Plus de 100 000 fichiers contenant des dossiers d’étudiants appartenant au British Council ont été découverts en ligne.
Un blob Microsoft Azure non sécurisé découvert sur Internet par une entreprise de cybersécurité a révélé les noms, identifiants, noms d’utilisateur et adresses e-mail des étudiants, ainsi que d’autres informations personnelles.
Le British Council promeut l’étude de la culture britannique et de la langue anglaise dans le monde entier et est connu pour administrer l’examen de langue standardisé IELTS.
Un blob Azure non sécurisé renverse des fichiers Excel, XML, JSON
Le British Council, l’organisation mondiale pour la promotion de la culture britannique, de la langue anglaise et des opportunités d’éducation, divulguait plus de 144 000 fichiers contenant des dossiers d’étudiants.
La société de cybersécurité Clario, ainsi que le chercheur en sécurité Bob Diachenko ont découvert la fuite en décembre 2021 et ont immédiatement signalé leurs découvertes au British Council.
Réparti dans plus de 100 pays, le British Council était auparavant surnommé le ‘douce puissance‘ bras de la politique étrangère britannique. Bien que partiellement financée par le gouvernement britannique via une subvention, l’organisation à but non lucratif indépendante génère la grande majorité de ses revenus à partir d’activités telles que l’enseignement, les examens, les contrats d’appel d’offres et les partenariats.
L’organisation administre également l’examen IELTS (International English Language Testing System), le test d’anglais standardisé le plus reconnu dans le monde, aux côtés de TOEFL.
Selon les chercheurs, un conteneur de blob Azure non protégé a été indexé par un moteur de recherche public et contenait des milliers de feuilles de calcul Excel et de fichiers XML/JSON, visibles par tous.
Ces fichiers contenaient les informations personnelles de centaines de milliers d’apprenants et d’étudiants des cours d’anglais du British Council du monde entier.
Les informations exposées comprenaient :
- Nom complet
- Adresse e-mail
- Carte d’étudiant
- Statut d’étudiant
- Dates d’inscription
- Durée de l’étude
- Remarques
On ne sait pas pendant combien de temps ces données ont été accessibles au public en ligne, sans authentification en place, déclarent les chercheurs.
Un autre exemple de fichier XML contenant des informations personnelles est présenté ci-dessous :
British Council : 10 000 dossiers détenus par un fournisseur tiers
Diachenko et Clario ont découvert la fuite de données le 5 décembre 2021 et ont rapidement informé le British Council.
L’une des principales préoccupations des chercheurs à l’époque était le risque d’hameçonnage et d’usurpation d’identité, s’ils mettaient la main sur ces informations.
Après 48 heures sans nouvelles du British Council, les chercheurs ont réessayé de contacter ; cette fois via Twitter, où la communication ultérieure entre les deux parties a eu lieu.
« Le 23 décembre 2021 (deux semaines après le premier contact), une confirmation autour de la sécurité du dépôt a été annoncée », déclarent les chercheurs.
EZpublish-france.fr a également contacté le British Council pour confirmer les informations de manière indépendante et nous avons reçu la déclaration suivante :
« Les données en question ont été détenues et traitées par un fournisseur de services tiers. Environ 10 000 enregistrements étaient accessibles d’une manière qui n’aurait pas dû se produire. Dès qu’il en a eu connaissance, notre fournisseur de services tiers a immédiatement sécurisé les enregistrements avec des contrôles appropriés et le les données en question ont été rendues inaccessibles. Nous travaillons avec le fournisseur pour nous assurer que des incidents similaires ne se reproduisent plus à l’avenir.
Nous avons signalé l’incident conformément à nos obligations réglementaires et nous restons en contact avec le Bureau du Commissaire à l’information si d’autres mesures sont nécessaires.
Le British Council prend très au sérieux ses responsabilités en vertu de la loi sur la protection des données de 2018 et du règlement général sur la protection des données (RGPD). La confidentialité et la sécurité des informations personnelles sont primordiales », a déclaré un porte-parole du British Council à EZpublish-france.fr.
Comme indiqué, bien que les chercheurs aient découvert plus de 144 000 fichiers, selon le British Council, environ 10 000 dossiers d’étudiants ont été touchés.
La divulgation de cette fuite de données fait suite un rapport du mois dernier déclarant que le British Council avait été victime de « deux attaques de ransomware réussies au cours des cinq dernières années », en plus de six tentatives infructueuses par des opérateurs de ransomware.
À la suite de ces attaques, le British Council aurait connu 12 jours d’indisponibilité au total, cinq jours dans le premier cas et sept dans le second. Cependant, l’organisation n’a pas payé de rançon à chaque fois.
Compte tenu de la place prépondérante détenue par le British Council dans la promotion de la culture britannique à l’étranger et de son rôle dans la cogestion de l’examen IELTS, il n’est pas difficile de voir pourquoi les acteurs de la menace seraient attirés pour cibler l’institution.
Clario recommande aux étudiants et aux candidats du British Council de garder un œil sur les e-mails de phishing suspects qu’ils pourraient recevoir et de changer immédiatement leurs mots de passe de connexion par mesure de précaution supplémentaire.