BFM Business

Baccalauréat 2019: la fuite des résultats provoquée par une faille vieille de 12 ans

-

- - BFMTV.COM

Les candidats de l’académie de Lille ont eu accès à leurs résultats bien avant les autres. En cause, une page web mal configurée, en ligne depuis de longues années.

Après la fuite des sujets, la fuite des résultats. Jeudi 4 juillet, l’académie de Lille a permis, par erreur, à de nombreux candidats d’avoir accès à leurs résultats au baccalauréat, officiellement dévoilés ce vendredi à 8 heures. Interrogé par BFMTV, le rectorat évoque une erreur technique provoquée par des tests.

-
- © -

Sur les messageries instantanées WhatsApp ou Messenger des élèves, un lien a rapidement circulé dans la soirée du 4 juillet. D’après une capture d’écran fournie par une candidate concernée, il renvoyait bien vers le site officiel de l’académie de Lille. Mais sur une page différente de celle qui est mise à disposition des lycéens ce 5 juillet au matin. Comme cette dernière, elle affiche un formulaire permettant de renseigner son matricule et sa date de naissance. 

-
- © -

Une page en ligne depuis 2007

Si la page web a rapidement été mise hors-ligne par le rectorat afin de juguler la fuite, il est possible de retracer son histoire grâce au site Internet Archive, qui enregistre régulièrement les milliards de pages web, partout dans le monde. La première trace de cette page remonte au 4 juillet 2007. Elle permettait déjà d’accéder aux résultats des examens.

-
- © -

Même sans être utilisée, elle était donc déjà connectée à la base de données regroupant les résultats du bac. Afin de pouvoir être communiquées à temps, ces informations très sensibles sont mises en ligne sur des serveurs, quelques heures avant l’échéance officielle. Pour le rectorat, le principal enjeu est d’empêcher qu’un tiers puisse y accéder. Sauf que la page créée il y a douze ans a été connectée à la base de données des résultats de 2019.

Cette erreur intervient dans un système qui n’est pas infaillible, comme l’explique le spécialiste en cybersécurité Baptiste Robert. “Bien que la page ait été supprimée, il est en théorie toujours possible d’avoir accès aux résultats. Pour chaque candidat, elle génère une seconde page dont l’adresse est formée grâce au matricule et à la date de naissance d’un candidat, comme on peut le voir dans le code source du site. Avec ces informations, et même sans passer par cette page, un internaute avisé aurait pu accéder aux résultats à n’importe quel moment de la nuit. Surtout, cela montre que cette fuite est possible depuis déjà douze ans”, explique-t-il à BFM Tech.

Pour l’heure, il reste difficile de savoir pour quelle raison cette page, à première vue désuète, a été maintenue en ligne par le rectorat et rattachée aux résultats du bac 2019. Interrogée par BFM Tech, l’académie de Lille n’a pas encore apporté de précisions à ce sujet. De son côté, le ministère de l’Education nationale n’a pas souhaité apporter de commentaire “tant que le l’enquête se poursuit”.

https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech