LE PIRATAGE À L’ÉCOLE EST TOUJOURS D’ACTUALITÉ : UN ADOLESCENT ENNUYÉ ET PASSIONNÉ DE CYBERSÉCURITÉ RÉVÈLE COMMENT IL A EU ACCÈS À DES MILLIONS DE DOSSIERS SCOLAIRES

Posté le août 10, 2019 à 15:19

LE PIRATAGE À L’ÉCOLE EST TOUJOURS D’ACTUALITÉ : UN ADOLESCENT ENNUYÉ ET PASSIONNÉ DE CYBERSÉCURITÉ RÉVÈLE COMMENT IL A EU ACCÈS À DES MILLIONS DE DOSSIERS SCOLAIRES

Selon des rapports récents, l’idée d’un adolescent ennuyé qui finit par pirater son lycée pour affecter ses notes semble encore perdurer.La plupart des piratages remarquables d’aujourd’hui sont perpétrés par des agences gouvernementales et des groupes voyous qui ont tendance à s’attaquer aux grandes entreprises.Avec une telle situation, il pourrait être réconfortant de savoir que les gens continuent de pirater les écoles juste pour améliorer quelques notes. Toutefois, cela montre également à quel point la sécurité des écoles est toujours vulnérable.

Il y a quelques jours à peine, un jeune homme de 18 ans nommé Bill Demirkapi a assisté à la conférence Defcon sur les hackers à Las Vegas.À l’occasion, le hacker adolescent a présenté les résultats de son attaque de piratage informatique de trois ans qui avait commencé il y a longtemps, alors qu’il n’était qu’un étudiant de première année dans son lycée.

À cette époque, il a commencé à examiner les interfaces Web de deux logiciels vendus par différentes sociétés – Follett et Blackboard.Le logiciel était utilisé par son école et, tout en l’étudiant, il a découvert deux failles qui lui permettaient d’accéder aux données de la quasi-totalité des élèves.

Demirkapi affirme avoir trouvé jusqu’à 5 millions d’enregistrements, et pas seulement les enregistrements d’étudiants, mais également les données des enseignants.Les enregistrements incluaient tout, des notes, balance de la cafétéria, mots de passe cryptés, données de vaccination, toutes sortes d’horaires, photos, etc.Le hacker de 18 ans fait remarquer qu’il n’avait que 16 ans lorsqu’il a remarqué les failles.Il dit que s’il pouvait le faire, il n’y a aucune raison pour que les hacker professionnels parrainés par l’État ne puissent pas faire la même chose.

Demirkapi a ouvertement admis qu’il avait réussi à accéder à peu près à tout ce que l’école avait.Il note que l’état de la cybersécurité des logiciels éducatifs est extrêmement mauvais et que la situation est encore pire du fait que personne n’y prête attention.

Le logiciel de l’école présentait des importantes failles

Pour autant qu’on le sache, Demirkapi semble avoir identifié toute une série de failles Web relativement communes dans le système d’information des étudiants de Follett et dans le logiciel de Blackboard.L’un d’eux est connu sous le nom de SQL-injection, en plus des failles de script intersite.

Ces failles lui ont permis d’accéder à une base de données contenant 24 catégories de données dans le cas de Blackboard.Comme mentionné précédemment, cela incluait à peu près tout, des enregistrements de discipline aux numéros de téléphone, en passant par les données relatives à la fréquentation, aux itinéraires de bus, etc.Pire encore, les données incluaient apparemment 5 000 écoles et 5 millions d’individus au total.

En ce qui concerne le logiciel Follett, le jeune hacker prétend avoir des vulnérabilités localisées qui permettent d’accéder à d’autres types de données, notamment la moyenne pondérée, les suspensions, le statut d’éducation spéciale et même les mots de passe.Cependant, cette fois-ci, les mots de passe étaient complètement non cryptés et entièrement lisibles.

Demirkapi a également déclaré qu’il explorait le piratage informatique pendant environ deux ans lorsqu’il avait accédé au logiciel de Follett et qu’il était un peu mieux informé du danger juridique de ses actions au moment où il avait piraté ce système.En conséquence, il affirme n’avoir vérifié que ses propres données, ainsi que celles d’un ami qui le lui permettait.Il ne l’a fait que pour confirmer que les failles pouvaient donner accès aux données recueillies par l’école, et il n’a pas exploré plus loin que cela afin de ne pas enfreindre les lois sur la fraude informatique, l’abus de pouvoir, etc.

De son côté, George Gatsis, vice-président directeur de la technologie chez Follett, a exprimé sa gratitude à Demirkapi pour avoir révélé les failles, bien qu’il ait dit qu’ils avaient tous été corrigés en juillet 2018.Cependant, Gatsis affirme également que Demirkapi ne serait pas en mesure d’accéder aux données d’autres personnes, même s’il tirait pleinement parti des failles qu’il avait découvertes.Demirkapi, quant à lui, affirme avoir eu un accès complet aux données d’autres personnes, prouvant ainsi son point de vue en montrant aux développeurs de Follett le mot de passe de l’ami qui lui permettait d’accéder à ses données.

