Bartek Wytrzyszczewski, un étudiant en droit, a révélé une faille de sécurité des données à l'Inns of Court College of Advocacy (ICCA), exposant des informations sensibles sur environ 800 étudiants. Suite à ce signalement, l'ICCA a engagé une procédure disciplinaire contre lui, malgré le fait qu'il ait agi de manière responsable en informant l'établissement. Cette situation l'a contraint à quitter l'ICCA et à reprendre sa formation ailleurs. L'ICCA a minimisé la violation, la qualifiant de « problème technique ». Bien que Wytrzyszczewski ait été blanchi par le panel disciplinaire, cette expérience a gravement affecté sa motivation et ses perspectives de carrière.Wytrzyszczewski, 32 ans, a indiqué que cette expérience l'avait conduit à quitter l'ICCA et à reprendre ses études dans un autre établissement. L'ICCA, qui forme les futurs avocats, a signalé une violation de données à l'Information Commissioner's Office (ICO) en août 2023, après que Wytrzyszczewski ait alerté l'école que des fichiers sensibles concernant près de 800 étudiants étaient accessibles via le portail web de l'ICCA.
Cette faille de sécurité permettait aux étudiants d'accéder à des informations personnelles telles que des adresses e-mail, des numéros de téléphone et des données académiques, y compris les résultats d'examens et les établissements précédemment fréquentés. Les utilisateurs du portail web de l'ICCA pouvaient également voir des photos d'identité, des numéros d'identification étudiant et des informations sensibles comme les dossiers médicaux, le statut des visas, ainsi que des détails sur la grossesse ou les enfants. L'université a tenté de minimiser l'incident en le qualifiant de « problème technique ». Andy Russell, directeur des opérations de l'ICCA, a expliqué que, « en raison d'un problème technique, certains étudiants inscrits ayant effectué des recherches dans leur compte de messagerie ont reçu des résultats incluant certains fichiers du site SharePoint réservé au personnel de l'ICCA. »
Après avoir obtenu de Wytrzyszczewski un engagement écrit de ne pas divulguer les informations qu'il avait découvertes, le collège a lancé une procédure disciplinaire contre lui. Wytrzyszczewski a expliqué qu'il était tombé sur ces fichiers par accident et qu'il les avait consultés en grand nombre pour pouvoir en rapporter le contenu avec précision. L'avocat stagiaire a précisé qu'il n'avait pas eu le droit à une représentation lors de l'audience disciplinaire de novembre 2023. Il a confié que cette procédure avait été éprouvante, estimant que le collège cherchait simplement à le « faire taire » et à le « punir » pour avoir signalé sa mauvaise gestion de la violation de données. « Je ne pense pas avoir commis la moindre faute », a-t-il affirmé. « J'ai agi avec intégrité en les alertant rapidement de ce problème. À mon avis, ils ont réagi de cette manière pour me faire taire et me punir. Leur comportement manque totalement d'intégrité et n'est pas éthique. »
L'année dernière, l'ICCA a assuré qu'elle avait maîtrisé la violation du 20 août 2023. Cependant, Wytrzyszczewski a déclaré que l'université ne pouvait pas maintenir ces assurances car les journaux d'audit des données qu'elle détenait étaient limités à 90 jours et les données ayant fait l'objet d'une fuite pouvaient être consultées sur son portail web depuis 2022. Cela signifie que le collège ne peut rechercher les tentatives d'accès aux fichiers effectuées « que pour la période comprise entre le 18 mai 2023 et le 16 août 2023 ». Ces journaux ont montré qu'au moins sept personnes avaient accédé aux fichiers. L'ICO enquête sur plusieurs autres plaintes déposées par Wytrzyszczewski concernant l'ICCA.
Ces plaintes concernent notamment le partage de ses données de santé personnelles avec l'éditeur de livres Thomson Reuters ; le partage avec Wytrzyszczewski des détails concernant environ 350 candidats à un cours de l'ICCA dans le cadre de la réponse à sa demande d'accès en octobre 2023 ; le fait de demander à Wytrzyszczewski, alors ancien étudiant, d'identifier tous les documents qu'il aurait pu leur envoyer après avoir signalé la violation de données d'octobre 2023, plutôt que de les identifier eux-mêmes ; et l'envoi à Wytrzyszczewski d'un courriel contenant des informations sensibles destinées à un autre étudiant.
Les failles de sécurité de l'ICCA et la répression des lanceurs d'alerte
Les lanceurs d’alertes sont des personnes qui signalent au sein d’une organisation concernée ou à une autorité extérieure ou qui divulguent au public des informations sur un acte répréhensible obtenu dans un contexte professionnel. Ils aident à prévenir les dommages et à détecter les menaces ou les nuisances à l'intérêt public qui pourraient autrement rester cachées. Et si elles ne sont pas abordées, elles peuvent parfois causer un grave préjudice à l'intérêt public.
