiants du ministère de l’Education (Education Department) de déterminer s’il remplit les conditions requises pour bénéficier d’un prêt, et qui aident au recouvrement des remboursements de ses prêts.

Le NSLDS est couvert par des lois fédérales de protection de la vie privée.

Une base de données objet de toutes les convoitises

En théorie, une société de prêt ne peut avoir accès au dossier d’un étudiant qu’avec l’accord de celui-ci ou si elle entretient déjà des relations financières avec lui.

La concurrence acharnée que se livrent les compagnies de prêts pour développer leur clientèle a entraîné un certain nombre de “dérives” et le scandale a fini par éclater : certains organismes de prêt sont, grâce à certaines complicités, parvenus à pénétrer dans la base de données NSLDS, à se constituer des listes d’étudiants à démarcher, et à détecter des emprunteurs à faible risque qui ont alors été noyés sous des messages publicitaires leur proposant des plans de consolidation. [1]

Depuis quelques années, ces intrusions illégales se sont multipliées. Le problème a pris une telle ampleur que le ministère de l’éducation a décidé le 17 avril 2007 d’interrompre provisoirement l’accès au serveur, le temps pour l’administration de revoir les conditions d’accès et de renforcer la sécurité (plus de $650.000 ont été dépensés depuis 2003 pour sécuriser la base de données). L’accès à la base de données a commencé à être progressivement rétabli le 2 mai, après une interruption de deux semaines.

Mais le nombre de personnes bénéficiant d’un droit d’accès à la base de données NSLDS va être considérablement réduit (cela concernait ces derniers temps environ 29.000 administrateurs financiers d’université et 7.500 employés de sociétés de prêt).

Et pourtant elle était sécurisée !

On ne peut relire sans ironie la page suivante du NSLDS [2]

En voici une traduction :

Le respect de vos données personnelles est pour nous très important. Vous serez invité à nous communiquer des informations personnelles protégées par le Privacy Act de 1974 (modifié) — notamment votre numéro de sécurité sociale. Le Higher Education Act de 1965 (modifié) nous autorise à vous demander cette information afin de pouvoir déterminer si vous êtes susceptible de bénéficier d’une bourse au Titre IV et pour empêcher des personnes non autorisées d’accéder à vos comptes personnels

Cette partie du site Web utilise le procédé de sécurisation SSL pour protéger l’information que vous nous fournissez. La méthode repose sur le cryptage de cette information par le biais d’une clé publique, et interdit à toute personne non autorisée de l’intercepter ou d’interférer pendant la transmission.

En cliquant sur le bouton « accepter », je reconnais avoir lu et compris le texte de cet écran et être prêt à poursuivre et à accéder à mon compte.

Le ministère de l’Education nationale nous répète que « base élèves Premier degré » est sécurisée ...

Qui cela convaincra-t-il ? On accède à base élèves via Internet moyennant l’introduction dans le formulaire d’entrée d’un code d’identification (login) et d’un mot de passe... mais cela ne constitue pas une véritable sécurité [3].

Le cryptage des données lors des échanges client serveur se fait via un protocole sécurisé ... il en était de même pour NSLDS !

Une enquête effectuée en Angleterre montre la façon dont la sécurité était assurée dans les systèmes informatiques de 500 écoles britanniques. Les résultats devraient inciter les responsables français à plus de prudence dans leurs assurances.

Terminons par un article publié le 30 avril dernier sur le site de la Télévision suisse romande [4] :

« les usurpations d’identité et les vols de données sur internet sont en constante augmentation en Suisse ces dernières années. L’e-banking figure parmi les principales cibles des pirates informatiques.

« Les cybercriminels s’intéressent ainsi toujours davantage aux faiblesses humaines pour contourner la sécurité améliorée des systèmes informatiques, indique la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) dans son dernier rapport semestriel publié lundi 30 avril [5].
[...]

« Un tribunal bernois a par ailleurs rendu pour la première fois en Suisse un jugement pour soustraction de données. Reconnu coupable, un expert informatique, collaborateur de la société Datasport, avait réussi à se procurer près de 27 000 fichiers chez la concurrence et aurait détruit des demandes d’offre dans la messagerie électronique des sociétés espionnées. »

Base élèves serait-t-elle mieux sécurisée que le système bancaire suisse ?