En ce qui concerne Blackboard, la société a également remercié Demirkapi, bien qu’elle ait affirmé que personne d’autre n’exploitait les mêmes failles pour accéder aux informations concernant les étudiants et le personnel.Toutefois, la société affirme également ne pas avoir trouvé la preuve que quiconque – y compris Demirkapi – ait jamais accédé aux données des autres.

Les avertissements d’un hacker adolescent ont été complètement ignorés

Quand on lui a demandé pourquoi il avait exploré les logiciels des deux entreprises, Demirkapi a déclaré qu’il était inspiré par l’ambition de se familiariser avec la cybersécurité et le piratage et l’ennui des adolescents.Il a souligné qu’il n’avait en réalité jamais essayé de changer les notes de quiconque et que cela aurait nécessité un niveau d’accès plus profond que celui auquel il était parvenu.

Il a toutefois admis avoir exploité les failles d’un logiciel d’admission à l’université afin de changer son statut en «accepté».Cependant, le porte-parole du collège affirme que cela ne lui aurait pas suffi pour être admis.

En même temps, il a tenté de contacter les deux sociétés et d’exposer les failles, affirmant qu’il avait beaucoup de mal à convaincre les sociétés de prendre son avertissement au sérieux.Il a d’abord tenté de contacter Follett par le biais d’un intermédiaire — le directeur technique de son école.Cependant, il rappelle que le directeur a déclaré que la firme avait rejeté ses avertissements.Plus tard, il a essayé de contacter les deux sociétés par courrier électronique lui-même.Follett a complètement ignoré son courrier électronique, alors que Blackboard a déclaré qu’il enquêterait sur l’avertissement, mais qu’ils avaient apparemment échoué.

Au bout de quelques mois, lorsqu’il est devenu évident qu’aucune des deux entreprises ne réagissait à ses avertissements, il a de nouveau exploité le logiciel.Il a créé un fichier qui enverrait une notification à tout le monde dans le système, envoyant un seul message disant «Bonjour de Bill Demirkapi :)» à tous ceux qui utilisaient l’application de Follett, y compris les étudiants, les enseignants et même les parents d’élèves.

Le résultat n’a pas été à la hauteur de ce à quoi il s’attendait à l’époque.Il a été suspendu pendant deux jours et il a admis qu’il était immature de faire ce qu’il avait fait, mais toutes les autres tentatives visant à révéler les failles avaient échoué.Il a finalement demandé aux entreprises de le prendre au sérieux en 2018, après avoir obtenu l’aide du directeur de la technologie du district scolaire ainsi que du centre de coordination CERT de Carnegie Mellon.

Blackboard lui a offert un contrat dans lequel ils déclarent qu’ils ne le poursuivront pas pour violation.De son côté, il devait garder les failles secrètes jusqu’à ce qu’elles soient réparées.Cependant, il s’agissait de la deuxième version du contrat et, dans la première, l’entreprise lui demandait de garder le silence sur la faille, même après la correction.

Maintenant que les failles ont été corrigés et que le secret est enfin révélé, Demirkapi est toujours profondément préoccupé par la sécurité des systèmes éducatifs.Il affirme que personne ne semble se soucier de la sécurité des écoles, des étudiants et du personnel, car les gens ne sont pas particulièrement motivés.Il a prouvé son point de vue en soulignant qu’aucune des deux entreprises ne dispose d’un programme de prime aux failles.Ils affirment toujours qu’eux-mêmes et leurs logiciels sont sécurisés et qu’ils font l’objet d’audits réguliers. Cependant, ils ne prennent aucune mesure pour protéger leur logiciel contre les menaces.

Summary
LE PIRATAGE À L'ÉCOLE EST TOUJOURS D'ACTUALITÉ : UN ADOLESCENT ENNUYÉ ET PASSIONNÉ DE CYBERSÉCURITÉ RÉVÈLE COMMENT IL A EU ACCÈS À DES MILLIONS DE DOSSIERS SCOLAIRES
Article Name
LE PIRATAGE À L'ÉCOLE EST TOUJOURS D'ACTUALITÉ : UN ADOLESCENT ENNUYÉ ET PASSIONNÉ DE CYBERSÉCURITÉ RÉVÈLE COMMENT IL A EU ACCÈS À DES MILLIONS DE DOSSIERS SCOLAIRES
Description
Selon des rapports récents, l'idée d'un adolescent ennuyé qui finit par pirater son lycée pour affecter ses notes semble encore perdurer.La plupart des piratages remarquables d’aujourd’hui sont perpétrés par des agences gouvernementales et des groupes voyous qui ont tendance à s’attaquer aux grandes entreprises.
Author
Publisher Name
Koddos
Publisher Logo

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

%d blogueurs aiment cette page :