Posté le juillet 20, 2019 à 9:50

LES DONNÉES DES ÉTUDIANTS DE L’UNIVERSITÉ VOLÉES PAR DES HACKERS – L’ILLUSION D’UNE PLATE-FORME ÉDUCATIVE SÉCURISÉE

Les hackers ont été en mesure d’abuser d’une vulnérabilité dans les logiciels utilisés par des lycées et des universités.  Cela leur a permis d’accéder aux informations sur les étudiants, telles que les numéros de sécurité sociale, les informations financières personnelles et les notes.

Le ministère américain de l’Éducation a lancé une alerte de sécurité plus tôt cette semaine, indiquant que 62 universités et collèges avaient été touchés. Les données acquises par les hackers ont été utilisées pour créer de faux comptes à des fins criminelles.

If your campus uses Banner/Ellucian as a SIS, I hope you install updates in a timely manner. So far 62 campuses have reported they were affected by exploitation of a vulnerability in the product by "criminal elements." Patch was released May 14. #emchat https://t.co/SwIkZvdZaN

— Dr. Liz Gross (@lizgross144) July 18, 2019

La vulnérabilité affecte Ellucian Banner Enterprise Identity Services et Ellucian Banner Web Tailor, deux modules du système ERP Ellucian Banner.

Les actions des hackers

Il semble que les attaquants aient été capables de prendre en charge les données de connexion des utilisateurs lorsqu’ils ont tenté de se connecter.

Il a été affirmé que ces agents criminels ont fouillé activement sur Internet à la recherche d’institutions à cibler en utilisant cette faille. Cette recherche leur a fourni une liste d’institutions vulnérables. Les hackers seraient capable alors au système une fois que l’utilisateur se serait connecté. La quantité d’informations qu’ils pouvaient obtenir et la distance qui les séparait des systèmes dépendaient des droits administratifs de l’utilisateur qu’ils choisissaient de pirater.

Grâce à ces moyens, ils pourraient éventuellement naviguer librement dans le système de l’institution et accéder à des données personnelles et sensibles – des données qui sont habituellement protégées par la loi.

Les hackers pouvaient également manipuler ces informations, par exemple en modifiant des données personnelles ou des notes ou en refusant d’obtenir une aide financière aux étudiants.

Bien que de nombreux rapports indiquent que les données ont ensuite été utilisées à des fins criminelles, aucun détail n’a été fourni sur la nature ou l’étendue de l’activité.

La FSA a déclaré que les institutions concernées avaient signalé que la vulnérabilité avait été exploitée pour manipuler les systèmes d’inscription ou d’admission, ainsi que pour créer des centaines de faux comptes d’étudiants en quelques jours.

Le point de vue d’Ellucian

Le responsable de la sécurité de l’information chez Ellucian a envoyé par courrier électronique une déclaration selon laquelle il n’y avait aucun lien entre la faille de sécurité et la création de faux comptes – les deux problèmes n’étaient pas totalement liés.

Ellucian exerce ses activités dans plus de 50 pays et aide plus de 2 500 institutions fournissant des solutions logicielles aux étudiants, aux collèges et aux universités. Forts de plus de 5 décennies de savoir-faire, ils fournissent un logiciel qui aide à organiser les données et le flux de travail pour gérer des tâches telles que la paie du personnel, les notes des étudiants, l’aide financière aux étudiants et les admissions.

Ellucian a fourni un correctif à la faille il y a deux mois qui est à télécharger par les utilisateurs. Cependant, le ministère américain de l’éducation a déclaré, cette semaine seulement, que des hackers avaient commencé à exploiter cette faille. On ne sait pas pourquoi il y a un délai de deux mois entre la création du correctif et cette déclaration.

Le 14 mai 2019, le correctif a été créé et une mise à jour  a été publiée, indiquant qu’une vulnérabilité du mécanisme de vérification de l’utilisateur utilisé par les deux modules avait été découverte. Cette faiblesse signifiait que les hackers pouvaient accéder à distance aux sessions Web des victimes pour les pirater et accéder ainsi aux détails de leur compte.

Que se passe-t-il maintenant?

Les institutions qui utilisent ces deux modules sont vivement encouragées à appliquer des mises à jour pour corriger les failles potentielles de leur système. Les institutions sont également invitées à mettre Enterprise Identity ou Web Tailor Services à niveau s’ils ne l’ont pas encore fait.

Il serait également souhaitable que les institutions contactent l’équipe de la FSA afin de déterminer s’ils n’ont pas encore été victime d’une infraction.

La dernière version du système ERP d’Ellucian est Banner 9. Les institutions qui sont déjà passées à cette version ne semblent pas être touchées par ce problème.