L'affaire de Bartek Wytrzyszczewski met en lumière plusieurs enjeux cruciaux concernant la gestion des données personnelles, l'éthique institutionnelle dans les établissements éducatifs et le traitement des lanceurs d'alerte. Wytrzyszczewski a agi de manière responsable en signalant une faille de sécurité majeure à l'Inns of Court College of Advocacy (ICCA), révélant des informations sensibles sur environ 800 étudiants. Cependant, au lieu de recevoir des remerciements pour avoir alerté sur cette violation de données, il a été soumis à une procédure disciplinaire, accusé de faute professionnelle et contraint de quitter l'institution. Cette réponse de l'ICCA soulève de sérieuses questions sur ses priorités et sa gestion des incidents de sécurité.
Premièrement, la réaction de l'ICCA montre un manque flagrant de reconnaissance pour les lanceurs d'alerte. Plutôt que de traiter le problème de sécurité de manière transparente et proactive, l'ICCA a choisi de minimiser l'incident en le qualifiant de « problème technique ». Ce terme sous-estime gravement la gravité de la situation, où des informations personnelles sensibles étaient accessibles à des utilisateurs non autorisés. En qualifiant la faille de « problème technique », l'ICCA semble vouloir détourner l'attention de ses propres lacunes en matière de protection des données.
Deuxièmement, la procédure disciplinaire engagée contre Wytrzyszczewski apparaît comme une tentative de dissuader d'autres étudiants ou employés de signaler des problèmes similaires à l'avenir. Cela crée un climat de peur et de répression, où la priorité est donnée à la protection de la réputation de l'institution plutôt qu'à la sécurité et au bien-être des étudiants. L'absence de représentation pour Wytrzyszczewski lors de l'audience disciplinaire et l'obtention d'un engagement écrit pour ne pas divulguer les informations découvertes témoignent d'une approche punitive et non collaborative de l'ICCA.
De plus, bien que l'Information Commissioner's Office (ICO) ait été informé de l'incident, l'absence de mesures supplémentaires de leur part est préoccupante. L'ICO devrait jouer un rôle plus actif dans l'enquête et la résolution de telles violations pour garantir la protection des données personnelles et la responsabilisation des institutions.
Enfin, les multiples plaintes supplémentaires déposées par Wytrzyszczewski contre l'ICCA, y compris le partage inapproprié de ses données de santé personnelles et d'autres informations sensibles, montrent que l'ICCA a des problèmes systémiques dans sa gestion des données. Ces incidents révèlent non seulement des failles techniques, mais aussi un manque de rigueur et de respect des normes éthiques dans la gestion des informations des étudiants.
Un nouvel exemple de représailles contre les lanceurs d'alerte
L'affaire Wytrzyszczewski rappelle celle de Davin Fischer, ancien mécanicien chez Boeing, qui a également subi des représailles après avoir dénoncé des pratiques dangereuses. Fischer a été rétrogradé puis licencié après avoir signalé que la pression pour accélérer la production des avions compromettait la sécurité. De même, John Barnett, un responsable qualité chez Boeing, a été contraint à une retraite anticipée après avoir dénoncé des défauts graves sur le 787 Dreamliner. Barnett a souffert de troubles de stress post-traumatique et a finalement été retrouvé mort dans son camion après avoir déposé une plainte pour licenciement abusif.
Ces exemples montrent que la répression des lanceurs d'alerte est un problème récurrent et systémique dans de nombreuses organisations. Il est crucial que les institutions reconnaissent et protègent ceux qui osent signaler des failles et des pratiques non éthiques. La sécurité des données et l'intégrité institutionnelle doivent être des priorités absolues, et des mesures doivent être prises pour créer un environnement où les lanceurs d'alerte sont soutenus et non punis.
Cette affaire souligne l'importance d'une gestion transparente et responsable des incidents de sécurité des données dans les établissements éducatifs. Les lanceurs d'alerte comme Wytrzyszczewski jouent un rôle crucial en signalant des failles qui autrement pourraient rester inconnues et non résolues. Les institutions doivent non seulement traiter ces incidents avec la gravité qu'ils méritent, mais aussi soutenir et protéger ceux qui mettent en lumière des problèmes systémiques. Il est impératif que des mesures soient prises pour renforcer la sécurité des données et promouvoir une culture de transparence et de responsabilité.
Source : Bartek Wytrzyszczewski, former student at the Inns of Court College of Advocacy
Et vous ?
Quelle est votre opinion sur les accusations portées par l'étudiant Bartek concernant la faille de sécurité des données à l'ICCA ? Que pensez-vous de la procédure disciplinaire engagée contre l'étudiant Bartek après qu'il a révélé une faille de sécurité des données à l'ICCA ?Voir aussi :
Les lanceurs d'alerte sont la conscience de la société, mais souffrent gravement, la souffrance des lanceurs d'alerte, un prix trop élevé pour la vérité Un autre lanceur d'alerte de Boeing affirme avoir fait l'objet de représailles pour avoir dénoncé des « raccourcis » pris dans la production, l'ingénieur signale des pratiques douteuses 
