Violation de la division Éducation de la Ville d'Helsinki

Un attaquant a exploité une vulnérabilité non corrigée sur un serveur d'accès distant pour s'introduire dans la division Éducation de la Ville d'Helsinki, exposant les données personnelles de dizaines de milliers d'élèves, de tuteurs et d'agents, ainsi que des dossiers sensibles d'aide sociale.

Le 2 mai 2024, la Ville d'Helsinki a révélé que sa division Éducation avait subi une violation de données majeure. L'intrusion, attribuée à un serveur d'accès distant non corrigé, figure parmi les plus importantes violations de données personnelles jamais subies par une municipalité finlandaise, touchant finalement élèves, tuteurs et l'ensemble du personnel de la Ville.

Ce qui s'est passé

L'attaquant a obtenu l'accès en exploitant une vulnérabilité connue sur un serveur d'accès distant (VPN) exploité par la division Éducation. Un correctif (hotfix) du fournisseur était déjà disponible pour combler la faille, mais il n'avait pas été installé sur le serveur concerné — une défaillance étonnamment proche d'autres violations marquantes causées par des infrastructures exposées à Internet non corrigées.

Une fois à l'intérieur du réseau de la division Éducation, l'intrus a atteint des disques réseau contenant une large gamme de fichiers. La Ville d'Helsinki a souligné que l'attaquant n'a pas obtenu de mots de passe ni le contenu de comptes de messagerie, mais a bien accédé à un grand volume de données personnelles identifiantes et sensibles.

Impact

La violation a potentiellement touché plus de 80 000 élèves et leurs tuteurs, ainsi que l'ensemble du personnel de la Ville d'Helsinki — selon certains décomptes, bien plus de 120 000 personnes au total.
Les données exposées comprenaient les noms d'utilisateur et adresses e-mail de tout le personnel municipal, ainsi que les codes d'identité personnels et adresses des élèves, tuteurs et agents de la division Éducation.
Plus grave encore, l'attaquant a atteint des disques réseau hébergeant des dossiers sensibles d'aide sociale — incluant des informations sur les frais d'éducation de la petite enfance, le statut d'enfants, les demandes d'aide aux élèves et des dossiers relatifs au besoin de soutien spécialisé d'enfants.
La Ville n'a signalé aucune utilisation abusive confirmée des données dérobées à ce moment, mais a appelé les personnes concernées à rester vigilantes.

Réponse

La Ville d'Helsinki a notifié le Médiateur finlandais à la protection des données, la police et le Centre national de cybersécurité, et a lancé une campagne d'avis public pour atteindre les groupes concernés. L'Autorité finlandaise d'enquête de sécurité a mené une enquête indépendante, publiant ses conclusions sur les défaillances ayant permis la violation.

Pourquoi c'est important

La violation de la division Éducation d'Helsinki est un avertissement sur la gestion des correctifs dans le secteur public. Un seul serveur VPN non corrigé a exposé les dossiers les plus sensibles que détient une municipalité — des données sur des enfants vulnérables et leurs familles. Elle a renforcé, à l'échelon des collectivités locales, la même leçon qu'Equifax avait enseignée à l'échelle de l'entreprise : les vulnérabilités connues et corrigeables sur les systèmes exposés à Internet constituent la voie la plus courante et la plus évitable vers une compromission catastrophique.

Chronologie

30 avril 2024

Un attaquant exploite une vulnérabilité sur un serveur d'accès distant pour pénétrer le réseau de la division Éducation.

2 mai 2024

La Ville d'Helsinki annonce publiquement que sa division Éducation a été la cible d'une violation de données.

13 mai 2024

La Ville révèle que la violation est bien plus vaste qu'estimé initialement, touchant potentiellement l'ensemble du personnel municipal et plus de 80 000 élèves et tuteurs.

1 juin 2024

L'enquête confirme que l'attaquant a accédé à des disques réseau contenant des dossiers sensibles d'aide aux élèves et de soutien spécialisé.

1 décembre 2024

L'Autorité finlandaise d'enquête de sécurité finalise son rapport sur la violation.

Sources

hel.fihttps://www.hel.fi/en/news/city-of-helsinkis-education-division-target-of-data-breach

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/helsinki-suffers-data-breach-after-hackers-exploit-unpatched-flaw/

hel.fihttps://www.hel.fi/en/news/investigation-into-helsinki-education-division-data-breach-proceeds

securityaffairs.comhttps://securityaffairs.com/163088/data-breach/city-of-helsinki-data-breach.html

Incidents liés

Exploitation de vulnérabilitéContenu9 mai 2026

765 utilisateurs concernés par une fuite revendiquée chez Média31

Le 9 mai 2026, l'acteur AplaGroup a revendiqué une intrusion dans Média31, la plateforme de médiathèque en ligne du réseau des médiathèques de Haute-Garonne, exposant les données d'environ 765 utilisateurs ; l'intrusion a été confirmée le 21 mai 2026.

Victim: Média31
Records: 765

Exploitation de vulnérabilitéRésolu8 août 2023

Violation de données de la Commission électorale britannique

Des pirates liés à l'État chinois ont exploité des failles ProxyShell non corrigées de Microsoft Exchange pour rester indétectés plus d'un an dans les systèmes de la Commission électorale britannique, accédant aux données du registre électoral d'environ 40 millions d'électeurs.

Victim: UK Electoral Commission
Records: 40.0M

Exploitation de vulnérabilitéRésolu24 juillet 2023

Violation du gouvernement norvégien via une faille zero-day Ivanti

Des attaquants ont exploité une faille zero-day d'Ivanti Endpoint Manager Mobile (CVE-2023-35078, CVSS 10.0) pour compromettre une plateforme TIC partagée par 12 ministères norvégiens, l'exploitation remontant à au moins avril 2023.

Victim: Gouvernement norvégien (12 ministères)

Exploitation de vulnérabilitéRésolu25 décembre 2020

Violation de l'appliance Accellion FTA de la Banque de réserve de Nouvelle-Zélande

Des attaquants ont exploité une faille zero-day dans l'appliance de transfert de fichiers Accellion (FTA) vieillissante pour pénétrer la banque centrale de Nouvelle-Zélande, accédant à des fichiers commercialement et personnellement sensibles ; le nettoyage a coûté à la Banque de réserve environ 3,5 millions de dollars néo-zélandais.

Victim: Reserve Bank of New Zealand (Te Pūtea Matua)
Loss: $2.4M